10
Firewall über VPN-Verbindung?!
Guten Abend!
Mein Plan ist es, eine zentrale Firewall für von mir verwaltete (mobile) Endgeräte zu implementieren.
Die Geräte befinden sich in nicht von mir administrierten Netzwerken, sodass keine weiteren Netzwerkkomponenten physisch installiert werden können.
Bei den Geräten selbst handelt es sich um Smartphones, Tablets und Laptops mit den Betriebssystemen Android, iOS/iPadOS sowie Windows.
Ein erster Entwurf von mir sieht wie folgt aus:
Da die Netzwerke nicht von mir administriert werden, erschien mir als Halbwissender diese Vorgehensweise logisch. ;)
Die Geräte verbinden sich mit dem entsprechenden Netzwerk und greifen ausschließlich über ein von mir kontrolliertes VPN auf das Internet zu.
Zwischen VPN und Internet befindet sich eine Firewall, welche Verbindungen zu den gewünschten Adressen blockiert.
Über die Firewall sollen speziell ausgehende Verbindungen zu spezifischen IP-Adressen, ganzen IP-Adressräumen und auch Verbindungen zu spezifischen Ports für spezifische IP-Adressen und -räume blockiert werden können.
Gibt es für einen solchen Anwendungsfall eine Best Practice?
Wie würdet Ihr das Problem lösen?
Ist das Vorhaben überhaupt lösbar?!
Viele Fragezeichen...
Beste Grüße und ein schönes Wochenende
pls1byte
Mein Plan ist es, eine zentrale Firewall für von mir verwaltete (mobile) Endgeräte zu implementieren.
Die Geräte befinden sich in nicht von mir administrierten Netzwerken, sodass keine weiteren Netzwerkkomponenten physisch installiert werden können.
Bei den Geräten selbst handelt es sich um Smartphones, Tablets und Laptops mit den Betriebssystemen Android, iOS/iPadOS sowie Windows.
Ein erster Entwurf von mir sieht wie folgt aus:
Da die Netzwerke nicht von mir administriert werden, erschien mir als Halbwissender diese Vorgehensweise logisch. ;)
Die Geräte verbinden sich mit dem entsprechenden Netzwerk und greifen ausschließlich über ein von mir kontrolliertes VPN auf das Internet zu.
Zwischen VPN und Internet befindet sich eine Firewall, welche Verbindungen zu den gewünschten Adressen blockiert.
Über die Firewall sollen speziell ausgehende Verbindungen zu spezifischen IP-Adressen, ganzen IP-Adressräumen und auch Verbindungen zu spezifischen Ports für spezifische IP-Adressen und -räume blockiert werden können.
Gibt es für einen solchen Anwendungsfall eine Best Practice?
Wie würdet Ihr das Problem lösen?
Ist das Vorhaben überhaupt lösbar?!
Viele Fragezeichen...
Beste Grüße und ein schönes Wochenende
pls1byte
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4286480757
Url: https://administrator.de/contentid/4286480757
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
das ist so kein Hexen Werk.
Die Anleitungen hierzu haben wir alle hier im Forum.
Stichwort "Roadwarrior VPN PfSense".
Ich würde hier eine Sense (OSense oder PfSense) z.B. bei Hetzner auf einem Cloud Server installieren.
Kostet dich 5€ im Monat.
Das ganze ist eine FW und kann die von dir gewünschten VPN Services bereitstellen.
Gruß
Spirit
das ist so kein Hexen Werk.
Die Anleitungen hierzu haben wir alle hier im Forum.
Stichwort "Roadwarrior VPN PfSense".
Ich würde hier eine Sense (OSense oder PfSense) z.B. bei Hetzner auf einem Cloud Server installieren.
Kostet dich 5€ im Monat.
Das ganze ist eine FW und kann die von dir gewünschten VPN Services bereitstellen.
