geocast
Goto Top

Welche VPN Technologie Pfsense

Hallo Zusammen
Ich möchte bei uns eine VPN Lösung implementieren für ca. 10 User.
Wir haben aktuell eine Win2012R2 AD Lösung. Clients sind Windows 7 Pro und 10. Diese sind meist alle an die AD angebunden, wobei evtl. ein paar ohne AD Anbindung Verbindung bekommen sollen.
Firewall ist eine SG-8860 Pfsense (V. 2.3.1_5) vorhanden. Benutzt wird die VPN um an das AD anzubinden und auf die Netzlaufwerke zuzugreifen.

Folgende Lösungen habe ich mir überlegt:
-OpenVPN -> könnte ich als Dienst laufen lassen und somit eine automatische Anbindung vor dem Login ermöglichen, wobei ich nicht weiß, wie das angesehen wird im geschäftsumfeld
- IKEv2 -> könnte ich den Windows Client hernehmen, allerdings muss man die User Schulen dass sie vor dem Login sich entsprechend mit dem Benutzerkonto anmelden
-L2TP/IPSec -> wieder zwar den Windows Client, allerdings wurde mir davon abgeraten von jemanden, da es manchmal unnötig kompliziert wird

Was sind eure Erfahrungen oder Empfehlungen? Würde gerne DirectAccess verwenden, aber wir kein Service Agreement (kein Enterprise) und ich bekomme auch das Budget nicht dafür.

Vielen Danke für euer Input

Content-ID: 308334

Url: https://administrator.de/forum/welche-vpn-technologie-pfsense-308334.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

the-buccaneer
the-buccaneer 27.06.2016 aktualisiert um 16:32:08 Uhr
Goto Top
Hi!

Das heisst (AD-)Server und Clients sind an verschiedenen Standorten in unterschiedlichen Netzen?

Ich würde das mit IPSec machen und mit einer 2. PfSense eine Site2Site Verbindung herstellen.
Mindestens wenn die Clients feste IP's haben, lässt sich darüber auch regeln, welche ins AD dürfen und welche nicht.

Mit der Windows Einwahl und der PfSense ging das L2TP/IPSec lange nicht, kann sein, dass es nun anders ist.
Erfahrungsgemäss ist für die User der Windows Client immer am bequemsten.

Zu IPSec böte sich der Shrew Client als Einwahl an.
Gruß
Buc
geocast
geocast 27.06.2016 um 16:38:32 Uhr
Goto Top
Es geht eher darum, wenn die Leute von daheim Arbeiten wollen oder unterwegs sind.
108012
108012 27.06.2016 um 20:02:08 Uhr
Goto Top
Hallo zusammen,

Folgende Lösungen habe ich mir überlegt:
-OpenVPN -> könnte ich als Dienst laufen lassen und somit eine automatische Anbindung vor dem Login
ermöglichen, wobei ich nicht weiß, wie das angesehen wird im geschäftsumfeld
Ich dachte es handelt sich hier um Deine Mitarbeiter? Dann ist das nicht so wichtig, wenn Ihr damit leben
könnt das Ihr OpenVPN benutzt ist da ja kein Problem zu erwarten. Oder sind da noch Geschäftspartner
die auch auf etwas zugreifen wollen/sollen?

- IKEv2 -> könnte ich den Windows Client hernehmen, allerdings muss man die User Schulen dass
sie vor dem Login sich entsprechend mit dem Benutzerkonto anmelden
Bleib bitte immer so einheitlich wie möglich und dann ist das auch nicht so wirklich wichtig, aber
mal das eine und mal das andere und dann wieder etwas total neues ist meiner Meinung nach eher
kontraproduktiv und unübersichtlich.

-L2TP/IPSec -> wieder zwar den Windows Client, allerdings wurde mir davon abgeraten von jemanden,
da es manchmal unnötig kompliziert wird
Tja das ist aber nun einmal in der Arbeitswelt und ich sage noch von mir oben auf, zum Glück ist er das,
der quasi VPN Standard und sicher noch oben auf, aber bei pfSense kommt noch etwas dazu, und zwar
ist das AES-NI das ein IPSec VPN (AES-GCM) voll unterstützt und "pusht" und zwar bis zu dem 5 fachen
des normalen Durchsatzes, den es sonst via IPSec gibt! Es wird also die Internetverbindung voll ausgereizt
und das VPN beschleunigt so dass man auch bei mehreren IPSec Verbindungen noch einen guten Durchsatz
für jeden Klienten hat.

OpenVPN wird wegen seiner TUN/TAP Architektur nicht unterstützt und kann leider auch mittels
Intel QuickAssist nicht in der Zukunft beschleunigt werden. OpenVPN ist aber zum Glück voll Multicore
fähig und auch OpenSSL benutzt jetzt alle zur Verfügung stehenden CPU Kerne was etwas mehr an Beschleunigung bringt. Auch wird OpenSSL nicht von AES-NI gepusht, wird zwar unterstützt aber eben
wenn AES-GCM in Verwendung ist.

