OpenVPN + RDP -> Nur eine Verbindung möglich?

[sinkpäd]

Wir haben hier einen Windows Server 2003 (wird bald ausgetauscht ) auf dem OpenVPN läuft, damit Mitarbeiter von außen einigermaßen sicher RDP Verbindungen zu den Bürorechnern herstellen können. Dies funktioniert auch, aber nur für einen Mitarbeiter gleichzeitig.

Szenario:

1) Mitarbeiter A stellt die VPN Verbindung ins Büronetz her
2) Mitarbeiter A stellt dann eine RDP Verbindung zu Rechner A her und arbeitet los
3) Mitarbeiter B stellt die VPN Verbindung ins Büronetz her -> klappt
4) Mitarbeiter B will eine RDP Verbindung zu Rechner B herstellen -> Klappt nicht. Rechner nicht erreichbar / Mitarbeiter A fliegt trotzdem aus der RDP Verbindung.

Woran kann das liegen?

 

[Chris_75]

Wenn Rechner A und B wirklich unterschiedlich sind kann das nix mit RDP zu tun haben. Benutzen die Mitarbeiter auch unterschiedliche/eigene OVPN-Ànmeldedaten?
Was steht in den Logs?

 

[sinkpäd]

Wenn Rechner A und B wirklich unterschiedlich sind kann das nix mit RDP zu tun haben. Benutzen die Mitarbeiter auch unterschiedliche/eigene OVPN-Ànmeldedaten?
Was steht in den Logs?

Die Mitarbeiter benutzen derzeit noch das selbe OVPN Zertifikat für die VPN Verbindung. Wenn aber dennoch beide ohne Probleme die VPN Verbindung herstellen können, kann es doch daran nicht liegen? Die Logs spucken keine Fehler aus.

 

[Raijin]

Wenn dasselbe Zertifikat verwendet wird, solltest du am Server schauen ob dort auch wirklich "duplicate-cn" aktiviert ist. Das erlaubt explizit gleichzeitige Verbindungen mit demselben Zertifikat.

Die Logs kann man im übrigen auch gesprächiger machen. verb 3 und aufwärts spuckt evtl. mehr Infos zu dem Problem aus.

Ich empfehle allerdings, benutzerspezifische Zertifikate zu erstellen. Damit kann man zB nach dem Ausscheiden eines Mitarbeiters explizit dieses Zertifikat sperren. Sonst kann der Ex-Mitarbeiter unter Umständen noch unberechtigterweise Zugriff haben, wenn er das Zertifikat kopiert hat. OpenVPN bringt dazu bereits alle notwendigen Skripte mit. Es gibt also keinen Grund dafür, keine eigenen Zertifikate zu erstellen.

 

[sinkpäd]

Duplicate-cn war nicht aktiviert. Danke für den Hinweis. Die Verbindung hat aber wie bereits erwähnt trotzdem parallel funktioniert. Merkwürdig. Mir ist noch aufgefallen, dass in der ipp.txt nur eine IP-Adresse für den einzigen Clienten eingetragen ist. Hat das womöglich Einfluss darauf? Statische Adressen sind nicht vergeben.

 

[Raijin]

Normalerweise kickt der OpenVPN-Server ohne duplicate-cn die alten Verbindungen raus, wenn man sich mit dem Zertifikat neu anmeldet.

--duplicate-cn
Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.
Quelle: https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage

Die ipp.txt ist eine Art DHCP-Lease, das anhand des Common Names (Zertifikatsname) auflöst (statt nach MACs wie bei "echtem" DHCP). Dasselbe Zertifikat -> dieselbe (VPN)IP.

Wie gesagt, ich rate dir dringendst, persönliche Zertifikate zu erstellen. Das dauert nur 5 Minuten.

 

[sinkpäd]

D.h. bei Verwendung des selben Zertifikats erhalten die beiden verbundenen Rechner trotz duplicate-cn die selbe IP zugewiesen?

 

[Raijin]

Nein, ipp.txt ist .. .. sagen wir mal eine Empfehlung, aber keine Garantie, dass client xy dieselbe IP bekommt wie beim letzten Mal. Würde man sicherstellen wollen, dass ein Client immer dieselbe IP bekommt, dann muss man die IP vom Server pushen (ifconfig-push).


Wenn du die IPs bzw. den Tunnel debuggen willst, musst du dir also immer am Client selbst anschauen welche IP der VPN-Adapter letztendlich bekommen hat. Alternativ sieht man das meines Wissens nach auch in der Client-Liste am Server. Mit F2? Glaub ja.. Sonst über das Management-Interface.

 

[sinkpäd]

Besten Dank, dann weiß ich bescheid und werde testen, ob verschiedene IPs vergeben werden und ob es jetzt mit duplicate-cn funktioniert. Falls nicht, werde ich mehrere Zertifikate erstellen.