fnbalu
Goto Top

PfSense VPN Firewall nach Benutzer

Mahlzeit,

aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.

Die Überlegung ist auf IPsec IKEv2 umzustellen.

Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any

Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?

Any any gibt ja alles frei, was ja so nicht sein soll.

Wie kann man also als Source den User erkennen?

Content-ID: 83125334575

Url: https://administrator.de/forum/pfsense-vpn-firewall-nach-benutzer-83125334575.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

radiogugu
radiogugu 15.08.2024 aktualisiert um 19:16:56 Uhr
Goto Top
Nabend.

Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.

Hier kannst du dir ein paar Grundlagen anlesen:

Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Freeradius Management mit WebGUI

Gruß
Marc
aqui
aqui 15.08.2024 aktualisiert um 19:30:03 Uhr
Goto Top
Any any gibt ja alles frei, was ja so nicht sein soll.
Dafür hat die pfSense dann das Tunnelinterface auf dem du das granular für jeden User oder Usergruppe individuell mit dem entsprechenden Regelwerk customizen kannst wie es bei einer Firewall ja üblich ist. face-wink
Wie kann man also als Source den User erkennen?
Die User bekommen userspezifische IP Adressen mit dem das dann problemlos möglich ist.
Wie das grundsätzlich geht erklärt dir dieses Tutorial.
Das klappt bei der pfSense oder OPNsense identisch wenn du das Freeradius Package installierst. Externer Radius geht natürlich auch. Hat den Vorteil das du dann gleich auch eine zentrale Benutzerverwaltung hast. face-wink
Alles andere erklärt das IKEv2 VPN Tutorial im Detail.
fnbalu
fnbalu 15.08.2024 um 19:30:07 Uhr
Goto Top
Ich komme dich von außen rein und bin somit erst dann im Netzwerk.
Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.

Man lässt doch nicht erst etwas rein um es dann hinterher abzuwürgen
aqui
aqui 15.08.2024 aktualisiert um 19:35:26 Uhr
Goto Top
Ich komme dich von außen rein
Klingt etwas unanständig! face-sad Was genau meinst du damit? 🤔
Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Kann, muss aber nicht. Wie oben schon beschrieben kannst du das als Admin selber bestimmen. Wenn du z.B. schon ein AD hast wie MS kann man dort mit dem NPS einen Radius installieren und es dann gleich dort via AD machen wo die User eh definiert sind. Oder auf der pfSense / OPNsense direkt oder auf einem Raspberry Pi oder… Wo der Radius werkelt ist Wumpe.
fnbalu
fnbalu 15.08.2024 um 21:34:50 Uhr
Goto Top
aqui unsere Beiden Antworten sind 4 Sekunden auseinander, das ist wenig bezugnehmend auf Deinen Post.


Im Tut steht
Das Local Network Setup ist wichtig, denn es bestimmt welcher Client IP Verkehr in den VPN Tunnel geroutet wird! Default ist immer “LAN subnet”, also das lokale LAN an der pfSense (sog. Split Tunneling). Sollen zusätzliche lokale Netzwerke an der pfSense (ggf. VLANs etc.) in den Tunnel geroutet werden, dann werden auch sie hier eingetragen. (Bsp: Network, 192.168.0.0 /16 routet z.B. alle 192.168er IP Netze in den VPN Tunnel)

Das heißt dem einen User gebe ich dann nur sein Subnet und dann ist ja erstmal gut.


Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
10.98.1.2
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?
Pjordorf
Pjordorf 16.08.2024 um 02:23:02 Uhr
Goto Top
Hallo,

Zitat von @fnbalu:
10.98.1.2
Da wir deine IP Bereiche nicht kennenn, kannst du auch 111.222.123.234 schreiben
Wenn die immer identisch ist und er nicht rotiert ist das doch auch mein Source für Zusätze oder nicht?
Und wenn die Source IP sich doch ändert, z.B. weil im DHCP die schon anderweitig vergeben wurde? Dagegen gibt es auch Lösungen: Reservierung der IP.

Und der Rat vom Kabelhai aka Wireshark war nicht als heisse Luft gemeint. Ebenso das nachlesen im Internet. Es gibt heute nichts was du nicht im Internet nachlesen kannst, obs richtig oder sogenannte FakeNews sind ist dann eine andere Frage.

Gruss,
Peter
aqui
aqui 16.08.2024 aktualisiert um 11:00:39 Uhr
Goto Top
Das heißt dem einen User gebe ich dann nur sein Subnet
Das Tutorial beschreibt es im Detail: ALLE Clients bekommen IP Adressen aus einem dedizierten Subnetz! Das ist übrigens bei allen VPN Protokollen so.
HIER ist das doch explizit beschrieben! Man achte auf den Punkt „provide a virtual IP address TO clients“ der doch selbsterklärend und für dich dann hoffentlich auch bezugnehmend zu dieser Thematik ist! 😉
Das dort definierte Subnetz gibt das VPN Client Netz vor als Adresspool.

Andererseits steht oben bei Testuser auch eine IP. die er aus dem Pool nimmt.
Du hast natürlich Recht!
NUR die pfSense bietet diese Option. Hier erübrigt sich dann ein Radius Server bzw. macht diesen bei der pfSense obsolet. (OPNsense bietet das nicht) Es sei denn man man möchte die bestehende Userverwaltung aus einem bestehenden AD verwenden.
Zu mindestens bei der pfSense kannst du auch darüber ohne Extras eine dedizierte IP Adresszuweisung an die VPN User konfigurieren um damit userspezifische Regeln zu setzen. Sorry für die Verwirrung…
aqui
aqui 06.10.2024 um 11:42:14 Uhr
Goto Top