0
Benutzer mit Zugriffsrechten für IPsec VPN auf der pfSense anlegen - Problem mit Windows 10 Klient
Hallo,
entsprechend der tollen Anleitung von aqui habe ich "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall" eingerichtet.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ziel ist nun folgendes:
Es gibt ein LAN 1 und LAN 2. An Nutzer(gruppen) soll es "Verwalter 1-5" und "Nutzer 1-XX" geben. Die "Verwalter" sollen auf beide LANs zugreifen dürfen. Die "Nutzer" jedoch nur auf einen bestimmten Dienst innerhalb des LAN2 (Zugriff auf Dateien eines Server, die im Datei-Explorer angezeigt werden sollen).
Nach aqui kann das nur darüber gelöst werden, das jedem Nutzern feste Absender IP Adressen zugeteilt werden. Damit gibt es zu jedem Benutzer eine feste IP auf die man dann wieder "Nutzer" und "Verwalter" Regeln anwenden kann.
Nun die Fragen,
- wo lege ich die Nutzer an?
- Wie kann ich feste Absender IP Adressen anlegen?
Folgende Vorgehensweise hätte ich im Kopf und hoffe, dass diese passt.
Unter "VPN / IPsec / Pre-Shared Keys" können Benutzer und ein virtueller IP-Adress-Pool angelegt werden.
Hierüber würde ich weiterhin die Benutzer anlegen.
Kann ich hier auch die feste IP vergeben?
Falls ja.
1. Die Adresse muss vermutlich außerhalb des Adress-Pools des "Mobile Clients" und sonstiger DHCP-Bereiche liegen?
2. Und verwende ich dann X.X.X.X/32 oder etwas anderes?
Wenn alle Benutzer mit IP angelegt sind, kann ich vermutlich "Aliases" bilden und meine Nutzer über die FW-Regeln in IPsec administrieren.
Update: Grundsätzlich funktioniert es. Problem habe ich mit den Windows 10 Klienten.
Problem:
In der pfSense ist z. B. der "Nutzer1" mit IP X.X.1.1 definiert. Melde ich mich über Android mit StrongSwan an, bekommt er die entsprechende IP zugewiesen.
Anders bei Windows 10. Eingerichtet ist der Klient nach der Anleitung von aqui mit Hilfe von PowerShell (IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten). Hier ist die IP eine vom virtuellen IP-Adress-Pool aus den definierten "Mobile Client", z. B. X.X.0.1 und nicht die vorgegebene.
Schon probiert:
1. Versuch die IP am PC einzutragen --> nicht funktioniert
2. ShrewSoft probiert --> bekomme das Programm nicht zum laufen
3. Den virtuellen Adress-Pool unter "VPN / IPsec / Mobile Clients" deaktiviert --> für die Android Geräte mit StrongSwan kein Problem; Windows 10 PC verbindet sich nicht mehr.
Jemand eine Idee, wie ich den Windows 10 Klienten, bzw. die pfSense dazu bekomme, dem Notebook die definierte "Nutzer1" Adresse zu geben?
Hoffe der Weg würde passen und freue mich auf Euer Feedback.
Dies ist meine erste Frage. Daher Entschuldigung, falls ich etwas nicht beachtet habe.
entsprechend der tollen Anleitung von aqui habe ich "IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall" eingerichtet.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ziel ist nun folgendes:
Es gibt ein LAN 1 und LAN 2. An Nutzer(gruppen) soll es "Verwalter 1-5" und "Nutzer 1-XX" geben. Die "Verwalter" sollen auf beide LANs zugreifen dürfen. Die "Nutzer" jedoch nur auf einen bestimmten Dienst innerhalb des LAN2 (Zugriff auf Dateien eines Server, die im Datei-Explorer angezeigt werden sollen).
Nach aqui kann das nur darüber gelöst werden, das jedem Nutzern feste Absender IP Adressen zugeteilt werden. Damit gibt es zu jedem Benutzer eine feste IP auf die man dann wieder "Nutzer" und "Verwalter" Regeln anwenden kann.
Nun die Fragen,
- wo lege ich die Nutzer an?
- Wie kann ich feste Absender IP Adressen anlegen?
Folgende Vorgehensweise hätte ich im Kopf und hoffe, dass diese passt.
Unter "VPN / IPsec / Pre-Shared Keys" können Benutzer und ein virtueller IP-Adress-Pool angelegt werden.
Hierüber würde ich weiterhin die Benutzer anlegen.
Kann ich hier auch die feste IP vergeben?
Falls ja.
1. Die Adresse muss vermutlich außerhalb des Adress-Pools des "Mobile Clients" und sonstiger DHCP-Bereiche liegen?
2. Und verwende ich dann X.X.X.X/32 oder etwas anderes?
Wenn alle Benutzer mit IP angelegt sind, kann ich vermutlich "Aliases" bilden und meine Nutzer über die FW-Regeln in IPsec administrieren.
Update: Grundsätzlich funktioniert es. Problem habe ich mit den Windows 10 Klienten.
Problem:
In der pfSense ist z. B. der "Nutzer1" mit IP X.X.1.1 definiert. Melde ich mich über Android mit StrongSwan an, bekommt er die entsprechende IP zugewiesen.
Anders bei Windows 10. Eingerichtet ist der Klient nach der Anleitung von aqui mit Hilfe von PowerShell (IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten). Hier ist die IP eine vom virtuellen IP-Adress-Pool aus den definierten "Mobile Client", z. B. X.X.0.1 und nicht die vorgegebene.
Schon probiert:
1. Versuch die IP am PC einzutragen --> nicht funktioniert
2. ShrewSoft probiert --> bekomme das Programm nicht zum laufen
3. Den virtuellen Adress-Pool unter "VPN / IPsec / Mobile Clients" deaktiviert --> für die Android Geräte mit StrongSwan kein Problem; Windows 10 PC verbindet sich nicht mehr.
Jemand eine Idee, wie ich den Windows 10 Klienten, bzw. die pfSense dazu bekomme, dem Notebook die definierte "Nutzer1" Adresse zu geben?
Hoffe der Weg würde passen und freue mich auf Euer Feedback.
Dies ist meine erste Frage. Daher Entschuldigung, falls ich etwas nicht beachtet habe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 566251
Url: https://administrator.de/contentid/566251
Ausgedruckt am: 26.04.2024 um 14:04 Uhr
