Messages

Vielen Dank Euch beiden für die Infos zu 2FA. Ich hatte damals einige Kombinationen mit verschiedenen Clients (Windows Native, NCP, TheGreenBow etc.) getestet. Und ja, eine Variante dabei war User Cert + AD-Account. Auch die Möglichkeiten, an FreeRADIUS neben Authentifizierung gegen AD (erste Runde) in einer zweiten Runde OTP-Sachen anzudocken hatte ich mal angefangen abzuklopen. Irgendwie wurde es dann doch relativ aufwendig, gemeinsame Schnittmengen hinsichtlich der jeweils unterstützten Verfahren zu finden. Schlussendlich wurde es in dem konkreten Fall dann Cert+AD Credentials.

Von daher hat mich das halt einfach interessiert, für welche Kombination sich andere Leute entschieden haben.  ;)

Hallo,

ich habe das gerade zufällig gelesen:

Alles wo ein Benutzer sich Authentifizieren muss, wird mit IPsec gemacht, gerade auch wegen 2 Faktor Authentifizierung.

Mich würde interessieren, a) was Du da als zweiten Faktor verwendest und b) mit welchem Client: dem oben erwähnten von NCP? Könntest Du mir dazu evtl. eine Info geben? Das wäre prima, vielen Dank!

Hi Leute,

so weit ich weiß, handelt es sich bei den Konsolenports (Mini-USB-Anschluss) ja nicht um übliche COM-Ports, sondern "nur" um einen internen Seriell-zu-USB-Adapter, dessen USB-Port rausgeführt wird und den man in den USB-Anschluss eines PCs stecken kann. Dort hat man dann über in einen virtuellen COM-Port mit entsprechender Software (screen, minicom, PuTTY etc.) Konsolen-Zugang zum Device.

Das ist zwar grundsätzlich bequem und funktioniert natürlich. Allerdings wäre mir ein herkömmlicher, reiner COM-Port (wie noch bei vielen Switches, Routern, anderen Firewalls etc.) lieber - einen separaten Seriell-zu-USB-Adapter hat man ja meistens trotzdem. Und (damit wäre ich endlich bei meiner eigentlich Frage) ich könnte die DECs an freie COM-Ports der vorhandenen Konsolen-/Terminalserver (remote location, für Notfallzugriff auf Switches, Router) anschließen.

Hat zufällig jemand von Euch die Konsolenports der DEC-Devices an USB-Terminal-/Device-Servern wie Digi AnywhereUSB, SEH utnserver Pro oder vielleicht auch anderen vergleichbaren Produkten (Perle, W&T fallen mir noch als Hersteller in diesem Umfeld ein) im Einsatz? Mir geht es nur darum, ob das prinzipiell funktioniert, ohne mir gleich ein solches, ja relativ teures Gerät nur auf Verdacht zu kaufen.

Ich wäre Euch für jegliche Hinweise sehr dankbar.

Hallo Leute,

ich habe ein Problem.  ;)

Momentan betreibe ich ein OPNsense 22.7.x, das primär für VPN-Clients genutzt wird. In der Hauptsache sind das Windows-Büchsen und einige Linux-Clients. Diese nutzen IKEv2 / EAP-MSCHAPv2. In OPNsense ist ein FreeRADIUS-Server eingetragen, der seinerseits die Authentifizierungsanfragen gegen ein AD durchführt und dabei zusätzlich eine Gruppenmitgliedschaft überprüft. Das sind die groben Eckdaten des bisherigen Setups, das so weit reibungslos funktioniert.

Warum frage ich also? Wir haben von einer übergeordneten Stelle die Forderung, dass diese Zugänge neben dem bisherigen Benutzername + Passwort nun zusätzlich einen zweiten Faktor zur Authentifizierung verwenden sollen.

Wenn ich nach vielem Suchen nicht komplett falsch liege, dürfte das mit dem bisherigen Konstrukt nicht wirklich möglich sein. Jedenfalls habe ich bisher keine Möglichkeit gefunden (z. B. über Sachen wir privacyIDEA, OpenOTP), an den aktuellen Authentifizierungsmechanismus zusätzlich die Abfrage eines (T)OTP, eines Client-Certs o. ä. anzuflanschen. Ich hoffe, ich habe da nix übersehen.

Eine zumindest technisch denkbare Alternative wäre m. E., in Phase 1 von "EAP-RADIUS" weg zu gehen und auf "Mutual RSA + EAP-MSCHAPv2" zu wechseln. Klar, die bequeme Authentifizierung gegen AD entfällt und es käme die Verwaltung (Administration) und Nutzung (Clients) eines zusätzlichen Accounts ins Spiel. Aber eben auch das Client-Cert als zweiter Faktor.

Da der native Windows-Client das nicht kann: Habt Ihr Erfahrungen, welche alternativen Clients für Windows das beherrschen? Ich wäre für jeden Hinweis sehr dankbar.

Und auch für Tipps, ob man diese 2FA-Anforderung ja vielleicht doch eleganter lösen könnte. Vielleicht hat ja z. B. jemand schon mal einen Auth-Server vom Typ "Local + Timebased One Time Password" in OPNsense verwendet und hat Erfahrung, ob das praktikabel wäre?

Einen generellen Wechsel der VPN-Technologie von IPsec zu OpenVPN, WireGuard oder sonst was möchte ich übrigens nach Möglichkeit vermeiden.

Vielen Dank fürs Lesen und viele Grüße

Hi,

I'm running OPNsense 22.7.6, want to use IPsec mobile clients and assign an unused IP address range from the LAN to them so they could act as "real" local LAN clients (I need this behavior for several reasons).

Works fine so far, the mobile clients are getting an IP address from the 'Virtual IPv4 Address Pool' (the unused local IP address range mentioned above). But the (reply) packets from hosts in my LAN to these clients cannot reach them. And I cannot change the routing at several devices of the LAN. So the idea is to use the farp plugin for libcharon that fakes the ARP responses (https://docs.strongswan.org/docs/5.9/plugins/farp.html).

I searched OPNsense up and down but I cannot find this plugin. Does anybody know how I could get it running on OPNsense (if possible at all)?

Otherwise my only options would be:

1) 'Interfaces' -> 'Virtual IPs' -> 'Proxy ARP' (I tried it and it works - but does it have any disadvantages compared with farp plugin?)
2) 'Firewall' -> 'NAT' - am I right? But to be honest: I would try to avoid NAT as long as I can ...
3) or maybe 'choparp' (did anybody use it on OPNsense?)

-> am I right?

Or any other idea how to solve this problem? Any help is much appreciated.

Thanks and kind regards