1
PfSense mit IPSec VPN, Zertifikat, Client-Computer Bindung, TAN, und ausgehenden IPSec VPN Tunneln
Moin, moin.
Ich habe vor eine bestehende PPTP VPN Lösung für die Mitarbeiter durch etwas vernünftigeres zu ersetzen. Allerdings weiß ich leider nicht, ob meine Vorstellungen mit den vorhandenen Mitteln überhaupt umsetzbar sind.
Status Quo:
- Einige wenige (< 10) Mitarbeiter können von unterwegs (mit dyn. IP Adressen) über VPN auf das Firmennetzwerk zugreifen
- Als PPTP VPN Gegenstelle dient ein Windows Server
- Einige Mitarbeiter bauen aus dem Unternehmensnetzwerk sporadisch VPN (IPSec) Tunnel zu Kunden auf.
- Eine pfSense dient als Zugangspunkt zum Internet (NAT), als Firewall und als DHCP Server. (Telekom DSL Router läuft ausschließlich als Modem)
- Es kann über eine feste, öffentliche IP Adresse auf die pfSense zugegriffen werden.
Meine Vision:
- Mitarbeiter können weiterhin IPSec Tunnel zu Kundennetzwerken aufbauen.
- Als IPSec VPN Server dient die pfSense Firewall.
- Für den Tunnel zur Firma sollen Zertifikate verwendet werden
- Auf den VPN Clients werden die Windows Bordmittel für die Einrichtung und den Aufbau der VPN Verbindung genutzt. Es muss keine zusätzliche Software installiert werden.
- Zertifikat, Zugangsdaten etc. sind an die Client-Hardware gebunden und können vom Mitarbeiter nicht eigenständig auf einem anderen Computer genutzt werden.
Für die von Vodafone (Companynet) verwalteten VPN Zugänge gibt es ein kleines Stück Software, welche nach der Eingabe einer TAN alle benötigten Einstellungen am Windows vornimmt, das Zertifikat installiert usw. Gibt es so etwas für die in der pfSense erstellen VPN Verbindungen?
Sind meine Vorstellungen überhaupt mit der bestehenden Hardware umsetzbar? Falls nicht: Was hätte ich als Alternativen?
Insbesondere das Thema mit den VPN Tunneln zu den Kunden wirf ein paar Fragen auf. Ist es nicht so, dass diese Kombination nicht möglich ist, da die pfSense nicht weiß wohin welche VPN Daten geleitet werden sollen?
Beste Grüße
Ich habe vor eine bestehende PPTP VPN Lösung für die Mitarbeiter durch etwas vernünftigeres zu ersetzen. Allerdings weiß ich leider nicht, ob meine Vorstellungen mit den vorhandenen Mitteln überhaupt umsetzbar sind.
Status Quo:
- Einige wenige (< 10) Mitarbeiter können von unterwegs (mit dyn. IP Adressen) über VPN auf das Firmennetzwerk zugreifen
- Als PPTP VPN Gegenstelle dient ein Windows Server
- Einige Mitarbeiter bauen aus dem Unternehmensnetzwerk sporadisch VPN (IPSec) Tunnel zu Kunden auf.
- Eine pfSense dient als Zugangspunkt zum Internet (NAT), als Firewall und als DHCP Server. (Telekom DSL Router läuft ausschließlich als Modem)
- Es kann über eine feste, öffentliche IP Adresse auf die pfSense zugegriffen werden.
Meine Vision:
- Mitarbeiter können weiterhin IPSec Tunnel zu Kundennetzwerken aufbauen.
- Als IPSec VPN Server dient die pfSense Firewall.
- Für den Tunnel zur Firma sollen Zertifikate verwendet werden
- Auf den VPN Clients werden die Windows Bordmittel für die Einrichtung und den Aufbau der VPN Verbindung genutzt. Es muss keine zusätzliche Software installiert werden.
- Zertifikat, Zugangsdaten etc. sind an die Client-Hardware gebunden und können vom Mitarbeiter nicht eigenständig auf einem anderen Computer genutzt werden.
Für die von Vodafone (Companynet) verwalteten VPN Zugänge gibt es ein kleines Stück Software, welche nach der Eingabe einer TAN alle benötigten Einstellungen am Windows vornimmt, das Zertifikat installiert usw. Gibt es so etwas für die in der pfSense erstellen VPN Verbindungen?
