8
Idee für externe Support-Zugänge via VPN
Hallo
Ich suche eine Idee für eine sichere und einfache VPN Anbindung von Supportfirmen für technische Steuerungen. (Lüftung, Heizung, usw.)
Ausgangslage:
- OPNsense Firewall
- diverse VLANs, darunter ein technisches Netzwerk für Steuerungen
Bisheriges vorgehen:
- OpenVPN Server auf der OPNsense
- FreeRadius mit verschiedenen Anmeldedaten inkl. fixer Zuweisung einer OpenVPN Tunnel IPv4
- Firewall Regeln Anhand der OpenVPN Tunnel Adressen
- Syslog für die Protokollierung der Verbindungen
Dies funktioniert einwandfrei und jedes Login hat nur Zugang zu seiner zugewiesenen Steuerung.
Die Steuerungen müssen via IPv4 erreichbar sein, entweder Web oder spezifische Ports je nach Hersteller.
Ich suche nun nach einer besseren / einfacheren Lösung, da ein nächstes Projekt gegen 30 externe VPN Verbindungen benötigt und dies mir zu Aufwendig sowie Fehleranfällig wird. Fehleranfällig im Bezug auf die menschlichen Fehler beim Pflegen der Firewall Richtlinien.
Meine gewünschten Verbesserungen:
- einfachere Verwaltungen der OpenVPN Benutzer
- Bessere Protokollierung aller Zugänge, je Benutzer und nicht mühsam in einer grossen Logdatei
- nicht mehr je Benutzer eine Firewall Regel, sondern direkt via Benutzer die erreichbaren Geräte definierbar
Die OPNsense ist fix, ebenfalls keine Windows Software und wenn möglich nur kostengünstige Software.
VPN muss nicht zwangsweise via OpenVPN erfolgen, aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Meine Idee:
- OPNsense + OpenVPN mit RADIUS Anbindung
- UCS AD Server (einfache Benutzerverwaltung und gute Log Auswertung)
Ich habe aber noch keine Lösung für die einfachere Firewall Richtlinien.
Habt Ihr Ideen?
Gruss Philippe
Ich suche eine Idee für eine sichere und einfache VPN Anbindung von Supportfirmen für technische Steuerungen. (Lüftung, Heizung, usw.)
Ausgangslage:
- OPNsense Firewall
- diverse VLANs, darunter ein technisches Netzwerk für Steuerungen
Bisheriges vorgehen:
- OpenVPN Server auf der OPNsense
- FreeRadius mit verschiedenen Anmeldedaten inkl. fixer Zuweisung einer OpenVPN Tunnel IPv4
- Firewall Regeln Anhand der OpenVPN Tunnel Adressen
- Syslog für die Protokollierung der Verbindungen
Dies funktioniert einwandfrei und jedes Login hat nur Zugang zu seiner zugewiesenen Steuerung.
Die Steuerungen müssen via IPv4 erreichbar sein, entweder Web oder spezifische Ports je nach Hersteller.
Ich suche nun nach einer besseren / einfacheren Lösung, da ein nächstes Projekt gegen 30 externe VPN Verbindungen benötigt und dies mir zu Aufwendig sowie Fehleranfällig wird. Fehleranfällig im Bezug auf die menschlichen Fehler beim Pflegen der Firewall Richtlinien.
Meine gewünschten Verbesserungen:
- einfachere Verwaltungen der OpenVPN Benutzer
- Bessere Protokollierung aller Zugänge, je Benutzer und nicht mühsam in einer grossen Logdatei
- nicht mehr je Benutzer eine Firewall Regel, sondern direkt via Benutzer die erreichbaren Geräte definierbar
Die OPNsense ist fix, ebenfalls keine Windows Software und wenn möglich nur kostengünstige Software.
VPN muss nicht zwangsweise via OpenVPN erfolgen, aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Meine Idee:
- OPNsense + OpenVPN mit RADIUS Anbindung
- UCS AD Server (einfache Benutzerverwaltung und gute Log Auswertung)
Ich habe aber noch keine Lösung für die einfachere Firewall Richtlinien.
Habt Ihr Ideen?
