4
Openvpn für Mitarbeiter und Certifikate Problem
Hallo Zusammen,
ich hab für unsere Mitarbeiter ein VPN-Server Openvpn eingerichtet, bin noch auf der Testphase und daher habe ich es noch nicht veröffentlicht und hätte dies bezüglich zwei Frage an euch:
1) Erlaubt ihr den Mitarbeiter den ganzen Internet Traffik durch zu Tunnel ? Welche Richtlinien soll nach eurer Meinung mindestens eingehalten werden ?
Auf dem VPN-Server ist eine Document-Management-System und der DMS ist über https erreichbar ( nur über bestimmte statische IP-Adresse // Whitelist) . Zertfikate erstelle ich über Lets Encrypt. Wenn ich erlaube den Traffic durchzutunnel, können die Mitarbeiter DMS über https erreichen, aber nebenbei wird der restliche Traffic durchgetunnelt und das möchte ich nicht. Wenn der VPN-Client nur lokale Adresse erreichen soll, kann ich den Host über 10.8.0.1:443 erreichen, diesmal erhalte ich ein Zertifikat-Problemmeldung, wie zum Beispiel bei Modzilla oder Google und dann meckern die Mitarbeiter, der eine oder andere. Gibt es eine Alternative, wie ich das Zertifikat-Problem beheben kann.
Gruss
decehakan
ich hab für unsere Mitarbeiter ein VPN-Server Openvpn eingerichtet, bin noch auf der Testphase und daher habe ich es noch nicht veröffentlicht und hätte dies bezüglich zwei Frage an euch:
1) Erlaubt ihr den Mitarbeiter den ganzen Internet Traffik durch zu Tunnel ? Welche Richtlinien soll nach eurer Meinung mindestens eingehalten werden ?
Auf dem VPN-Server ist eine Document-Management-System und der DMS ist über https erreichbar ( nur über bestimmte statische IP-Adresse // Whitelist) . Zertfikate erstelle ich über Lets Encrypt. Wenn ich erlaube den Traffic durchzutunnel, können die Mitarbeiter DMS über https erreichen, aber nebenbei wird der restliche Traffic durchgetunnelt und das möchte ich nicht. Wenn der VPN-Client nur lokale Adresse erreichen soll, kann ich den Host über 10.8.0.1:443 erreichen, diesmal erhalte ich ein Zertifikat-Problemmeldung, wie zum Beispiel bei Modzilla oder Google und dann meckern die Mitarbeiter, der eine oder andere. Gibt es eine Alternative, wie ich das Zertifikat-Problem beheben kann.
Gruss
decehakan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1247243238
Url: https://administrator.de/contentid/1247243238
Printed on: April 26, 2024 at 15:04 o'clock
4 Comments
Latest comment
Du kannst in der .ovpn Datei hinterlegen ob der Tunnel die Standard Gateway werden soll oder nicht. In deinem Fall ist es die Standardgateway und es geht dann sämtlicher Traffic durch den Tunnel.
push "redirect-gateway def1" 
Das hiesige OVPN Tutorial erwähnt auch explizit die Unterschiede von Gateway Redirect und Split Tunneling:
Merkzettel: VPN Installation mit OpenVPN
Die Frage kann aber niemand hier beantworten ohne deine Sicherheits Policy zu kennen bzw. die der Clients.
Generell ist es kontraproduktiv allen Traffic zu tunneln was immer zu Lasten der Performance geht, bzw. musst du entsprechende zentrale VPN Gateway Bandbreite vorhalten denn dort kummuliert ja aller Traffic der Clients. OpenVPN ist da nicht ganz so effizient wie z.B. IPsec wenn du dir die Vergleichszahlen dazu einmal ansiehst:
https://www.wireguard.com/performance/
In sofern ist Split Tunneling immer vorzuziehen um nur die Netze zu tunneln die auch remote erreichbar sein sollten.
Es kann aber auch Sinn machen allen Traffic zu tunneln, z.B. wenn Mitarbeiter sich in unsicheren Netzen wie Kneipen Hotspots, Hotel Netze usw. bewegen und um deren gesamten Traffic dann zu sichern auch den privaten.
Ist also immer eine Frage der Company Sicherheits Policy und hat eher wenig mit der VPN Technik an sich zu tun. Weisst du sicher ja auch selber ?!
Merkzettel: VPN Installation mit OpenVPN
Die Frage kann aber niemand hier beantworten ohne deine Sicherheits Policy zu kennen bzw. die der Clients.
Generell ist es kontraproduktiv allen Traffic zu tunneln was immer zu Lasten der Performance geht, bzw. musst du entsprechende zentrale VPN Gateway Bandbreite vorhalten denn dort kummuliert ja aller Traffic der Clients. OpenVPN ist da nicht ganz so effizient wie z.B. IPsec wenn du dir die Vergleichszahlen dazu einmal ansiehst:
https://www.wireguard.com/performance/
In sofern ist Split Tunneling immer vorzuziehen um nur die Netze zu tunneln die auch remote erreichbar sein sollten.