Was sind eure Erfahrungen oder Empfehlungen?
IPSec VPN zur pfSense Firewall oder aber wenn das nicht so glücklich läuft (was es aber sollte)
einen starken VPN Server in die DMZ stellen über den dann alle VPN Klienten ins LAN kommen
der kann dann schon mehr weg arbeiten und an Last ab!!!
- IPSec vie ShrewSoftVPN Klient den gibt es für alle aktuellen und letzten Windows Versionen und
die Konfiguration bleibt dann auch übersichtlich und/oder gleich. Ich würde aber auch noch mit
FreeRadius Zertifikaten arbeiten wollen falls einmal ein Gerät abhanden kommt dann sperrt man
das Zertifikat und der Zugang ist immer noch sicher!
- CentOS & SoftEtherVPN Server sind auf einem kleinen Intel Xeon E3-1240v3 & 16 GB RAM unschlagbar!

Würde gerne DirectAccess verwenden, aber wir kein Service Agreement (kein Enterprise)
und ich bekomme auch das Budget nicht dafür.
Man kann so einen Server auch aus gebrauchten Teilen zusammenbauen, der ist dann eben günstiger
als alles neu zu kaufen und man kann Ihn auch in einem Rutsch sichern und schnell wieder herstellen!
Und dabei muss man nicht einmal an die pfSense Firewall ran die dann auch mehr Power für andere
Sachen bereitstellen kann!

Es geht eher darum, wenn die Leute von daheim Arbeiten wollen oder unterwegs sind.
Wie gesagt ich würde IPSec VPN benutzen wollen, denn das können alle iOS basierenden
Geräte von Haus aus und die Windows basierenden Geräte mittels ShrewSoftVPN Klient.

Gruß
Dobby
geocast
geocast 28.06.2016 um 08:28:29 Uhr
Goto Top
Danke @108012 für deine Empfehlung.

Also meine Bedenken gegenüber OpenVPN waren eher, um das Szenario zu ermöglichen, muss man auf ein User Login verzichten und mittels nur einem Zertifikat das man nicht sonderlich absichern kann zurückgreifen. Ich würde sowieso für jeden Benutzer ein eigenes Zertifikat machen. Aber ist trotzdem ein Sicherheitsrisiko. Allerdings ist OpenVPN für mich bisher das zuverlässigste gewesen.

Mein Ziel ist es hauptsächlich, dass man vor dem Login vom User, schon mit dem VPN Verbunden ist. OpenVPN hätte den Vorteil, dass man das realisieren kann, ohne das der User eingreifen muss. Bei den anderen Technologien, müssen sie ein anderen "Profil" beim Start von Windows wählen, was einfach Fehleranfällig sein kann (auf Layer 8 ebene)
xoxyss
xoxyss 28.06.2016 um 10:22:43 Uhr
Goto Top
Hallo,

Also meine Bedenken gegenüber OpenVPN waren eher, um das Szenario zu ermöglichen, muss man auf ein User Login verzichten und mittels nur einem Zertifikat das man nicht sonderlich absichern kann zurückgreifen. Ich würde sowieso für jeden Benutzer ein eigenes Zertifikat machen. Aber ist trotzdem ein Sicherheitsrisiko. Allerdings ist OpenVPN für mich bisher das zuverlässigste gewesen.

Wieso musst man auf ein User Login verzichten? Man kann doch einen Radius dazwischen schalten der mit dem AD/LDAP kommunizieren kann. Wenn du dann das Anmeldeverfahren über den Radius zusätzlich mit Public-Key-Auth kombinierst hast du eine, meiner Meinung nach relativ sichere, Zwei-Faktor-Authentifizierung für OpenVPN. Willst du die Sicherheit weiter erhöhen kann man den Private Key natürlich noch mit einem Passphrase schützen.

Oder meinst du eine VPN Anmeldung vor der Benutzeranmeldung am (Windows-)Client? Die Benutzer die unterwegs arbeiten wollen könne sich doch am Client mit den gecachten Anmeldeinformationen anmelden und anschließend den OpenVPN CLient starten, oder nicht? ObenVPN kann auch nach erfolgreicher Anmeldung automatisch ein Script ausführen. Darin könnte man dann Gruppenrichtlinien aktualisieren, Netzlaufwerke mappen usw.

