Hallo,
kurz zur Konfiguration: OPNSense mit VPN IPSec/IKEv2, Radius-Client Freeradius, welcher VPN Anmeldungen an einen Windows DC Server mit NPS weiterleitet. Die Anmeldung erfolgt über Benutzer Zertifikate.
Nun zu meiner Frage: Ich habe über die OPNSense Firewall Port Regeln für VPN Zugänge eingerichtet. Für einige Admin Clients werden weitere Port Regeln benötigt. Da ich aber über IPSec nur ein VPN IP Netzwerk zugeteilt bekomme, kann ich schlecht nach IP filtern. Eine Möglichkeit wäre, auf den Admin Clients eine statische Adresse einzutragen. Dies wäre aber "Security through obscurity" und somit wenig elegant. Welche Möglichkeiten hätte ich noch? Danke für die Hilfe.
Ich habe eine Lösung gefunden.
Kurze Beschreibung:
Erweiterung der ipsec.conf in /usr/local/etc/ipsec.opnsense.d/my.conf mit "rightgroups" und IP-Netzwerk über "rightsourceip". Mit "also" auf die bestehende "conn" verweisen. "rightgroups" wertet des "Class" Attribut des Radius-Servers aus. Hierzu im Windows NPS zwei Netzwerkrichtlinien für Gruppen "Admin" und "User" anlegen und entsprechendes "Class" Attribut eintragen. Damit ipsec das Radius Attribut auswertet muss noch in /usr/local/etc/strongswan.opnsense.d/my.conf der Eintrag "class_group = yes" eingetragen werden. Ausführliche Doku unter https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius#Group-selection (https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius#Group-selection)
IPSec my.conf kurz skizziert:
conn con1
rightgroups = "vpn-user"
conn admin
also = con1
rightgroups = "vpn-admin"
rightsourceip = <ip-netzwerk>
Somit erhalten die Admins ein eigenes IP-Netzwerk und die IPSec Firewall Rules können entsprechend gesetzt werden.