Gruß
Spirit
Du solltest auch noch dran denken - je nachdem wo die Geräte genutzt werden - immer einen Plan B zu haben. Nicht überall kannst du nen VPN aufbauen - sei es weils lokal geblockt ist oder sogar verboten wurde. Wäre ja dann ziemlich blöd wenn du zB. in China Urlaub machst und plötzlich dein Telefon nich mal Google Maps öffnen kann...
1
Einfach mal die Suchfunktion benutzen... 😉
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Scheitern am IPsec VPN mit MikroTik
Oder auch mit einem gehostetem vServer
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Scheitern am IPsec VPN mit MikroTik
Oder auch mit einem gehostetem vServer
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
1
Guten Morgen!
Zunächst vielen Dank für die Anregungen und Ausführungen!
Mittlerweile habe ich es geschafft, eine OPNsense in der Hetzner Cloud aufzusetzen.
Das Problem ist, dass ich ja gar kein „richtiges“ bzw. überhaupt kein LAN habe (?).
Um auf die Konfigurationsoberfläche der OPNsense zuzugreifen habe ich als LAN Interface das Interface des Servers mit der öffentliche IP-Adresse des Cloudservers gesetzt.
Ein WAN existiert demnach nicht bei mir, beziehungsweise das LAN Interface fungiert als WAN, was ja eigentlich absolut falsch ist.
Vermutlich aus diesem Grund bekomme ich auch keinen Handshake über das ebenfalls nach Anleitung konfigurierte Wireguard VPN…
Sollte ich dem Server ein von Hetzner bereitgestelltes privates Netzwerk zuweisen und dann über einen weiteren, reinen VPN Server ebenfalls in diesem privaten Netzwerk die OPNsense konfigurieren?
Vielen Dank!
Beste Grüße
pls1byte
Zunächst vielen Dank für die Anregungen und Ausführungen!
Mittlerweile habe ich es geschafft, eine OPNsense in der Hetzner Cloud aufzusetzen.
Das Problem ist, dass ich ja gar kein „richtiges“ bzw. überhaupt kein LAN habe (?).
Um auf die Konfigurationsoberfläche der OPNsense zuzugreifen habe ich als LAN Interface das Interface des Servers mit der öffentliche IP-Adresse des Cloudservers gesetzt.
Ein WAN existiert demnach nicht bei mir, beziehungsweise das LAN Interface fungiert als WAN, was ja eigentlich absolut falsch ist.
Vermutlich aus diesem Grund bekomme ich auch keinen Handshake über das ebenfalls nach Anleitung konfigurierte Wireguard VPN…
Sollte ich dem Server ein von Hetzner bereitgestelltes privates Netzwerk zuweisen und dann über einen weiteren, reinen VPN Server ebenfalls in diesem privaten Netzwerk die OPNsense konfigurieren?
Vielen Dank!
Beste Grüße
pls1byte
Das Problem ist, dass ich ja gar kein „richtiges“ bzw. überhaupt kein LAN habe
Das Zauberwort heisst Loopback Interface.über das ebenfalls nach Anleitung konfigurierte Wireguard VPN…
Ist eigentlich auch sinnfrei, denn das erzwingt eine zusätzliche und überflüssige Fricklei mit einem externen VPN Client auf den Endgeräten.Deutlich einfacher sowohl für dich und dein Management als auch für die Endanwender ist es immer mit den onboard VPN Clients also L2TP oder IKEv2 zu arbeiten!
Mal ganz abgesehen davon das WG auch immer noch Beta ist...
Nach langem Probieren klappt es nun wie gewünscht!
Habe mir neben dem OPNsense-Server noch einen zusätzlichen reinen Wireguard-Server aufgesetzt und beide Server über ein privates Netz verbunden, sodass ich nun LAN und WAN sauber getrennt habe.
Über den Wireguard-Server komme ich in das LAN der Firewall und kann diese darüber konfigurieren.
Mit WG-VPN über die OPNsense Firewall klappt es auch und ich kann wie gewünscht IP-Adressen, IP-Netze, Ports etc. blockieren.
