Idee für externe Support-Zugänge via VPN
Hallo
Ich suche eine Idee für eine sichere und einfache VPN Anbindung von Supportfirmen für technische Steuerungen. (Lüftung, Heizung, usw.)
Ausgangslage:
- OPNsense Firewall
- diverse VLANs, darunter ein technisches Netzwerk für Steuerungen
Bisheriges vorgehen:
- OpenVPN Server auf der OPNsense
- FreeRadius mit verschiedenen Anmeldedaten inkl. fixer Zuweisung einer OpenVPN Tunnel IPv4
- Firewall Regeln Anhand der OpenVPN Tunnel Adressen
- Syslog für die Protokollierung der Verbindungen
Dies funktioniert einwandfrei und jedes Login hat nur Zugang zu seiner zugewiesenen Steuerung.
Die Steuerungen müssen via IPv4 erreichbar sein, entweder Web oder spezifische Ports je nach Hersteller.
Ich suche nun nach einer besseren / einfacheren Lösung, da ein nächstes Projekt gegen 30 externe VPN Verbindungen benötigt und dies mir zu Aufwendig sowie Fehleranfällig wird. Fehleranfällig im Bezug auf die menschlichen Fehler beim Pflegen der Firewall Richtlinien.
Meine gewünschten Verbesserungen:
- einfachere Verwaltungen der OpenVPN Benutzer
- Bessere Protokollierung aller Zugänge, je Benutzer und nicht mühsam in einer grossen Logdatei
- nicht mehr je Benutzer eine Firewall Regel, sondern direkt via Benutzer die erreichbaren Geräte definierbar
Die OPNsense ist fix, ebenfalls keine Windows Software und wenn möglich nur kostengünstige Software.
VPN muss nicht zwangsweise via OpenVPN erfolgen, aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Meine Idee:
- OPNsense + OpenVPN mit RADIUS Anbindung
- UCS AD Server (einfache Benutzerverwaltung und gute Log Auswertung)
Ich habe aber noch keine Lösung für die einfachere Firewall Richtlinien.
Habt Ihr Ideen?
Gruss Philippe
Ich suche eine Idee für eine sichere und einfache VPN Anbindung von Supportfirmen für technische Steuerungen. (Lüftung, Heizung, usw.)
Ausgangslage:
- OPNsense Firewall
- diverse VLANs, darunter ein technisches Netzwerk für Steuerungen
Bisheriges vorgehen:
- OpenVPN Server auf der OPNsense
- FreeRadius mit verschiedenen Anmeldedaten inkl. fixer Zuweisung einer OpenVPN Tunnel IPv4
- Firewall Regeln Anhand der OpenVPN Tunnel Adressen
- Syslog für die Protokollierung der Verbindungen
Dies funktioniert einwandfrei und jedes Login hat nur Zugang zu seiner zugewiesenen Steuerung.
Die Steuerungen müssen via IPv4 erreichbar sein, entweder Web oder spezifische Ports je nach Hersteller.
Ich suche nun nach einer besseren / einfacheren Lösung, da ein nächstes Projekt gegen 30 externe VPN Verbindungen benötigt und dies mir zu Aufwendig sowie Fehleranfällig wird. Fehleranfällig im Bezug auf die menschlichen Fehler beim Pflegen der Firewall Richtlinien.
Meine gewünschten Verbesserungen:
- einfachere Verwaltungen der OpenVPN Benutzer
- Bessere Protokollierung aller Zugänge, je Benutzer und nicht mühsam in einer grossen Logdatei
- nicht mehr je Benutzer eine Firewall Regel, sondern direkt via Benutzer die erreichbaren Geräte definierbar
Die OPNsense ist fix, ebenfalls keine Windows Software und wenn möglich nur kostengünstige Software.
VPN muss nicht zwangsweise via OpenVPN erfolgen, aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Meine Idee:
- OPNsense + OpenVPN mit RADIUS Anbindung
- UCS AD Server (einfache Benutzerverwaltung und gute Log Auswertung)
Ich habe aber noch keine Lösung für die einfachere Firewall Richtlinien.
Habt Ihr Ideen?
Gruss Philippe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665404
Url: https://administrator.de/forum/idee-fuer-externe-support-zugaenge-via-vpn-665404.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
8 Kommentare
Neuester Kommentar
aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Dann vielleicht zusätzlich oder Migration auf WireGuard:Merkzettel: VPN Installation mit Wireguard
Moin @Philippe27,
wir haben für sowas ähnliches inzwischen Apache Guacamole im Einsatz. Es handelt sich dabei um einen HTML5 Client auf Basis von JAVA mit dem über schiedene Protokoll (z.B. RDP, VNC, SSH, etc...) auf entsprechenden Geräte eine Verbindung aufgebaut werden kann. Der Einsatz von VPN Technologien wie IPSEC, OpenVPN ist nicht mehr erforderlich. Ein aktuelle Browser reicht grundsätzlich aus.
Die Benutzerverwaltung kann ebenfalls darin erfolgen sowie optional RADIUS oder LDAP. Das Ganze kann entsprechend mit einer 2FA abgesichert werden. Über Verbindungsgruppen und Gruppen können den Benutzer einfach und sicher die entsprechende Geräte zugewiesen werden.
Das erstmal die Idee... es hängt natürlich von den Rahmenbedingungen bei euch ab. Die kennen wir natürlich nicht bis ins Detail.
Gruß,
Dani
wir haben für sowas ähnliches inzwischen Apache Guacamole im Einsatz. Es handelt sich dabei um einen HTML5 Client auf Basis von JAVA mit dem über schiedene Protokoll (z.B. RDP, VNC, SSH, etc...) auf entsprechenden Geräte eine Verbindung aufgebaut werden kann. Der Einsatz von VPN Technologien wie IPSEC, OpenVPN ist nicht mehr erforderlich. Ein aktuelle Browser reicht grundsätzlich aus.
Die Benutzerverwaltung kann ebenfalls darin erfolgen sowie optional RADIUS oder LDAP. Das Ganze kann entsprechend mit einer 2FA abgesichert werden. Über Verbindungsgruppen und Gruppen können den Benutzer einfach und sicher die entsprechende Geräte zugewiesen werden.
Das erstmal die Idee... es hängt natürlich von den Rahmenbedingungen bei euch ab. Die kennen wir natürlich nicht bis ins Detail.
Gruß,
Dani