Sind meine Vorstellungen überhaupt mit der bestehenden Hardware umsetzbar? Falls nicht: Was hätte ich als Alternativen?
Insbesondere das Thema mit den VPN Tunneln zu den Kunden wirf ein paar Fragen auf. Ist es nicht so, dass diese Kombination nicht möglich ist, da die pfSense nicht weiß wohin welche VPN Daten geleitet werden sollen?
Beste Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 272424
Url: https://administrator.de/contentid/272424
Printed on: April 24, 2024 at 08:04 o'clock
1 Comment
Moin Androxin!
Jetzt bin ich nächtens noch über deinen Beitrag gestolpert und wundere mich etwas, dass bei über 700 Views und mehr als 4 Wochen keine einzige Antwort kam...
Das lag sicher nicht an der Frage, und der 20.05. war nicht mal ein Freitag...
Egal: Prinzipiell geht, was Du Dir vorstellst.
Die PfSense kann Zertifikate für mobile Verbindungen verwenden, das ist sicher keine Hexerei, ich habe bisher immer mit PSK's gearbeitet. Eine Anleitung, wie das mit der PfSense geht, gibt es auf deren Seite. https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Mit den Windows Bordmitteln ist das so eine Sache. Windows kann seit Win7 schon natives IPSec, aber nur mit IKEv2. Das wird mit der neuen PfSense seit Version 2.2x via StrongSwan unterstützt, sollte also gehen. Mit älteren (bis 2.15) gibt es nur IKEv1 womit Windows als Einwahlclient rausfällt. Mit dem Shrew Client kommen aber sogar meine DAU-Kunden klar.und Zertifikate kann der auch.
Welche PfSense auf welcher Hardware ist denn im Einsatz? Für die 2.1x bliebe z.B. alternativ noch L2TP/IPSec. Das können die Windows Kisten seit XP-Zeiten, mit Zertifikat oder PSK. Und euer oller Server auch.
Wie du das "exportsicher" machst, weiss ich auf Anhieb nicht, da geht aber sicher was. (Zugriffsrechte, etc)
"Client" VPN Verbindungen kann die PfSense auch zu verschiedenen VPN Servern durchleiten, warum denn nicht? Site2Site Verbindungen sollen das doch sowieso nicht sein? Aber auch das geht natürlich.
Also ans Werk, das klappt schon.
(Oder ist schon eingerichtet) dann bitte kurzes Feedback...
Buc
Jetzt bin ich nächtens noch über deinen Beitrag gestolpert und wundere mich etwas, dass bei über 700 Views und mehr als 4 Wochen keine einzige Antwort kam...
Das lag sicher nicht an der Frage, und der 20.05. war nicht mal ein Freitag...
Egal: Prinzipiell geht, was Du Dir vorstellst.
Die PfSense kann Zertifikate für mobile Verbindungen verwenden, das ist sicher keine Hexerei, ich habe bisher immer mit PSK's gearbeitet. Eine Anleitung, wie das mit der PfSense geht, gibt es auf deren Seite. https://doc.pfsense.org/index.php/IPsec_RSA_Authentication_Quick_Start
Mit den Windows Bordmitteln ist das so eine Sache. Windows kann seit Win7 schon natives IPSec, aber nur mit IKEv2. Das wird mit der neuen PfSense seit Version 2.2x via StrongSwan unterstützt, sollte also gehen. Mit älteren (bis 2.15) gibt es nur IKEv1 womit Windows als Einwahlclient rausfällt. Mit dem Shrew Client kommen aber sogar meine DAU-Kunden klar.und Zertifikate kann der auch.
Welche PfSense auf welcher Hardware ist denn im Einsatz? Für die 2.1x bliebe z.B. alternativ noch L2TP/IPSec. Das können die Windows Kisten seit XP-Zeiten, mit Zertifikat oder PSK. Und euer oller Server auch.
Wie du das "exportsicher" machst, weiss ich auf Anhieb nicht, da geht aber sicher was. (Zugriffsrechte, etc)
"Client" VPN Verbindungen kann die PfSense auch zu verschiedenen VPN Servern durchleiten, warum denn nicht? Site2Site Verbindungen sollen das doch sowieso nicht sein? Aber auch das geht natürlich.
Also ans Werk, das klappt schon.
(Oder ist schon eingerichtet) dann bitte kurzes Feedback...
Buc