Ich werde zunächst wie ursprünglich geplant auf Wireguard setzen - sollte sich das nicht bewähren, werde ich wie angeregt auf entsprechende Onboard-Clients setzen.
Noch einmal vielen Dank für die Tipps!
Einen schönen Restsonntag und einen guten Wochenstart!
pls1byte
Habe mir neben dem OPNsense-Server noch einen zusätzlichen reinen Wireguard-Server aufgesetzt und beide Server über ein privates Netz verbunden, sodass ich nun LAN und WAN sauber getrennt habe.
Über den Wireguard-Server komme ich in das LAN der Firewall und kann diese darüber konfigurieren.
Mit WG-VPN über die OPNsense Firewall klappt es auch und ich kann wie gewünscht IP-Adressen, IP-Netze, Ports etc. blockieren.
Ich werde zunächst wie ursprünglich geplant auf Wireguard setzen - sollte sich das nicht bewähren, werde ich wie angeregt auf entsprechende Onboard-Clients setzen.
Noch einmal vielen Dank für die Tipps!
Einen schönen Restsonntag und einen guten Wochenstart!
pls1byte
Du hättest auch für die Erstkonfig eine weitere VM mit dem Windows oder Linux installieren können. Über das VM Interface kommst du dann auch an die Sense heran.
Danach kannst du die zweite VM weg werfen. Alles andere ist raus geschmissenes Geld da WG ohne Probleme auf einer Sense läuft.
Oder hast du alles auf einem root Server installiert?
Danach kannst du die zweite VM weg werfen. Alles andere ist raus geschmissenes Geld da WG ohne Probleme auf einer Sense läuft.
Oder hast du alles auf einem root Server installiert?
@pls1byte genug antworten sind ja reingekommen.
Was genau hast du damit vor, habe noch nicht verstanden was genau das Ziel sein soll?
Was genau hast du damit vor, habe noch nicht verstanden was genau das Ziel sein soll?
Hallo!
@Spirit-of-Eli
Wenn du mit einem „root Server“ einen dedizierten Server meinst, dann nein.
Die Begriffe sind ja immer Ansichtssache… 😆
Habe 2 Cloud-Server angemietet.
Rausgeschmissenes Geld ist es für den Access Server irgendwo schon, aber es erhöht natürlich in einem gewissen Maße die Sicherheit der OPNsense.
Über das WAN ist die Firewall nur über den Wireguard Port von außen erreichbar und ich habe ein „vernünftiges“ privates LAN gebaut.
@micneu
Das Ziel ist es, über das VPN einmal die sicherere Möglichkeit der Nutzung von fremden, beziehungsweise nicht kontrollierten Netzwerken zu bieten und zusätzlich die Möglichkeit zu besitzen, den Internetverkehr der Geräte über die Firewall zentral zu beschränken.
Aktuell funktioniert alles wie ursprünglich geplant war.
Grüße
@Spirit-of-Eli
Wenn du mit einem „root Server“ einen dedizierten Server meinst, dann nein.
Die Begriffe sind ja immer Ansichtssache… 😆
Habe 2 Cloud-Server angemietet.
Rausgeschmissenes Geld ist es für den Access Server irgendwo schon, aber es erhöht natürlich in einem gewissen Maße die Sicherheit der OPNsense.
Über das WAN ist die Firewall nur über den Wireguard Port von außen erreichbar und ich habe ein „vernünftiges“ privates LAN gebaut.
@micneu
Das Ziel ist es, über das VPN einmal die sicherere Möglichkeit der Nutzung von fremden, beziehungsweise nicht kontrollierten Netzwerken zu bieten und zusätzlich die Möglichkeit zu besitzen, den Internetverkehr der Geräte über die Firewall zentral zu beschränken.
Aktuell funktioniert alles wie ursprünglich geplant war.
Grüße
Aktuell funktioniert alles wie ursprünglich geplant war.
Dann bleibt dir ja nur noch deinen Thread nun als erledigt zu schliessen!
