PfSense VPN Firewall nach Benutzer
Mahlzeit,
aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.
Die Überlegung ist auf IPsec IKEv2 umzustellen.
Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any
Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?
Any any gibt ja alles frei, was ja so nicht sein soll.
Wie kann man also als Source den User erkennen?
aktuell nutze ich OpenVPN auf der pfsense, werde das aber wohl demnächst umstellen.
Die Überlegung ist auf IPsec IKEv2 umzustellen.
Jedenfalls hat man da ja eine VPN inbound Regel, oftmals Any Any
Man kommt mittels Zertifikat rein, wäre also erkennbar, ist es möglich einem User nur ein vlan zu erlauben?
Any any gibt ja alles frei, was ja so nicht sein soll.
Wie kann man also als Source den User erkennen?
Please also mark the comments that contributed to the solution of the article
Content-Key: 83125334575
Url: https://administrator.de/contentid/83125334575
Printed on: August 15, 2024 at 20:08 o'clock
6 Comments
Latest comment
Nabend.
Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.
Hier kannst du dir ein paar Grundlagen anlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Freeradius Management mit WebGUI
Gruß
Marc
Radius mit 802.1x ist dein Freund für diesen Anwendungsfall.
Hier kannst du dir ein paar Grundlagen anlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Freeradius Management mit WebGUI
Gruß
Marc
Hallo,
An der Farbe seines T-Shirts.![face-smile face-smile](/images/icons/fa/light/face-smile.svg)
https://www.linux-magazin.de/ausgaben/2021/01/best-practices/
https://www.pcwelt.de/article/1150969/die-10-wichtigsten-linux-befehle-f ...
https://praxistipps.chip.de/linux-netzwerk-traffic-anzeigen-so-gehts_337 ...
https://www.laub-home.de/wiki/Netzwerk_Traffic_unter_Linux_anzeigen
https://linux-bibel.at/index.php/2023/09/30/etherape-visualisiert-den-ne ...
https://www.wireshark.org/download.html
Gruss,
Peter
An der Farbe seines T-Shirts.
https://www.linux-magazin.de/ausgaben/2021/01/best-practices/
https://www.pcwelt.de/article/1150969/die-10-wichtigsten-linux-befehle-f ...
https://praxistipps.chip.de/linux-netzwerk-traffic-anzeigen-so-gehts_337 ...
https://www.laub-home.de/wiki/Netzwerk_Traffic_unter_Linux_anzeigen
https://linux-bibel.at/index.php/2023/09/30/etherape-visualisiert-den-ne ...
https://www.wireshark.org/download.html
Gruss,
Peter
Any any gibt ja alles frei, was ja so nicht sein soll.
Dafür hat die pfSense dann das Tunnelinterface auf dem du das granular für jeden User oder Usergruppe individuell mit dem entsprechenden Regelwerk customizen kannst wie es bei einer Firewall ja üblich ist. Wie kann man also als Source den User erkennen?
Die User bekommen userspezifische IP Adressen mit dem das dann problemlos möglich ist.Wie das grundsätzlich geht erklärt dir dieses Tutorial.
Das klappt bei der pfSense oder OPNsense identisch wenn du das Freeradius Package installierst. Externer Radius geht natürlich auch. Hat den Vorteil das du dann gleich auch eine zentrale Benutzerverwaltung hast.
Alles andere erklärt das IKEv2 VPN Tutorial im Detail.
Ich komme dich von außen rein
Klingt etwas unanständig! Das muss also auf der pfsense direkt passieren und nicht irgendwo nachgelagert.
Kann, muss aber nicht. Wie oben schon beschrieben kannst du das als Admin selber bestimmen. Wenn du z.B. schon ein AD hast wie MS kann man dort mit dem NPS einen Radius installieren und es dann gleich dort via AD machen wo die User eh definiert sind. Oder auf der pfSense / OPNsense direkt oder auf einem Raspberry Pi oder… Wo der Radius werkelt ist Wumpe.