dasbrot
Goto Top

Pfsense Mobile ipsec VPN mit verschiedenen Zertifikaten und Schadcodeprüfung für die Tunnelverbindungen möglich ?

Hallo.

Ich habe einige RW Nutzer erfolgreich eingerichtet. Als Anleitung dazu diente dieser Administrator.de Artikel :

IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Das Ergebnis sind gut laufende RW,s wenn diese nicht zu lange bestehen (dann werden sie offen angezeigt funktionieren aber nicht mehr.... das ist aber zu vernachlässigen)

Alle nutzen das Selbe Zertifikat mit verschiedenen PSK´s und alle haben Zugriff auf den selben Netzbereich.
Nun habe ich das Problem das ich kurzfristig anderen Zugang zum Netz erteilen muss, allerdings nur auf einzelne Netzwerkziele. Ich möchte diesen Zugang auch dauerhaft wieder sperren können in dem ich das Zertifikat lösche. Dies ist aber bei meiner Konfiguration nicht möglich.

Gibt es eine Möglichkeit Mehrere verschiedene RW Konfigurationen zu betreiben ? Ich kann zwar ein weiteres Serverzertifikat erstellen. Wenn es sein muss auch eine abweichende CA, aber es gibt nur eine Mobile User Konfiguration, in der man das Netz, und Zertifikat für alle Mobile User definiert.

Habe ich die falsche Herangehensweise ?

Die nächste Frage wäre ob es inoffizielle Wege gibt den Tunneltraffic nach Schadcode zu scannen. Von außen gibt es ja mittels Addons Möglichkeiten. Aber es gibt nichts in der Liste was den Traffic welcher via ipsec kommt scannt. Aktuell hat sich leider etwas über diesen Weg verbreitet. Es war noch nicht mal etwas was selbst nach Netzwerkverbindungen gesucht hat. Einfach ein Dokument welches von einem RW Nutzer auf eine Freigabe geschoben wurde. Ich kann mir nicht nicht vorstellen das ich allein mit solchen Problemen bin, habe aber kein Addon gefunden was dazu passt.

Content-Key: 393545

Url: https://administrator.de/contentid/393545

Printed on: July 20, 2024 at 07:07 o'clock

Member: aqui
aqui Nov 22, 2018 at 11:17:38 (UTC)
Goto Top
Das Zertifikat was du nutzt ist KEIN User Zertifikat sondern nur ein Server Zertifikat. In sofern ist ein 2tes Server Zertifikat natürlich Unsinn und führt nicht zum Ziel.
Du musst die User ja zusätzlich auch einrichten mit Username und Passwort !
Darüber kannst du das steuern. Hättest du dir die User Einrichtung mal genauer angesehen wäre dir sicher aufgefallen das du für User auch einen Gültigkeitszeitraum definieren kannst. Hier kannst du also eine zeitliche Limitierung einstellen oder auch den User zwar belassen aber deaktivieren.
Die Zugriffsteuerung machst du aus dem IP Pool. Du weisst diesen temporären Usern eine feste IP zu und definierst dann im virtuellen VPN Adapter auf der Firewall eine entsprechende Regel für diese IPs das die nur bestimmte Ziele und Dienste erreichen können.
Das wäre die richtige Herangehensweise.
dann werden sie offen angezeigt funktionieren aber nicht mehr....
Das liegt ganz sicher an unterschiedlichen Lifetimes der Keys und der Keepalive Timeouts. Das müsstest du anpassen das es auf Server UND Client Seite gleich ist, dann passiert das nicht mehr.
Member: DasBrot
DasBrot Nov 23, 2018 at 15:32:04 (UTC)
Goto Top
Hallo,
Also unter VPN-IPsec-Pre-Shared Keys-Edit Kann ich lediglich einen Adresspool angeben. Ich denke auch eine einzelne Adresse. Man könnte dann vermutlich den DHCP Bereich in der Mobile User Einrichtung (VPN-IPsec-Mobile Clients) beschränken? Leider gibt es dort scheinbar kein von bis. Oder meist du bei der PSK Einrichtung einen ganz neuen Pool als Einzeladresse definieren ? Ein Ablaufdatum habe ich dort nicht gefunden, aber das ist zu vernachlässigen. Und dann Quasi unter Firewall-Rules-IPsec eine Regel erstellen Virtuelle Tunnel IP des Clients ->Interne IP ?
Member: aqui
aqui Nov 24, 2018 at 13:23:55 (UTC)
Goto Top
Das wäre ein gangbarer Weg...