6
PfSense VPN Firewall nach Benutzer
Mahlzeit,
aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.
Die Überlegung ist auf IPsec IKEv2 umzustellen.
Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any
Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?
Any any gibt ja alles frei, was ja so nicht sein soll.
Wie kann man also als Source den User erkennen?
aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.
Die Überlegung ist auf IPsec IKEv2 umzustellen.
Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any
Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?
Any any gibt ja alles frei, was ja so nicht sein soll.
Wie kann man also als Source den User erkennen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83125334575
Url: https://administrator.de/contentid/83125334575
Printed on: August 15, 2024 at 20:08 o'clock
6 Comments
Latest comment
Nabend.
Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.
Hier kannst du dir ein paar Grundlagen anlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Freeradius Management mit WebGUI
Gruß
Marc
Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.
Hier kannst du dir ein paar Grundlagen anlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Freeradius Management mit WebGUI
Gruß
Marc
Hallo,
An der Farbe seines T-Shirts.
https://www.linux-magazin.de/ausgaben/2021/01/best-practices/
https://www.pcwelt.de/article/1150969/die-10-wichtigsten-linux-befehle-f ...
https://praxistipps.chip.de/linux-netzwerk-traffic-anzeigen-so-gehts_337 ...
https://www.laub-home.de/wiki/Netzwerk_Traffic_unter_Linux_anzeigen
https://linux-bibel.at/index.php/2023/09/30/etherape-visualisiert-den-ne ...
https://www.wireshark.org/download.html
Gruss,
Peter
An der Farbe seines T-Shirts.
https://www.linux-magazin.de/ausgaben/2021/01/best-practices/
https://www.pcwelt.de/article/1150969/die-10-wichtigsten-linux-befehle-f ...
https://praxistipps.chip.de/linux-netzwerk-traffic-anzeigen-so-gehts_337 ...
https://www.laub-home.de/wiki/Netzwerk_Traffic_unter_Linux_anzeigen
https://linux-bibel.at/index.php/2023/09/30/etherape-visualisiert-den-ne ...
https://www.wireshark.org/download.html
Gruss,
Peter
Any any gibt ja alles frei, was ja so nicht sein soll.
Dafür hat die pfSense dann das Tunnelinterface auf dem du das granular für jeden User oder Usergruppe individuell mit dem entsprechenden Regelwerk customizen kannst wie es bei einer Firewall ja üblich ist. 
Wie kann man also als Source den User erkennen?
Die User bekommen userspezifische IP Adressen mit dem das dann problemlos möglich ist.Wie das grundsätzlich geht erklärt dir dieses Tutorial.
Das klappt bei der pfSense oder OPNsense identisch wenn du das Freeradius Package installierst. Externer Radius geht natürlich auch. Hat den Vorteil das du dann gleich auch eine zentrale Benutzerverwaltung hast.
Alles andere erklärt das IKEv2 VPN Tutorial im Detail.
Ich komme dich von außen rein und bin somit erst dann im Netzwerk.
Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Man lässt doch nicht erst etwas rein um es dann hinterher abzuwürgen
Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Man lässt doch nicht erst etwas rein um es dann hinterher abzuwürgen
Ich komme dich von außen rein
Klingt etwas unanständig! 
Was genau meinst du damit? 🤔Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Kann, muss aber nicht. Wie oben schon beschrieben kannst du das als Admin selber bestimmen. Wenn du z.B. schon ein AD hast wie MS kann man dort mit dem NPS einen Radius installieren und es dann gleich dort via AD machen wo die User eh definiert sind. Oder auf der pfSense / OPNsense direkt oder auf einem Raspberry Pi oder… Wo der Radius werkelt ist Wumpe.
aqui unsere Beiden Antworten sind 4 Sekunden auseinander, das ist wenig bezugnehmend auf Deinen Post.
Im Tut steht
Das Local Network Setup ist wichtig, denn es bestimmt welcher Client IP Verkehr in den VPN Tunnel geroutet wird! Default ist immer “LAN subnet”, also das lokale LAN an der pfSense (sog. Split Tunneling). Sollen zusätzliche lokale Netzwerke an der pfSense (ggf. VLANs etc.) in den Tunnel geroutet werden, dann werden auch sie hier eingetragen. (Bsp: Network, 192.168.0.0 /16 routet z.B. alle 192.168er IP Netze in den VPN Tunnel)
Das heißt dem einen User gebe ich dann nur sein Subnet und dann ist ja erstmal gut.
Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
10.98.1.2
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?
Im Tut steht
Das Local Network Setup ist wichtig, denn es bestimmt welcher Client IP Verkehr in den VPN Tunnel geroutet wird! Default ist immer “LAN subnet”, also das lokale LAN an der pfSense (sog. Split Tunneling). Sollen zusätzliche lokale Netzwerke an der pfSense (ggf. VLANs etc.) in den Tunnel geroutet werden, dann werden auch sie hier eingetragen. (Bsp: Network, 192.168.0.0 /16 routet z.B. alle 192.168er IP Netze in den VPN Tunnel)
Das heißt dem einen User gebe ich dann nur sein Subnet und dann ist ja erstmal gut.
Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
10.98.1.2
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?