OPNsense Forum

International Forums => German - Deutsch => Topic started by: Andreas on August 20, 2015, 07:55:00 am

Title: Feature Anfrage SSL-VPN mit Webportal
Post by: Andreas on August 20, 2015, 07:55:00 am
Hallo zusammen,
gibt es Pläne das OPNSense auch SSL-VPN WIKI (https://de.wikipedia.org/wiki/SSL-VPN) unterstützen wird? Also ganz konkret die Nutzung über ein Webportal (Browser) um den Tunnel aufzubauen und ohne gesonderten Client?



Danke
Andreas
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: jstrebel on August 20, 2015, 09:36:14 am
Andreas,
wenn ich dich richtig verstehe möchtest du eine https Verbindung zu einem Host (auf dem das WiKi läuft) in deinem Home Netzwerk zugreifen. Ist das So? Deine Antwort würde helfen dir einen Weg zu zeigen.
Jakob
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: fabian on August 21, 2015, 10:22:26 pm
Hallo Jakob,

ich glaube er sucht entweder sowas:
https://en.wikipedia.org/wiki/TLS_termination_proxy
oder
einen Proxy, der in Form einer Webanwendung implementiert ist.

Fabian
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Andreas on August 23, 2015, 03:36:34 pm
Hallo,
nein suche nicht ein Wiki etc.
sondern ich wünsche das was in dem Wiki beschrieben wird.


Der VPN Tunnel wird über eine Webseitenanwendung hergestellt so dass auf Client Seite keine Extra Software installiert werden muss sondern die Clientsoftware über oder aus dem Browser gestartet/installiert wird

Danke
Andreas
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Zeitkind on August 23, 2015, 08:28:22 pm
Denke mal eher sowas?
https://en.wikipedia.org/wiki/SSL-Explorer:_Community_Edition

Wenn ja: Gibt's nur in teuren Closed-Source-Kisten. Da läuft dann irgend ein vermutlich gruseliger Java-Server und braucht so Dinge wie Direct X. *schüttel*

http://www.kb.cert.org/vuls/id/261869
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: franco on August 24, 2015, 08:23:19 am
Warum VPN hier, weil der eigentliche HTTP Server bereits existiert?

Mit HTTPS hätte man die Verschlüsselung abgedeckt nach außen. Mit einem Captive Portal könnte man vielleicht diesen Rückwärts-Fall abbilden, aber so ein Setup habe ich noch nie probiert... Clients im WAN, Einschränkung auf einen HTTP Server innerhalb. Theoretisch möglich... praktisch klemmt es vielleicht an vereinzelten Stellen die im Code verbessert werden müssten für den Anwendungsfall.

Soll denn die Authentifizierung über Nutzername/Password passieren?
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Zeitkind on August 24, 2015, 10:17:52 am
Nene, das sind "VPN"-Lösungen für "Unternehmen". Bei surft man mit dem IE ein https-Portal an, meldet sich da an mit Username und Kennwort und und bekommt dann eine Art Portal/Proxy für diverse interne Kisten, wie z.B. RDP, Exchange Webmail oder SMB. Nett, aber hat mehr Sicherheitsprobleme als man mag und ist sehr abhängig vom Browser, i.d.R. halt IE8/IE9 etc.
Gab mal die freie Lösung SSL-Explorer, aber das ist schon lange Closed Source und die Ableger (z.B. Adito) wurden ewig nicht weiterentwickelt, z.B.
http://sourceforge.net/projects/openvpn-als/
adito-0.9.1-bin.tar.gz    2008-12-19
Dezente 7 Jahre alt...
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Andreas on August 24, 2015, 08:54:31 pm
Gibts halt noch viel bei den Cisco Kisten,
Sophos hat sowas nicht, aber dafür andere Webportal Lösungen - womit der Nutzer selber viel machen kann.

Gemeint war das hier
SSL Portal VPN: This type of SSL VPN allows for a single SSL connection to a Web site so the end user can securely access multiple network services. The site is called a portal because it is one door (a single page) that leads to many other resources. The remote user accesses the SSL VPN gateway using any modern Web browser, identifies himself or herself to the gateway using an authentication method supported by the gateway and is then presented with a Web page that acts as the portal to the other services.