Gruß,
Robert
geocast
geocast 28.06.2016 um 11:35:15 Uhr
Goto Top
Genau, ich meinte das zweite. VPN soll vor der Anmeldung schon bestehen. Würde einfach mehr Kontrolle über das System geben von unserer Seite aus
xoxyss
xoxyss 28.06.2016 um 11:45:02 Uhr
Goto Top
Bringt meiner Meinung nach keine Vorteile. Was genau meinst du mit mehr Kontrolle? Am PC/Laptop kann ich mich ja sowieso mit meinen gecachten LDAP-Daten anmelden, auch ohne VPN. Zumal bei tragbaren Geschäftsgeräten meist sowieso eine Festplattenverschlüsselung mit Pre-Boot-Authentication zum Einsatz kommt um lokal abgelegte Geschäftsdaten zu schützen.
108012
108012 28.06.2016 um 12:46:29 Uhr
Goto Top
Hallo nochmal,

Wieso musst man auf ein User Login verzichten? Man kann doch einen Radius dazwischen schalten
der mit dem AD/LDAP kommunizieren kann. Wenn du dann das Anmeldeverfahren über den Radius
zusätzlich mit Public-Key-Auth kombinierst hast du eine, meiner Meinung nach relativ sichere,
Zwei-Faktor-Authentifizierung für OpenVPN. Willst du die Sicherheit weiter erhöhen kann man
den Private Key natürlich noch mit einem Passphrase schützen.
Genau davon rede ich nur es kommt sogar noch etwas hinzu, denn es handelt sich um Arbeitsplätze
und nicht um Privatvergnügen.
- Die Sicherheit wird signifikant erhöht
Geräte können auch einmal gestohlen werden oder bei einem Einbruch entwendet werden.
- Wenn ein Mitarbeiter ausscheidet muss man nicht gleich das gesamte VPN ändern sondern nur
sein Zertifikat widerrufen und somit hat er keinen Zugang mehr zum Unternehmen und kann auch
nichts mehr löschen oder verändern!
Es gehen ja nicht immer alle MA von sich aus!
- Man hat einen gesicherten Zugriff via VPN, eine zweite Absicherung des VPNs über die Zertifikate
und dann noch eine Anmeldung am AD oder gar am LDAP wenn die Rolle installiert worden ist!!
Alles doppelt gemoppelt hört sich eher nach Paranoia an, aber sicher ist eben sicher

Genau, ich meinte das zweite. VPN soll vor der Anmeldung schon bestehen. Würde einfach
mehr Kontrolle über das System geben von unserer Seite aus
Kontrolle hat man damit nicht unbedingt mehr als vorher, nur man kann besser reagieren wenn einmal
der VPN Zugang bzw. dessen Daten abgegriffen worden sind, denn eine Pre-Boot Anmeldung mit
gecachten Anmeldedaten ist ja nichts neues und das funktioniert auch wenn man IPSec VPN
einsetzt und sich damit anmeldet. Aber man hat eben den Vorteil das dann auch die AES-NI
Einheit von der Hardware genutzt wird und man damit auch mehr Durchsatz erzielt für mehrere
VPN Benutzer.

Gruß
Dobby
xoxyss
xoxyss 28.06.2016 um 13:22:18 Uhr
Goto Top
Genau, ich meinte das zweite. VPN soll vor der Anmeldung schon bestehen. Würde einfach
mehr Kontrolle über das System geben von unserer Seite aus
Kontrolle hat man damit nicht unbedingt mehr als vorher, nur man kann besser reagieren wenn einmal
der VPN Zugang bzw. dessen Daten abgegriffen worden sind, denn eine Pre-Boot Anmeldung mit
gecachten Anmeldedaten ist ja nichts neues und das funktioniert auch wenn man IPSec VPN
einsetzt und sich damit anmeldet. Aber man hat eben den Vorteil das dann auch die AES-NI
Einheit von der Hardware genutzt wird und man damit auch mehr Durchsatz erzielt für mehrere
VPN Benutzer.

Hi,

ich verstehe es nicht ganz, ASE-NI hat doch nichts damit zutun ob ich mich nach der Benutzeranmeldung am VPN Client anmelde oder eben erst danach. Oder habe ich einen Denkfehler? In beiden Fällen kann der Client die ASE-NI Erweiterung nutzen.

geocast möchte gern eine VPN Anmeldung vor der eigentlichen Benutzeranmeldung und erhofft sich dadurch mehr "Kontrolle". Und in diesem Punkt bin ich der Meinung, kann man machen bringt aber nicht wirklich viel.

Zwar kann man dadurch verhindern, dass sich ein Angreifer am PC anmelden kann wenn das Zertifikat gesperrt aber was habe ich davon? Mehrwert bring es eigentlich nur, wenn die Festplatte verschlüsselt ist und die Anmeldedaten für die Festplattenverschlüsselung nicht die selben sind wie für die VPN Anmeldung über den Radius. In diesem Fall benötigt der Angreifer aber sowieso schon zwei Anmeldeinformationen. Die fürs Windows und die für die Festplattenverschlüsselung. Das VPN vor der Benutzeranmeldung spielt dann auch keine Rolle mehr.

Das hat aber auch zur Folge, dass ich für die Nutzung des PCs immer eine Internetverbindung benötige. Ich muss öfters mit dem Geschäftsnotebook zu Meetings oder Vorträgen auch außerhalb wo nicht immer eine Internetverbindung vorhanden ist. Das würde bedeuten ich kann den Laptop dort nicht nutzen.

Den Zugriff auf das Firmennetzwerk durch das VPN kann ich in beiden Fällen durch das Sperren des Zertifikats unterbinden. Egal ob vor oder nach der Windowsanmeldung.

Gruß,
Robert