"
Ich arbeite bereits mit User Zertifikaten - sowohl für VPN als auch ActiveSync. Allerdings werden diese erst an einem Windows Radius Server in der Domain authentifiziert. Ich schaue mal, ob ich mit Deinem Hinweis b) diese Zertfiikate bereits auf der OPNSense prüfen kann. Danke für den Tipp.
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#32
German - Deutsch / Verbindung nur mit Computer-Client-Zertifikat
May 30, 2021, 01:08:34 PM
Hallo,
ich möchte die Nutzung von OPNSense Verbindungen / Dienste (Exchange ActiveSync, IPsec VPN) auf berechtigte Geräte begrenzen. Realisierung nicht über Pre-Auth mit Passwort, sondern über ein Zertifikat. D.h. jeder Client bekommt ein eigenes Zertifikat und authentifiziert sich damit an der OPNSense. Ist dies möglich und welche Komponenten benötige ich hierzu. Gerne auch einen Link auf eine Anleitung.
ich möchte die Nutzung von OPNSense Verbindungen / Dienste (Exchange ActiveSync, IPsec VPN) auf berechtigte Geräte begrenzen. Realisierung nicht über Pre-Auth mit Passwort, sondern über ein Zertifikat. D.h. jeder Client bekommt ein eigenes Zertifikat und authentifiziert sich damit an der OPNSense. Ist dies möglich und welche Komponenten benötige ich hierzu. Gerne auch einen Link auf eine Anleitung.
#33
German - Deutsch / Re: "0x8007003b unerwarteter Netzwerkfehler
May 30, 2021, 12:16:09 PMQuote from: vpnuser on May 27, 2021, 12:33:30 PMHast Du den Parameter MSS der OPNSense Schnittstelle schon überprüft / getestet?
Hallo Stefan,
evtl. liegt es auch am Parameter "MSS" der OPNSense LAN Schnittstelle (VPN Interface, nicht WAN). Ich hatte Probleme mit ständigen VPN Verbindungsabbrüchen. MSS auf 1300 gesetzt und seit dem läuft es.
Ein weiteres Problem könnten DS-Lite sein. Wir hatten ein vergleichbares Problem - Provider A lief, Provider B instabiles VPN / Verbindungsabbrüche. Ich hatte dann die VPN Verbindung auf IPv6 (als den Verbindungsaufbau, nicht den VPN Tunnel) umgestellt und seitdem keine Probleme mehr.
#34
German - Deutsch / Re: Sichere Exchange Server Veröffentlichung
May 27, 2021, 12:43:31 PM
Hallo Thomas,
meine OPNSense / Exchange Konfiguration sieht wie folgt aus:
VPN Verbindung für Exchange Dienste. Ist nun mal die sicherste Lösung, wie der Exploit ProxyLogn eindrücklich gezeigt hat.
Für ActiveSync kann man ebenfalls VPN verwenden. Ich habe aber den direkten Zugang aus dem Internet freigeschaltet und wie folgt abgesichert:
Im Exchange IIS ein eigenes, virtuelles Verzeichnis mit eigenem Port (nicht 443) eingerichtet. Login nur mit User Zertifikaten, keine Passwörter. Damit ist dies auch die einzige Authentifizierungs-Möglichkeit.
GeoIP für VPN und ActiveSync. Exchange DeviceID (Block / Allow) für ActiveSync aktiviert. Ideal wäre noch eine WAF / Reverse Proxy Server für EAS – steht noch aus.
meine OPNSense / Exchange Konfiguration sieht wie folgt aus:
VPN Verbindung für Exchange Dienste. Ist nun mal die sicherste Lösung, wie der Exploit ProxyLogn eindrücklich gezeigt hat.
