roadmax
Goto Top

VPN Gateway

Guten Morgen,

ich soll eine VM aufsetzen, die für einige User als VPN Gateway in andere Netze dient. Die meisten Verbindungen sind Site-to-Site, wir haben aber auch zwei SSL-VPN-Zugänge die per MFA angesichert sind. Die Software sollte die gängigen VPN Protokolle können und eine GUI haben. Wer hat einen Vorschlag und lassen sich die MFA Zugangsverbindungen auch realisieren?

Danke und Gruß,
Roadmax

Content-Key: 6109648979

Url: https://administrator.de/contentid/6109648979

Printed on: February 24, 2024 at 00:02 o'clock

Member: kpunkt
kpunkt Feb 24, 2023 at 08:02:10 (UTC)
Goto Top
In der Regel bieten doch die VPN-Routertypen auch ihre eigene VPN-Clients an. Da kommt nix infrage?
Ein kurzer Abstecher zu Google brachte u.a. auch eine OpenOTP MFA-VPN zum Vorschein.
Member: Roadmax
Roadmax Feb 24, 2023 at 08:09:20 (UTC)
Goto Top
Wir möchten verschiedene Verbindungen zu unseren Partnern aufbauen, damit User parallel arbeiten können und die Partner haben alle unterschiedliche Firewalls.
Member: SlainteMhath
SlainteMhath Feb 24, 2023 at 08:11:14 (UTC)
Goto Top
Moin,

ich nehme an, das sind VPN Zugänge über die Kundensysteme gewartet werden, richtig?

In dem Fall empfehle ich dir pro Kunde/Verbindung eine VM aufzusetzen in der dann der entsprechende VPN Client/SSL Tunnel läuft. Um die MFA kommst du nicht herum.

Für die S2S Verbindungen brauchst du keinen extra Client.

lg,
Slainte
Member: Roadmax
Roadmax Feb 24, 2023 at 08:28:15 (UTC)
Goto Top
Zitat von @SlainteMhath:

In dem Fall empfehle ich dir pro Kunde/Verbindung eine VM aufzusetzen in der dann der entsprechende VPN Client/SSL Tunnel läuft. Um die MFA kommst du nicht herum.


Und hier liegt ein Problem, da einige Hersteller nur Windows oder MAC Clients ausgeben und dann mit der VPN Verbindung die Routen ändern, dann erreicht nur noch die VM das Partnernetz.
Member: SlainteMhath
SlainteMhath Feb 24, 2023 at 08:44:19 (UTC)
Goto Top
und dann mit der VPN Verbindung die Routen ändern, dann erreicht nur noch die VM das Partnernetz.
Du meinst sicher "...dann erreicht die VM nur noch das Partnernetz" - Dann bitte doch den/die Partner Split-Tunneling für eure VPN Verbindung zu aktivieren (oder mach das selbst im Client, falls das geht)
Member: aqui
aqui Feb 24, 2023 updated at 09:54:08 (UTC)
Goto Top
ich soll eine VM aufsetzen, die für einige User als VPN Gateway in andere Netze dient.
Nichts leichter als das...
Entweder als Firewall VM mit OPNsense oder pfSense die dann bordeigenes VPN bedienen auf allen beliebigen Endgeräten:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Oder als stinknormale Linux Server VM
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Eigentlich alles kein Hexenwerk und in max. ner halben Stunde auch von einem Laien aufgesetzt.
Du kannst natürlich auch die klassische Variante mit einer Server VM und Wireguard oder OpenVPN nutzen. Allerdings sind die drei obigen Varianten deutlich schöner und besser zu bedienen weil sie immer die bordeigenen VPN Clients aller Endgeräte und Smartphones nutzen!
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN
Dafür braucht es eigentlich keinen Admin Forenthread. Jetzt musst du nur noch "machen"! face-wink
Member: Roadmax
Roadmax Feb 24, 2023 at 10:21:51 (UTC)
Goto Top
@aqui : Wenn ich nicht gerade ein Brett vor dem Kopf habe und ich deine Empfehlungen richtig verstehe, sind es alles Szenarien die für "eingehende" Verbindungen geeignet sind. Ich möchte aber, das User aus dem LAN über das VPN Gateway automatisch auf die Partnernetze geroutet werde, also ausgehend.

LAN <-----> VPN GW ------> (z.B. Watchguard FW) <---> Remote LAN1
------> ( z.B. Cisco FW) <-----> Remote LAN2
------> etc.
Member: kpunkt
kpunkt Feb 24, 2023 at 10:52:20 (UTC)
Goto Top
So ganz versteh ich das Problem jetzt nicht.
Ihr habt zwei SSL-VPN. Und die wollt ihr per Client nutzen, um eben auf die Partner-Netze zu kommen.
Heißt also, eure User starten entwerder Client 1 (Watchguard Mobile VPN) oder Client 2 (Cisco Anyconnect).
Aber es soll für die User "einfacher" sein und somit wollt ihr das z.B. in einem Fenster haben, in dem die User einfach auf einen Button mit Client 1 oder einen Button mit Client 2 drücken.
Und da halt das normale MFA dazu.