Es kann aber auch Sinn machen allen Traffic zu tunneln, z.B. wenn Mitarbeiter sich in unsicheren Netzen wie Kneipen Hotspots, Hotel Netze usw. bewegen und um deren gesamten Traffic dann zu sichern auch den privaten.
Ist also immer eine Frage der Company Sicherheits Policy und hat eher wenig mit der VPN Technik an sich zu tun. Weisst du sicher ja auch selber ?!
Also das Dilemma bleibt 
.
@NordicMike: nochmal genauer meine Frage lesen, es geht hier nich darum, wie man das VPN durchtunnelt. Aber denoch danke für dein Guten Willen und Engagement .
@aqui: Hast vollkommen recht. OPENVPN der schluckt :D, dafür ist er viel flexibler als IPSEC( finde ich und plus keine Nat Probleme ,wobei ich auch hier sagen, dass ich von der fritte den IPSEC benutzt habe, also ein beschränkten ipsec. Vielleicht mit pfsense oder cisco hätte ich dieses nat problem nicht. Wireguard ist top, hab es getestet,die Devs sagen es ist noch nicht stable.
WIe sieht es mit push dns route aus ? Geht es auch mit Splitt tunneling ? , Wenn ich auf dem VPN-Server ein lokalen DNS Server betreibe, und den HOST den gleichen Domainname verpasse oder halt ein ähnlichen , welche Schnittstelle löst den DNS Namen zuerst auf ? Also Windows default Ethernet-Adapter oder Virtual Ethernet-Adapter für Openvpn ?
.@NordicMike: nochmal genauer meine Frage lesen, es geht hier nich darum, wie man das VPN durchtunnelt. Aber denoch danke für dein Guten Willen und Engagement
.@aqui: Hast vollkommen recht. OPENVPN der schluckt :D, dafür ist er viel flexibler als IPSEC( finde ich
und plus keine Nat Probleme ,wobei ich auch hier sagen, dass ich von der fritte den IPSEC benutzt habe, also ein beschränkten ipsec. Vielleicht mit pfsense oder cisco hätte ich dieses nat problem nicht. Wireguard ist top, hab es getestet,die Devs sagen es ist noch nicht stable.WIe sieht es mit push dns route aus ? Geht es auch mit Splitt tunneling ? , Wenn ich auf dem VPN-Server ein lokalen DNS Server betreibe, und den HOST den gleichen Domainname verpasse oder halt ein ähnlichen , welche Schnittstelle löst den DNS Namen zuerst auf ? Also Windows default Ethernet-Adapter oder Virtual Ethernet-Adapter für Openvpn ?
dafür ist er viel flexibler als IPSEC
Ist natürlich Unsinn. Weisst du auch selber...und plus keine Nat Probleme
Dafür kennt IPsec ja NAT Traversal mit UDP 4500 
https://www.ip-insider.de/was-ist-nat-traversal-nat-t-a-921138/
also ein beschränkten ipsec.
Bahnhof ?? Was ist oder soll denn ein "beschränktes" IPsec sein ??Vielleicht mit pfsense oder cisco hätte ich dieses nat problem nicht.
Ääähh nein ! NAT Traversal ist seit 2005 ein zentraler Bestandteil von IPsec und das können ALLE IPsec fähigen Endgeräte weltweit ! Die RFCs 3947 und 3948 legen das fest. Wie kommst du auf sowas als IT Profi ?!WIe sieht es mit push dns route aus ? Geht es auch mit Splitt tunneling ?
Natürlich !Guckst du HIER.
Tutorial lesen hilft wirklich.
Macht das push "dhcp-option DNS <ip_dns_server>" Kommando in der Server Konfig das, egal ob Redirect oder Split Tunnel, funktioniert.
welche Schnittstelle löst den DNS Namen zuerst auf ?
Eine "Schnittstelle" löst schon mal generell keine Namen auf ! Solltest du auch wissen, das macht nur der DNS Server.Der Client geht dann nach Reihenfolge der DNS Server IP Adressen die er kennt. ipconfig -all bei Winblows zeigt dir diese wie immer an.
Bei eingewähltem VPN Client mit push "dhcp-option DNS Option steht der an erster Stelle. Clients fragen dann also diesen DNS nach Hostnamen bzw. werden dann von dem weitergeleitet sofern er eine Weiterleitung hat. Erst nach einem Timeout wird ein zweiter befragt.
Mit dem Kommando nslookup kannst du die korrekte DNS Serverwahl prüfen was du ja als alter IT Hase auch kennst.