Openvpn für Mitarbeiter und Certifikate Problem
Hallo Zusammen,
ich hab für unsere Mitarbeiter ein VPN-Server Openvpn eingerichtet, bin noch auf der Testphase und daher habe ich es noch nicht veröffentlicht und hätte dies bezüglich zwei Frage an euch:
1) Erlaubt ihr den Mitarbeiter den ganzen Internet Traffik durch zu Tunnel ? Welche Richtlinien soll nach eurer Meinung mindestens eingehalten werden ?
Auf dem VPN-Server ist eine Document-Management-System und der DMS ist über https erreichbar ( nur über bestimmte statische IP-Adresse // Whitelist) . Zertfikate erstelle ich über Lets Encrypt. Wenn ich erlaube den Traffic durchzutunnel, können die Mitarbeiter DMS über https erreichen, aber nebenbei wird der restliche Traffic durchgetunnelt und das möchte ich nicht. Wenn der VPN-Client nur lokale Adresse erreichen soll, kann ich den Host über 10.8.0.1:443 erreichen, diesmal erhalte ich ein Zertifikat-Problemmeldung, wie zum Beispiel bei Modzilla oder Google und dann meckern die Mitarbeiter, der eine oder andere. Gibt es eine Alternative, wie ich das Zertifikat-Problem beheben kann.
Gruss
decehakan
ich hab für unsere Mitarbeiter ein VPN-Server Openvpn eingerichtet, bin noch auf der Testphase und daher habe ich es noch nicht veröffentlicht und hätte dies bezüglich zwei Frage an euch:
1) Erlaubt ihr den Mitarbeiter den ganzen Internet Traffik durch zu Tunnel ? Welche Richtlinien soll nach eurer Meinung mindestens eingehalten werden ?
Auf dem VPN-Server ist eine Document-Management-System und der DMS ist über https erreichbar ( nur über bestimmte statische IP-Adresse // Whitelist) . Zertfikate erstelle ich über Lets Encrypt. Wenn ich erlaube den Traffic durchzutunnel, können die Mitarbeiter DMS über https erreichen, aber nebenbei wird der restliche Traffic durchgetunnelt und das möchte ich nicht. Wenn der VPN-Client nur lokale Adresse erreichen soll, kann ich den Host über 10.8.0.1:443 erreichen, diesmal erhalte ich ein Zertifikat-Problemmeldung, wie zum Beispiel bei Modzilla oder Google und dann meckern die Mitarbeiter, der eine oder andere. Gibt es eine Alternative, wie ich das Zertifikat-Problem beheben kann.
Gruss
decehakan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1247243238
Url: https://administrator.de/forum/openvpn-fuer-mitarbeiter-und-certifikate-problem-1247243238.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
4 Kommentare
Neuester Kommentar
Das hiesige OVPN Tutorial erwähnt auch explizit die Unterschiede von Gateway Redirect und Split Tunneling:
Merkzettel: VPN Installation mit OpenVPN
Die Frage kann aber niemand hier beantworten ohne deine Sicherheits Policy zu kennen bzw. die der Clients.
Generell ist es kontraproduktiv allen Traffic zu tunneln was immer zu Lasten der Performance geht, bzw. musst du entsprechende zentrale VPN Gateway Bandbreite vorhalten denn dort kummuliert ja aller Traffic der Clients. OpenVPN ist da nicht ganz so effizient wie z.B. IPsec wenn du dir die Vergleichszahlen dazu einmal ansiehst:
https://www.wireguard.com/performance/
In sofern ist Split Tunneling immer vorzuziehen um nur die Netze zu tunneln die auch remote erreichbar sein sollten.
Es kann aber auch Sinn machen allen Traffic zu tunneln, z.B. wenn Mitarbeiter sich in unsicheren Netzen wie Kneipen Hotspots, Hotel Netze usw. bewegen und um deren gesamten Traffic dann zu sichern auch den privaten.
Ist also immer eine Frage der Company Sicherheits Policy und hat eher wenig mit der VPN Technik an sich zu tun. Weisst du sicher ja auch selber ?!
Merkzettel: VPN Installation mit OpenVPN
Die Frage kann aber niemand hier beantworten ohne deine Sicherheits Policy zu kennen bzw. die der Clients.
Generell ist es kontraproduktiv allen Traffic zu tunneln was immer zu Lasten der Performance geht, bzw. musst du entsprechende zentrale VPN Gateway Bandbreite vorhalten denn dort kummuliert ja aller Traffic der Clients. OpenVPN ist da nicht ganz so effizient wie z.B. IPsec wenn du dir die Vergleichszahlen dazu einmal ansiehst:
https://www.wireguard.com/performance/
In sofern ist Split Tunneling immer vorzuziehen um nur die Netze zu tunneln die auch remote erreichbar sein sollten.
Es kann aber auch Sinn machen allen Traffic zu tunneln, z.B. wenn Mitarbeiter sich in unsicheren Netzen wie Kneipen Hotspots, Hotel Netze usw. bewegen und um deren gesamten Traffic dann zu sichern auch den privaten.
Ist also immer eine Frage der Company Sicherheits Policy und hat eher wenig mit der VPN Technik an sich zu tun. Weisst du sicher ja auch selber ?!
dafür ist er viel flexibler als IPSEC
Ist natürlich Unsinn. Weisst du auch selber...und plus keine Nat Probleme
Dafür kennt IPsec ja NAT Traversal mit UDP 4500 https://www.ip-insider.de/was-ist-nat-traversal-nat-t-a-921138/
also ein beschränkten ipsec.
Bahnhof ?? Was ist oder soll denn ein "beschränktes" IPsec sein ??Vielleicht mit pfsense oder cisco hätte ich dieses nat problem nicht.
Ääähh nein ! NAT Traversal ist seit 2005 ein zentraler Bestandteil von IPsec und das können ALLE IPsec fähigen Endgeräte weltweit ! Die RFCs 3947 und 3948 legen das fest. Wie kommst du auf sowas als IT Profi ?!WIe sieht es mit push dns route aus ? Geht es auch mit Splitt tunneling ?
Natürlich !Guckst du HIER.
Tutorial lesen hilft wirklich.
Macht das push "dhcp-option DNS <ip_dns_server>" Kommando in der Server Konfig das, egal ob Redirect oder Split Tunnel, funktioniert.
welche Schnittstelle löst den DNS Namen zuerst auf ?
Eine "Schnittstelle" löst schon mal generell keine Namen auf ! Solltest du auch wissen, das macht nur der DNS Server.Der Client geht dann nach Reihenfolge der DNS Server IP Adressen die er kennt. ipconfig -all bei Winblows zeigt dir diese wie immer an.
Bei eingewähltem VPN Client mit push "dhcp-option DNS Option steht der an erster Stelle. Clients fragen dann also diesen DNS nach Hostnamen bzw. werden dann von dem weitergeleitet sofern er eine Weiterleitung hat. Erst nach einem Timeout wird ein zweiter befragt.
Mit dem Kommando nslookup kannst du die korrekte DNS Serverwahl prüfen was du ja als alter IT Hase auch kennst.