Für ActiveSync kann man ebenfalls VPN verwenden. Ich habe aber den direkten Zugang aus dem Internet freigeschaltet und wie folgt abgesichert:
Im Exchange IIS ein eigenes, virtuelles Verzeichnis mit eigenem Port (nicht 443) eingerichtet. Login nur mit User Zertifikaten, keine Passwörter. Damit ist dies auch die einzige Authentifizierungs-Möglichkeit.
GeoIP für VPN und ActiveSync. Exchange DeviceID (Block / Allow) für ActiveSync aktiviert. Ideal wäre noch eine WAF / Reverse Proxy Server für EAS – steht noch aus.
#35
German - Deutsch / Re: "0x8007003b unerwarteter Netzwerkfehler
May 27, 2021, 12:33:30 PM
Hallo Stefan,
evtl. liegt es auch am Parameter "MSS" der LAN Schnittstelle (VPN Interface, nicht WAN). Ich hatte Probleme mit ständigen VPN Verbindungsabbrüchen. MSS auf 1300 gesetzt und seit dem läuft es.
evtl. liegt es auch am Parameter "MSS" der LAN Schnittstelle (VPN Interface, nicht WAN). Ich hatte Probleme mit ständigen VPN Verbindungsabbrüchen. MSS auf 1300 gesetzt und seit dem läuft es.
#36
German - Deutsch / Re: Firewall Rule mit MAC Adresse
May 07, 2021, 08:51:14 PMQuote from: lfirewall1243 on May 07, 2021, 08:13:44 PMIn iOS kann man diese Funktionen für individuelle WLANs ausschalten in Einstellungen -> WLAN -> "Private WLAN Adresse" deaktiveren.
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
#37
German - Deutsch / Re: Firewall Rule mit MAC Adresse
May 06, 2021, 05:58:19 PM
@pmhausen Danke, damit wird einiges klar.
#38
German - Deutsch / Re: Firewall Rule mit MAC Adresse
May 06, 2021, 05:22:21 PMQuote from: chemlud on May 06, 2021, 04:59:11 PMGeht leider nicht, da der Zugriff über das Internet erfolgt und somit die IP vom jeweiligen Internet-Provider vergeben wird.
Also: der MAC eine fixe IP zuweisen (DHCPv4) und dann die Regel für die reservierte IP erstellen...
#39
German - Deutsch / Firewall Rule mit MAC Adresse
May 06, 2021, 04:07:11 PM
Hallo,
ich wil eine Firewall-Rule mit MAC Adresse in der Source erstellen. Die MAC Adresse ist von einem iPhone. Ich habe ein Alias mit der Adresse angelegt und diese in der Firewall Rule als Source eingetragen. Leider funktioniert diese Regel nicht. Wenn ich den Alias aus der Source entferne, dann greift die Regel.
Ich habe die MAC-Adresse mit dem Diagnose Tool "Pacture Capture" ermittelt. Hier der Ausschnitt:
Die Mac-Adresse der Quelle ist hier "44:f4:77:xx:xx:xx". Diese habe ich auch im Alias verwendet, auch versucht nur die ersten 3 Bytes zu verwenden, leider ohne Erfolg. Wo mache ich hier einen Fehler?
ich wil eine Firewall-Rule mit MAC Adresse in der Source erstellen. Die MAC Adresse ist von einem iPhone. Ich habe ein Alias mit der Adresse angelegt und diese in der Firewall Rule als Source eingetragen. Leider funktioniert diese Regel nicht. Wenn ich den Alias aus der Source entferne, dann greift die Regel.
Ich habe die MAC-Adresse mit dem Diagnose Tool "Pacture Capture" ermittelt. Hier der Ausschnitt:
Code Select
WAN
hn1 15:15:14.146968 44:f4:77:xx:xx:xx > 00:50:56:xx:xx:xx, ethertype IPv4 (0x0800), length 78: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 64)
xx.xx.xx.208.55916 > xx.xx.xx.29.2052: Flags [S], cksum 0x50f6 (correct), seq 2069898639, win 65535, options [mss 1452,nop,wscale 5,nop,nop,TS val 3031612560 ecr 0,sackOK,eol], length 0
Die Mac-Adresse der Quelle ist hier "44:f4:77:xx:xx:xx". Diese habe ich auch im Alias verwendet, auch versucht nur die ersten 3 Bytes zu verwenden, leider ohne Erfolg. Wo mache ich hier einen Fehler?
