9
PfSense VPN Firewall nach Benutzer
Mahlzeit,
aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.
Die Überlegung ist auf IPsec IKEv2 umzustellen.
Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any
Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?
Any any gibt ja alles frei, was ja so nicht sein soll.
Wie kann man also als Source den User erkennen?
aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.
Die Überlegung ist auf IPsec IKEv2 umzustellen.
Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any
Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?
Any any gibt ja alles frei, was ja so nicht sein soll.
Wie kann man also als Source den User erkennen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83125334575
Url: https://administrator.de/contentid/83125334575
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
9 Kommentare
Neuester Kommentar
Nabend.
Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.
Hier kannst du dir ein paar Grundlagen anlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Freeradius Management mit WebGUI
Gruß
Marc
Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.
Hier kannst du dir ein paar Grundlagen anlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Freeradius Management mit WebGUI
Gruß
Marc
Hallo,
An der Farbe seines T-Shirts.
https://www.linux-magazin.de/ausgaben/2021/01/best-practices/
https://www.pcwelt.de/article/1150969/die-10-wichtigsten-linux-befehle-f ...
https://praxistipps.chip.de/linux-netzwerk-traffic-anzeigen-so-gehts_337 ...
https://www.laub-home.de/wiki/Netzwerk_Traffic_unter_Linux_anzeigen
https://linux-bibel.at/index.php/2023/09/30/etherape-visualisiert-den-ne ...
https://www.wireshark.org/download.html
Gruss,
Peter
An der Farbe seines T-Shirts.
https://www.linux-magazin.de/ausgaben/2021/01/best-practices/
https://www.pcwelt.de/article/1150969/die-10-wichtigsten-linux-befehle-f ...
https://praxistipps.chip.de/linux-netzwerk-traffic-anzeigen-so-gehts_337 ...
https://www.laub-home.de/wiki/Netzwerk_Traffic_unter_Linux_anzeigen
https://linux-bibel.at/index.php/2023/09/30/etherape-visualisiert-den-ne ...
https://www.wireshark.org/download.html
Gruss,
Peter
Any any gibt ja alles frei, was ja so nicht sein soll.
Dafür hat die pfSense dann das Tunnelinterface auf dem du das granular für jeden User oder Usergruppe individuell mit dem entsprechenden Regelwerk customizen kannst wie es bei einer Firewall ja üblich ist. 
Wie kann man also als Source den User erkennen?
Die User bekommen userspezifische IP Adressen mit dem das dann problemlos möglich ist.Wie das grundsätzlich geht erklärt dir dieses Tutorial.
Das klappt bei der pfSense oder OPNsense identisch wenn du das Freeradius Package installierst. Externer Radius geht natürlich auch. Hat den Vorteil das du dann gleich auch eine zentrale Benutzerverwaltung hast.
Alles andere erklärt das IKEv2 VPN Tutorial im Detail.
Ich komme dich von außen rein und bin somit erst dann im Netzwerk.
Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Man lässt doch nicht erst etwas rein um es dann hinterher abzuwürgen
Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Man lässt doch nicht erst etwas rein um es dann hinterher abzuwürgen
Ich komme dich von außen rein
Klingt etwas unanständig! 
Was genau meinst du damit? 🤔Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Kann, muss aber nicht. Wie oben schon beschrieben kannst du das als Admin selber bestimmen. Wenn du z.B. schon ein AD hast wie MS kann man dort mit dem NPS einen Radius installieren und es dann gleich dort via AD machen wo die User eh definiert sind. Oder auf der pfSense / OPNsense direkt oder auf einem Raspberry Pi oder… Wo der Radius werkelt ist Wumpe.
aqui unsere Beiden Antworten sind 4 Sekunden auseinander, das ist wenig bezugnehmend auf Deinen Post.
Im Tut steht
Das Local Network Setup ist wichtig, denn es bestimmt welcher Client IP Verkehr in den VPN Tunnel geroutet wird! Default ist immer “LAN subnet”, also das lokale LAN an der pfSense (sog. Split Tunneling). Sollen zusätzliche lokale Netzwerke an der pfSense (ggf. VLANs etc.) in den Tunnel geroutet werden, dann werden auch sie hier eingetragen. (Bsp: Network, 192.168.0.0 /16 routet z.B. alle 192.168er IP Netze in den VPN Tunnel)
Das heißt dem einen User gebe ich dann nur sein Subnet und dann ist ja erstmal gut.
Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
10.98.1.2
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?
Im Tut steht
Das Local Network Setup ist wichtig, denn es bestimmt welcher Client IP Verkehr in den VPN Tunnel geroutet wird! Default ist immer “LAN subnet”, also das lokale LAN an der pfSense (sog. Split Tunneling). Sollen zusätzliche lokale Netzwerke an der pfSense (ggf. VLANs etc.) in den Tunnel geroutet werden, dann werden auch sie hier eingetragen. (Bsp: Network, 192.168.0.0 /16 routet z.B. alle 192.168er IP Netze in den VPN Tunnel)
Das heißt dem einen User gebe ich dann nur sein Subnet und dann ist ja erstmal gut.
Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
10.98.1.2
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?
Hallo,
Da wir deine IP Bereiche nicht kennenn, kannst du auch 111.222.123.234 schreiben
Und der Rat vom Kabelhai aka Wireshark war nicht als heisse Luft gemeint. Ebenso das nachlesen im Internet. Es gibt heute nichts was du nicht im Internet nachlesen kannst, obs richtig oder sogenannte FakeNews sind ist dann eine andere Frage.
Gruss,
Peter
Da wir deine IP Bereiche nicht kennenn, kannst du auch 111.222.123.234 schreiben
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?
Und wenn die Source IP sich doch ändert, z.B. weil im DHCP die schon anderweitig vergeben wurde? Dagegen gibt es auch Lösungen: Reservierung der IP.Und der Rat vom Kabelhai aka Wireshark war nicht als heisse Luft gemeint. Ebenso das nachlesen im Internet. Es gibt heute nichts was du nicht im Internet nachlesen kannst, obs richtig oder sogenannte FakeNews sind ist dann eine andere Frage.
Gruss,
Peter
Das heißt dem einen User gebe ich dann nur sein Subnet
Das Tutorial beschreibt es im Detail: ALLE Clients bekommen IP Adressen aus einem dedizierten Subnetz! Das ist übrigens bei allen VPN Protokollen so.HIER ist das doch explizit beschrieben! Man achte auf den Punkt „provide a virtual IP address TO clients“ der doch selbsterklärend und für dich dann hoffentlich auch bezugnehmend zu dieser Thematik ist! 😉
Das dort definierte Subnetz gibt das VPN Client Netz vor als Adresspool.
Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
Du hast natürlich Recht!NUR die pfSense bietet diese Option. Hier erübrigt sich dann ein Radius Server bzw. macht diesen bei der pfSense obsolet. (OPNsense bietet das nicht) Es sei denn man man möchte die bestehende Userverwaltung aus einem bestehenden AD verwenden.
Zu mindestens bei der pfSense kannst du auch darüber ohne Extras eine dedizierte IP Adresszuweisung an die VPN User konfigurieren um damit userspezifische Regeln zu setzen. Sorry für die Verwirrung…