Find ich halt ganz chic wenn man was beim Kunden kurz zeigen will ohne was installeren muss bei ihm...
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Zeitkind on August 25, 2015, 02:24:01 pm
Naja, das ist nichts anderes als ein Proxy für interne Dienste. Folglich überträgt man alle Verantwortung (Rendering, Sicherheit usw.) auf den Browser (*grusel*), und programmiert dann - meist in JAVA - irgendwelche Progrämmchen, die dann z.B. RDP im Browser machen.
Vorteile? Ja, man braucht nur https und z.B. keinen RDP-Client (der aber eh bei jedem Windows dabei ist und auch für Mac OS X kostenlos verfügbar ist) und auch sonst keinen "eigenen" VPN-Client. Ja nu, wobei PPTP/L2TP und IPsec doch eh immer an Bord sind.. *schulterzuck*
Nachteile? Oh ja, jede Menge. Denn das ganze is vom Webbrowser abhängig. Und wenn man nicht gerade in die wundersame Heilkraft von HTML5 vertraut, wird man bombardiert mit Unverträglichkeiten wie jede "aktive" Webseite. Viel mehr ist das nämlich nicht. Außerdem ist das ganze Sicherheitskonzept _mehr_ als fragwürdig, siehe den Link zu den konzeptionellen Schwächen beim CERT.
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Andreas on August 25, 2015, 03:49:00 pm
Hallo,
nein ich denke nicht das es nur ein Proxy ist, denn nach der Verbindung bin ich mittels VPN im angewählten Netz.
Kann also einfach auf meine Systeme hinter der Firewall zugreifen ohne das über den Browser zu machen - bspw. Fileserver etc.

Hier von einem Proxy zu sprechen ist denke ich einfach falsch
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Zeitkind on August 25, 2015, 05:49:05 pm
Dann ist es aber nicht "das übliche" clientless SSL-"VPN". Denn sonst muss ja irgend ein Netzwerkprotokoll da sein, welches einen Tunnel aufbaut. Könnte sein, daß du in Wirklichkeit SSTP meinst?
https://de.wikipedia.org/wiki/Secure_Socket_Tunneling_Protocol
Ist komplett proprietär und nur in Windows ab Vista verfügbar. Für andere Systeme gibt es grade mal einen Client (http://sourceforge.net/projects/sstp-client/), und damit wieder eben nicht "clientless". Nur das der Client bei Windows halt schon eingebaut ist. Das ist aber L2TP, PPTP und IPSec auch..
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Andreas on August 25, 2015, 07:09:00 pm
Hi,
ich mein sowas hier
http://www.nwlab.net/tutorials/SSL-VPN/ (http://www.nwlab.net/tutorials/SSL-VPN/)

allgemein toll find ich bzgl. ssl vpn sowas hier

https://www.youtube.com/watch?v=_csPF3hKITU

das ist abe dann mit client software aber das details bzgl. des downloads etc find ich gut
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Zeitkind on August 26, 2015, 05:06:05 pm
Äh.. nunja.. Das sind beides proprietäre VPN-Lösung MIT einem Client. Ob man den wie bei Sophos erst installieren muss oder die Installation per Browser direkt gestartet wird, spielt keine Rolle. Aber.. wozu??
VPN die SSL (oder besser TLS) statt z.B. IPSec verwenden haben so keinerlei Vorteile, im Gegenteil, die brauchen einen eigenen Client, während z.B. L2TP zumindest halbwegs standardisiert und in jedem System schon dabei ist. Diese eigenen Clients sind Closed Source, unterstützen nur wenige Betriebssysteme und die Sicherheit ist nicht nachprüfbar. Egal ob da Netgear, Sonicwall, Watchguard, Cisco oder Sophos draufsteht.
Es spricht doch nichts dagegen, einen eigenen Webserver aufzusetzen, der per User fertige Configs zum doppelklicken anbietet - oder z.B. einen passenden OpenVPN-Client. Viel was anderes sind diese Lösungen nämlich nicht, der Client authentifiziert sich erst am Webportal und nach der Installation noch mal innerhalb des Clientsoftware. Toll. Da kann ich auch gleich L2TP nehmen und spare mir die Installation. Oder nehme OpenVPN, das ist wenigstens halbwegs auf Lücken abgeklopft - und verwendet.. SSL! Resp. TLS, denn "SSL" ist lediglich die alte Beteichnung dafür.
Und wer mit Proxys oder restriktiven Firewalls auf Clientseite Probleme hat, der muss halt einen TCP-OpenVPN-Server auf Port 443 fahren. Geht ohne Probleme und damit tunnelt man auch so ziemlich alle Zwangsproxies..
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Andreas on August 28, 2015, 11:46:50 am
Hallo.
zum zweiten ja - aber denke es wäre nett das in der Firewall als Möglichkeit an Board zu haben.

zum ersten - da ist klar ein VPN Client dabei aber der benötigt in der Regel keine Admin Rechte zum installieren und ist verträglich in Firmennetzen zum mal antesten (selber getestet in ver. Umgebungen).

Problem war da immer eher die Updates von Windows die teilweise die Funktion einschränkten oder zu nichte machten womit man sehr stark da in Abhängigkeit von Updates seitens des Firewall Hersteller war.

Ist ja auch eher ein Denkanstoss als ein Must have - denke eher für den Vergleich mit den grossen ist das Angesprochene User Portal auf Dauer wenig verzichtbar...
Title: Re: Feature Anfrage SSL-VPN mit Webportal
Post by: Zeitkind on August 28, 2015, 01:32:34 pm
Also unter Windows würde es mich wundern, denn alles was Routen setzen will, braucht seit Windows 7 eigentlich (lokale) administrative Rechte.