Ob ihr den Aufruf nun über Icons auf dem Desktop, oder über eine...hm...Intranetseite gestaltet, ist doch eher egal. Aufhübschen kann man nach Lust und Laune. Wenn einer mag, spielt er sich ein bissi mit C++ und Visual Studio und bastelt einen Launcher.

Oder gehts jetzt um ganz was anderes und ich bin da jetzt gedanklich völlig auf dem Holzweg?
Member: aqui
aqui Feb 24, 2023 updated at 11:32:58 (UTC)
Goto Top
Ich möchte aber, das User aus dem LAN über das VPN Gateway automatisch auf die Partnernetze geroutet werde, also ausgehend.
Ahhh, ok. Das war aus deiner Beschreibung nicht ersichtlich, wie auch Kollege @kpunkt schon angemerkt hat.

Wenn das die Aufgabe sein soll versteht man aber deine Frage eigentlich noch weniger. face-sad
Das bedeutet ja das irgendwo ein VPN Router oder eine Firewall besteht die eine VPN Netzkopplung in diese Partner Netze gewährleistet. Sprich es besteht ja schon eine Site-to-Site Kopplung dieser Netze mit dem LAN.
Umso unverständlicher ist dann deine Frage, denn dann werden doch schon alle LAN User auch in diese angebundenen Netze geroutet!!
Sollte das ggf. auf einem anderen Router passieren als dem Default Router der das LAN bedient, fehlt dort lediglich schlicht und einfach eine simple statische Route.
VPN Clients ändern übrigens niemals die Routen, das ist Unsinn. Sie arbeiten lediglich in 2 Modi. Einmal dem Split Tunnel Mode wo nur spezifische VLANs geroutet werden und einmal dem Gateway Redirect Mode wo, wie der Name schon selber sagt, sämtlicher Client Traffic in den Tunnel geroutet wird.
Vermutlich bist entweder du oder wir gedanklich auf dem Holzweg?? Sollte das der Fall sein würde eine kleine Skizze sicher für alle Beteiligten hilfreich sein für eine Lösung.
Member: Dani
Dani Feb 24, 2023 at 11:27:48 (UTC)
Goto Top
Moin,
Und hier liegt ein Problem, da einige Hersteller nur Windows oder MAC Clients ausgeben und dann mit der VPN Verbindung die Routen ändern, dann erreicht nur noch die VM das Partnernetz.
irgendwie ist es mich für nachvollziehbar, dass Partner/Kunden keine ungewollte Netzkopplungen euerseits wünschen bzw. ermöglichen wollen.

Dahingehend würde ich erst einmal das Kleingedruckte in möglichen Verträgen nachlesen. Je nachdem in welcher Branche und welches Unternehmen auf der anderen Seite ist, kann schon der Versuch solche Mechanismen auszuhebeln teuer werden.


Gruß,
Dani
Member: C.R.S.
C.R.S. Feb 24, 2023 at 17:33:45 (UTC)
Goto Top
Hallo,

das geht nur bedingt, weil du natürlich einen kompatiblen Client für eine Plattform brauchst, die in deinem Netz sinnvoll als Gateway dienen und mit NAT in den Client-Tunnel routen kann. Für AnyConnect gibt es das mit OpenConnect, aber so allgemein eigentlich nicht.

Die MFA-Bestätigung läuft ohnehin irgendwo out-of-band auf, ist von daher nur ein Koordinierungsproblem mit dem Verbindungsaufbau (der sich skripten lässt, für einen Webhook, oder per GUI auf OpenWRT etc.).

Für meinen Uni-Zugang habe ich das damals auch so gemacht, aber bei Geschäftspartnern ist das eher weniger empfehlenswert.

Grüße
Richard
Member: aqui
aqui Feb 24, 2023 updated at 17:53:36 (UTC)
Goto Top
Das Obige hört sich dann so an als ob der TO mit einem Client VPN versuchen will über den per VPN verbundenen Client andere Geräte aus dessen lokalem LAN mit über den Client ins remote Netz zu routen. Leider wird das aus der Schilderung des TOs nicht ganz klar.
Wenn es das ist, ist es aber stark abhängig vom verwendeten VPN Protokoll und Verfahren.
VPN Protokolle mit virtuellen Interfaces wie OpenVPN, SSL oder Wireguard sollten das problemlos können weil am virtuellen Client Tunnel Interface NAT gemacht werden muss wie Kollege @c.r.s. schon richtig sagt. Bei IPsec wird es schwer und ist abhängig ob dort Tunnel Mode oder der Transport Mode verwendet wird. Letzteres ist sicher besser dafür.
Letztlich ist das immer eine nicht Standard konforme Frickelei die unter gewissen Umständen mit einigen VPN Protokollen sicher klappen, nicht mit allen. Und ob man damit rechtliche Verstöße begeht gegenüber dem VPN Partner ist dann wieder eine ganz andere Geschichte.