#41
German - Deutsch / Firewall Rule - iOS
May 05, 2021, 11:57:44 AM
Hallo,
ich möchte in einer Firewall-Regel das Betriebssystem "iOS" als "Source OS" eintragen. Gibt es da eine Möglichkeit, da "iOS" in der Auswahl fehlt.
ich möchte in einer Firewall-Regel das Betriebssystem "iOS" als "Source OS" eintragen. Gibt es da eine Möglichkeit, da "iOS" in der Auswahl fehlt.
#42
21.1 Legacy Series / Firewall Rule - iOS
May 05, 2021, 11:57:09 AM
Hello,
I would like to enter the operating system "iOS" as the "Source OS" in a firewall rule. Is there a possibility, as "iOS" is missing in the selection.
I would like to enter the operating system "iOS" as the "Source OS" in a firewall rule. Is there a possibility, as "iOS" is missing in the selection.
#43
German - Deutsch / Re: Wireguard Performance schlecht
April 07, 2021, 01:57:35 PM
Hallo Tobias,
ich hatte übersehen, dass Du die OPNSense in einer VM betreibst. Ich habe meine Sense auch in einer VM laufen. Im Hetzner Robot kannst in der Serververwaltung unter "IP" die IPv6 Adresse einer MAC-Adresse zuweisen. Weise die Adresse mal der MAC-Adresse Deiner OPNSense zu. Damit bekommt der Host keine IPv6 mehr, sondern nur die OPNSense. Des Weiteren bitte in der OPNSense GUI unter "Firewall -> Settings -> Advanced" die Option "Allow IPv6" aktivieren. Und eine / mehrere Firewall Regeln für die benötigten IPv6 Protokolle / Ports anlegen (z.B. ICMPv6). Danach noch mal meiner Anleitung testen, alternativ kannst Du die von Dir gefundene Anleitung testen.
Falls das auf dem Host die IPv6 benötigst bin ich raus - für diese Konstellation habe ich keine Expertise.
ich hatte übersehen, dass Du die OPNSense in einer VM betreibst. Ich habe meine Sense auch in einer VM laufen. Im Hetzner Robot kannst in der Serververwaltung unter "IP" die IPv6 Adresse einer MAC-Adresse zuweisen. Weise die Adresse mal der MAC-Adresse Deiner OPNSense zu. Damit bekommt der Host keine IPv6 mehr, sondern nur die OPNSense. Des Weiteren bitte in der OPNSense GUI unter "Firewall -> Settings -> Advanced" die Option "Allow IPv6" aktivieren. Und eine / mehrere Firewall Regeln für die benötigten IPv6 Protokolle / Ports anlegen (z.B. ICMPv6). Danach noch mal meiner Anleitung testen, alternativ kannst Du die von Dir gefundene Anleitung testen.
Falls das auf dem Host die IPv6 benötigst bin ich raus - für diese Konstellation habe ich keine Expertise.
#44
German - Deutsch / Re: MTA mit OPNSense - Diskspace
April 04, 2021, 08:00:36 PM
Guter Hinweis, dann werde ich mich mal weiter umschauen. Für Empfehlungen bin ich offen. Sollte als Appliance in einer Hyper-V VM lauffähig sein.
#45
German - Deutsch / Re: MTA mit OPNSense - Diskspace
April 04, 2021, 07:03:48 PM
Ich bin noch im "Findungsprozess". Schaue mir die verschiedenen Lösungen an. OPNSense habe ich in Betracht gezogen, da mir das Produkt bekannt ist und mir die GUI gut gefällt.
