Riservare un IP specifico ai client collegati in VPN su pfSense 2.7

Se utilizzate OpenVPN una delle necessità più ricorrenti è quella di operare un assegnamento statico degli indirizzi IP di uno o più client.

Tale necessità può sorgere, in genere, quando serve abilitare per una specifico utente l'accesso a un particolare servizio.

A livello di rules sarà necessario creare la regola di pass verso il servizio, limitandola alla source autorizzata: per fare questa limitazione sull'indirizzo sorgente, dovremo fare in modo che ogni volta che l'utente si collega, acquisisca sempre lo stesso IP.

Avevamo già scritto un articolo in precedenza (Assegnare IP statico a client OpenVPN), di cui riportiamo qui i requisiti, sempre validi, mentre aggiorniamo la procedura di configurazione che ora è ancora più semplice.

Prima di iniziare rammentiamo alcuni concetti di base:

• tutte le configurazioni OpenVPN sono di tipo Client-Server;
• anche le VPN Site to Site sono di tipo Client-Server;
• quando parliamo di IP del client ci stiamo riferendo all'IP del tunnel stabilito tra client e server.

Sebbene siano nozioni scontate è bene rinfrescarle perchè spesso ci si dimentica che:

• anche una connessione tra due firewall pfSense o più in generale tra due gateway deve essere configurata come client-server 
• al nostro client non verrà mai assegnato un IP della subnet locale del server.

Per poter assegnare un indirizzo IP statico ad un client è necessario:

• poterlo individuare con certezza;
• che non esistano due client che si presentino con lo stesso nome.

L'unico modo per farlo è utilizzare connessioni OpenVPN con certificati dove ogni client è identificato da un certificato con CN univoco e soprattutto usato per una sola installazione. 

Se non sapete come fare vi consiglio di legere prima l'articolo "OpenVPN server su pfSense 2.7"

A questo punto assumiamo:

• di aver configurato correttamente server e client;
• di aver creato un certificato client: mario.rossi;
• di aver scelto come subnet per il tunnel 10.0.0.0/24;

Per poter assegnare un IP statico alle due connessioni occorre effettuare la seguente configurazione sul server.
Accediamo a VPN > OpenVPN > Client Specific Overrides

In questa sezione dovremo creare un override per ogni client a cui vogliamo assegnare un IP statico
Per ogni Overrides dovremo indicare:

• la descrizione dell'override in Description: es. Mario Rossi
• l'identificativo del certificato sotto Common Name: es. mario.rossi
• l'ip da assegnare staticamente in IPv4 Tunnel Network: es. 10.0.0.250/24

Questa configurazione, in cui viene indicato direttamente l'ip da assegnare, sostituisce la precedente, un pochino più tricky, che utilizzava le subnet /30.

La nuova modalità è onfigurata in questo del server Ovpn dove deve essere selezionato il valore di default "One IP address per client in a common subnet". Se selezioniamo l'altra opzione disponibile (net30), torniamo alla modalità con le subnet /30, che è ancora presente per retrocompatibilità e ambienti legacy.

Una volta effettuata questa configurazione avremo un ip statico sulla VPN per il Sig. Rossi da utilizzare per creare delle regole ad hoc che lo riguardano.