philippe27
Goto Top

Idee für externe Support-Zugänge via VPN

Hallo

Ich suche eine Idee für eine sichere und einfache VPN Anbindung von Supportfirmen für technische Steuerungen. (Lüftung, Heizung, usw.)

Ausgangslage:
- OPNsense Firewall
- diverse VLANs, darunter ein technisches Netzwerk für Steuerungen

Bisheriges vorgehen:
- OpenVPN Server auf der OPNsense
- FreeRadius mit verschiedenen Anmeldedaten inkl. fixer Zuweisung einer OpenVPN Tunnel IPv4
- Firewall Regeln Anhand der OpenVPN Tunnel Adressen
- Syslog für die Protokollierung der Verbindungen

Dies funktioniert einwandfrei und jedes Login hat nur Zugang zu seiner zugewiesenen Steuerung.
Die Steuerungen müssen via IPv4 erreichbar sein, entweder Web oder spezifische Ports je nach Hersteller.

Ich suche nun nach einer besseren / einfacheren Lösung, da ein nächstes Projekt gegen 30 externe VPN Verbindungen benötigt und dies mir zu Aufwendig sowie Fehleranfällig wird. Fehleranfällig im Bezug auf die menschlichen Fehler beim Pflegen der Firewall Richtlinien.

Meine gewünschten Verbesserungen:
- einfachere Verwaltungen der OpenVPN Benutzer
- Bessere Protokollierung aller Zugänge, je Benutzer und nicht mühsam in einer grossen Logdatei
- nicht mehr je Benutzer eine Firewall Regel, sondern direkt via Benutzer die erreichbaren Geräte definierbar

Die OPNsense ist fix, ebenfalls keine Windows Software und wenn möglich nur kostengünstige Software.
VPN muss nicht zwangsweise via OpenVPN erfolgen, aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.

Meine Idee:
- OPNsense + OpenVPN mit RADIUS Anbindung
- UCS AD Server (einfache Benutzerverwaltung und gute Log Auswertung)

Ich habe aber noch keine Lösung für die einfachere Firewall Richtlinien.
Habt Ihr Ideen?

Gruss Philippe

Content-ID: 665404

Url: https://administrator.de/forum/idee-fuer-externe-support-zugaenge-via-vpn-665404.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

Mystery-at-min
Mystery-at-min 05.04.2021 um 19:19:38 Uhr
Goto Top
Naja die Möglichkeiten werden dadurch stark eingeschränkt.
aqui
aqui 05.04.2021 um 20:05:25 Uhr
Goto Top
aber die vielen externen Supporter sind nicht immer technisch visiert um einen IPsec Tunnel einzurichten.
Dann vielleicht zusätzlich oder Migration auf WireGuard:
Merkzettel: VPN Installation mit Wireguard
Dani
Dani 05.04.2021 um 20:18:50 Uhr
Goto Top
Moin @Philippe27,
wir haben für sowas ähnliches inzwischen Apache Guacamole im Einsatz. Es handelt sich dabei um einen HTML5 Client auf Basis von JAVA mit dem über schiedene Protokoll (z.B. RDP, VNC, SSH, etc...) auf entsprechenden Geräte eine Verbindung aufgebaut werden kann. Der Einsatz von VPN Technologien wie IPSEC, OpenVPN ist nicht mehr erforderlich. Ein aktuelle Browser reicht grundsätzlich aus.

Die Benutzerverwaltung kann ebenfalls darin erfolgen sowie optional RADIUS oder LDAP. Das Ganze kann entsprechend mit einer 2FA abgesichert werden. Über Verbindungsgruppen und Gruppen können den Benutzer einfach und sicher die entsprechende Geräte zugewiesen werden.

Das erstmal die Idee... es hängt natürlich von den Rahmenbedingungen bei euch ab. Die kennen wir natürlich nicht bis ins Detail.


Gruß,
Dani
Philippe27
Philippe27 05.04.2021 um 21:21:43 Uhr
Goto Top
WireGuard habe ich selbst im Einsatz, aber ich sehe derzeit für Laien noch keinen Mehrwert in Punkto Einrichtungsfreundlichkeit.
Die Geschwindigkeitsvorteile im Vergleich zu OpenVPN brauche ich derzeit nicht.

Aber danke für den Hinweis.
Philippe27
Philippe27 05.04.2021 um 21:25:41 Uhr
Goto Top
Hallo Dani

Apache Guacamole klingt sehr Interessant, aber für dieses Szenario reicht es mir nicht für alles und es wäre eine Teillösung.
Gemäss Pflichtenheft habe ich einzelne Steuerungen mit herstellerspezifischen Ports und ein wildes durcheinander zwischen SSH, Telnet, iBus usw.
Aber ich behalte es gerne im Hinterkopf, danke.

Gruss Philippe
Dani
Dani 05.04.2021 um 21:49:56 Uhr
Goto Top
Moin,
ist evtl. eine Option eine VM mit Windows als Jump Host zwischen zu nehmen. Sprich Browser <-> Apache Guacamole <-> VM <-> Steuerungen.


Gruß,
Dani
chgorges
chgorges 05.04.2021 um 23:23:07 Uhr
Goto Top
+1 für Guacamole, ist das supereinfach. Da der TE den UCS schon einsetzt, kann er Guacamole einfach als App installieren.

Ansonsten habe ich die gleiche Anforderung und setze dafür auch den von Dani genannten "Jump Host" ein. Da sind alle benötigten Tools für externe DLs drauf installiert.

VG
itwelt32
itwelt32 07.04.2021 um 17:25:49 Uhr
Goto Top
Würde mich dem Beitrag von Dani auch anschließen und es mit dem Jump Host probieren. Sollte klappen und auch wie chgorges sagt, sind dann alle Tools für die externen DLs vorhanden.

Liebe Grüße