OPNsense Forum

International Forums => German - Deutsch => Topic started by: jacolani on January 30, 2019, 11:59:01 pm

Title: openvpn Fragen
Post by: jacolani on January 30, 2019, 11:59:01 pm
Hallo,

habe openvon nach der Anleitung in docs erstellt, und es klappt so weit. Dazu habe ich ein paar Fragen.

Beim erstellen vom OpenVPN Server, wird ja ein Interface (openvpn) erstellt. Mir ist aber aufgefallen, das wenn ich auf die Übersicht bei den interfaces gehe, dann sieht das so aus (Bild). Sollte ich den Button (plus) nun auswählen, oder es so lassen. Scheinbar wurde das interface im System nicht ganz integreirt. Wenn ich das mache, und speichere, dann escheint OPT2 als interface, gehe auf das interface, ist es erst mal deaktiveirt. Soll man es aktivieren, oder nicht? Falls ja müsste ich dem ja dann eine statische IP zuweisen? das wäre dann die die ich im Opnvpnserver angegeben habe?
Wie gesagt vpn funktioniert auch so, bin mir aber deswegen unsicher.


Title: Re: openvpn Fragen
Post by: JeGr on January 31, 2019, 01:10:08 pm
Interface kann man zuweisen wenn man das VPN Gateway für Policy Based Regeln verwenden will. Braucht man das nicht bzw. hat da keine großen Anforderungen und sind die VPN Transfernetze klar, kommt man auch problemlos ohne Zuweisung aus. Wenn man zuweist, dann muss das Interface auch aktiviert werden, allerdings keine Konfiguration eintragen (nur Haken bei aktivieren setzen). Anschließend sicherheitshalber den VPN Server neu starten und testen. Wird aber wie gesagt nur in etwas komplexeren Setups benötigt.
Title: Re: openvpn Fragen
Post by: jacolani on January 31, 2019, 02:37:00 pm
Ah OK, d.h. ich lasse es dann erst mal ohne Zuweisung.

Nächste Frage dazu:

1. Wenn ich 2 verschiedene vpns einrichten will, einen nur zum surfen, und einen nur ins LAN. Dann könnte ich theoretisch zwei openvpn server erstellen, einen mit  Wieterleitungsgateway und einen ohne. Ich vermute das wäre keine gute Idee, vor allem sollen die am selben Port hören. Wäre es nicht besser das über die User zu steuern (Firewall?), also user1 darf nur surfen, ohne auf die GUI der sense zuzugreifen, und user2 darf nur ins LAN aber nicht ins Inernet. Gibt es dazu vielleicht ein Beispiel wie ich das genau konfiguriere.
Title: Re: openvpn Fragen
Post by: theq86 on January 31, 2019, 03:16:38 pm
Zwei verschiedene Server können gar nicht auf dem selben Port lauschen ;-)

Dennoch hast du die Möglichkeit das von dir gewünschte Verhalten über einen Server zu erreichen.
Es gibt die sogenannten CSC (client specific configurations) in deutsch Client-spezifische Konfigurationen.
Diese ermöglichen es dir abhängig vom CommonName des Client-Zertifikats eigene Einstellungen zu wählen.

Voraussetzung dafür ist:
- Jeder VPN User muss sein eigenes Client-Zertifikat verwenden (das sollte generell gemacht werden)
- Dann kannst du eine CSC anlegen die für dieses Zertifikat gültig ist
- Darin kannst du dann bestimmen, ob das "Weiterleitungs-Gateway" aktiviert ist oder nicht
- Außerdem kannst du über erweiterte Konfigurationsoption ifconfig-push <IP Adresse> <Subnetzmaske> diesem Client eine feste IP-Adresse geben, die du für die Firewallregeln verwenden kannst, wer wohin darf

Nachteil ist:
- Niemand kann dem Client verbieten diese Einstellungen zu überschreiben
- Jemand der über dieses Konzept bescheid weiß kann sich leicht eine andere IP Adresse besorgen und somit die Firewallbeschränkungen umgehen.

Sicherste Methode wären daher wirklich 2 verschiedene Server, die dann aber nicht auf dem selben Port lauschen dürfen.

Es liegt also an dir zu entscheiden ob Komfort (nur ein Port für alles) oder Sicherheit (keiner kann die Firewallregeln durch simples Ändern der IP umgehen) dir wichtiger ist.
Title: Re: openvpn Fragen
Post by: jacolani on January 31, 2019, 03:34:44 pm
Danke sehr gut erklärt. Sicherer wären also doch 2 Server mit unterschiedlichen Ports. Die Frage ist ob es dazu nicht zu Performance Problemen oder sonstigen Konflikten kommen kann? 4GB RAM, APU Board mit AMD Prozessor, also die bekannten kleinen Teile.

Eine weitere Frage dazu:

Mit ist aufgefallen, das ich mach der VPN Verbindung keine Pings absetzen kann, surfen und auf die sense komme ich. Im LAN ist auch kein Verbot Pings zu machen, auch nicht auf der openvpn Regel innerhalb der Firewall, dort ist alles nach außen erlaubt. GIbt es eine Erklärung dazu?
Title: Re: openvpn Fragen
Post by: Gandalf123 on February 06, 2019, 09:00:05 am
Hallo,

das gleiche Problem habe ich auch, ich dachte ich könnte die Zugriffe durch feste IP Zuweisung und Firewallregeln einschränken.

Quote
Nachteil ist:
- Niemand kann dem Client verbieten diese Einstellungen zu überschreiben
- Jemand der über dieses Konzept bescheid weiß kann sich leicht eine andere IP Adresse besorgen und somit die Firewallbeschränkungen umgehen.

Kann man hier noch was einstellen oder absichern um das zu verhindern? Welche Alternative gibt es denn noch die Zugriffe einzuschränken? Mal angenommen ich lege für jedes Lan einen separaten VPN Server an, möchte aber den Zugriff in dem Lan auf einen Host und zb Port über die Firewall beschränken dann hätte ich ja auch schon wieder ein Problem, oder?

Grüße
Gandalf123
Title: Re: openvpn Fragen
Post by: bewue on February 09, 2019, 03:26:44 pm
Über ein "Client Specific Override" sollte man den "Common name" eines Client-Zertifikats an ein Subnet binden können, z.B. 10.30.0.0/29 (über "IPv4 Tunnel Network)". Dieses Subnet kann man dann über entsprechende Firewall-Regeln auf dem OpenVPN Interface kontrollieren.
Somit können je Client spezifische Netzwerkfreigaben vergeben werden.
Title: Re: openvpn Fragen
Post by: jacolani on February 13, 2019, 10:11:57 pm

Es gibt die sogenannten CSC (client specific configurations) in deutsch Client-spezifische Konfigurationen.
Diese ermöglichen es dir abhängig vom CommonName des Client-Zertifikats eigene Einstellungen zu wählen.


Hallo,

genau das wollte ich machen, und es funktioniert nicht. Ich weiß jetzt nicht warum? Der CN des Benutzerzertifikates stimmt. Ich erhalte immer dieTunnelneutzadresse, die ich im OpenVPN Server eingetragen habe, aber nie die vom CSC. Bilder sind dazu angehängt.
Kann es sein das es nur in einer bestimmten Konstellation funktioniert, also z.b. peer2peer site2site etc.
Oder wo liegt der Fehler?