Gruss Philippe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665404
Url: https://administrator.de/contentid/665404
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
Naja die Möglichkeiten werden dadurch stark eingeschränkt.
aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Dann vielleicht zusätzlich oder Migration auf WireGuard:Merkzettel: VPN Installation mit Wireguard
Moin @Philippe27,
wir haben für sowas ähnliches inzwischen Apache Guacamole im Einsatz. Es handelt sich dabei um einen HTML5 Client auf Basis von JAVA mit dem über schiedene Protokoll (z.B. RDP, VNC, SSH, etc...) auf entsprechenden Geräte eine Verbindung aufgebaut werden kann. Der Einsatz von VPN Technologien wie IPSEC, OpenVPN ist nicht mehr erforderlich. Ein aktuelle Browser reicht grundsätzlich aus.
Die Benutzerverwaltung kann ebenfalls darin erfolgen sowie optional RADIUS oder LDAP. Das Ganze kann entsprechend mit einer 2FA abgesichert werden. Über Verbindungsgruppen und Gruppen können den Benutzer einfach und sicher die entsprechende Geräte zugewiesen werden.
Das erstmal die Idee... es hängt natürlich von den Rahmenbedingungen bei euch ab. Die kennen wir natürlich nicht bis ins Detail.
Gruß,
Dani
wir haben für sowas ähnliches inzwischen Apache Guacamole im Einsatz. Es handelt sich dabei um einen HTML5 Client auf Basis von JAVA mit dem über schiedene Protokoll (z.B. RDP, VNC, SSH, etc...) auf entsprechenden Geräte eine Verbindung aufgebaut werden kann. Der Einsatz von VPN Technologien wie IPSEC, OpenVPN ist nicht mehr erforderlich. Ein aktuelle Browser reicht grundsätzlich aus.
Die Benutzerverwaltung kann ebenfalls darin erfolgen sowie optional RADIUS oder LDAP. Das Ganze kann entsprechend mit einer 2FA abgesichert werden. Über Verbindungsgruppen und Gruppen können den Benutzer einfach und sicher die entsprechende Geräte zugewiesen werden.
Das erstmal die Idee... es hängt natürlich von den Rahmenbedingungen bei euch ab. Die kennen wir natürlich nicht bis ins Detail.
Gruß,
Dani
WireGuard habe ich selbst im Einsatz, aber ich sehe derzeit für Laien noch keinen Mehrwert in Punkto Einrichtungsfreundlichkeit.
Die Geschwindigkeitsvorteile im Vergleich zu OpenVPN brauche ich derzeit nicht.
Aber danke für den Hinweis.
Die Geschwindigkeitsvorteile im Vergleich zu OpenVPN brauche ich derzeit nicht.
Aber danke für den Hinweis.
Hallo Dani
Apache Guacamole klingt sehr Interessant, aber für dieses Szenario reicht es mir nicht für alles und es wäre eine Teillösung.
Gemäss Pflichtenheft habe ich einzelne Steuerungen mit herstellerspezifischen Ports und ein wildes durcheinander zwischen SSH, Telnet, iBus usw.
Aber ich behalte es gerne im Hinterkopf, danke.
Gruss Philippe
Apache Guacamole klingt sehr Interessant, aber für dieses Szenario reicht es mir nicht für alles und es wäre eine Teillösung.
Gemäss Pflichtenheft habe ich einzelne Steuerungen mit herstellerspezifischen Ports und ein wildes durcheinander zwischen SSH, Telnet, iBus usw.
Aber ich behalte es gerne im Hinterkopf, danke.
Gruss Philippe
Moin,
ist evtl. eine Option eine VM mit Windows als Jump Host zwischen zu nehmen. Sprich Browser <-> Apache Guacamole <-> VM <-> Steuerungen.
Gruß,
Dani
ist evtl. eine Option eine VM mit Windows als Jump Host zwischen zu nehmen. Sprich Browser <-> Apache Guacamole <-> VM <-> Steuerungen.
Gruß,
Dani
+1 für Guacamole, ist das supereinfach. Da der TE den UCS schon einsetzt, kann er Guacamole einfach als App installieren.
Ansonsten habe ich die gleiche Anforderung und setze dafür auch den von Dani genannten "Jump Host" ein. Da sind alle benötigten Tools für externe DLs drauf installiert.
VG
Ansonsten habe ich die gleiche Anforderung und setze dafür auch den von Dani genannten "Jump Host" ein. Da sind alle benötigten Tools für externe DLs drauf installiert.
VG
Würde mich dem Beitrag von Dani auch anschließen und es mit dem Jump Host probieren. Sollte klappen und auch wie chgorges sagt, sind dann alle Tools für die externen DLs vorhanden.
Liebe Grüße
Liebe Grüße
