Messages

Das ist schade, aber trotzdem danke für deine Hilfe.

Das hieße, wenn ich mehrere Benutzer habe, muss ich für jeden Benutzer eine eingehende Regel unter Firewall im OpenVPN erstellen.

Dann müsste ich in der Regel als Quelle den Benutzer eintragen, nur geht das nicht. Auch als Alias kann ich keinen Benutzer auswählen. Folglich müsste ich jeden Benutzer eine statische IP geben, damit ich diese auswählen kann.
Das finde ich leider nicht.

Ich glaube, ich hab die Frage falsch formuliert oder ich deute deine Antwort falsch.:(

Ich versuche es mal zu verdeutlichen.

Der Benutzer meldet sich über VPN an und bekommt irgend eine IP zugewiesen, das passt auch so. Allerdings kann der Benutzer dann alle IP Adressen im gesamten Netzwerk anpingen, bzw. sich per Remotedesktop (wenn freigegeben) damit verbinden. Ich möchte erreichen, dass der Benutzer nur eine bestimmte IP Adresse im gesamten Netzwerk sieht und sich damit verbinden kann.

Ist:

Benutzer über VPN (VPN IP 10.10.12.3) -> Ziel IP Adressenbereich Bsp. 10.10.10.1 - 255

Soll:

Benutzer über VPN (VPN IP 10.10.12.3) -> Ziel IP Adresse Bsp. 10.10.10.3

Kurz gesagt, der Benutzer hat im Netzwerk nur Zugriff auf eine Ziel IP Adresse, wenn er mit der VPN verbunden ist.

Liebe Grüße

Hallo liebe Comunity,

ich würde gern wissen wollen, ob es möglich ist einem OpenVPN Benutzer auf nur eine Ziel IP zu binden.

Sprich, der Benutzer lockt sich per VPN ein und bekommt im Zielnetzwerk nicht den ganzen Bereich sondern nur eine IP Adresse angezeigt.

Der Benutzer soll unter Windows per RDP nur diese IP Adresse anwählen können.

Im Netz habe ich leider nichts gefunden und unter OPNsense findet sich unter VPN und Client nichts dazu. Als Alias und Regel lässt sich auch kein Client auswählen.

Hoffe es kann mir jemand helfen.

Ich habe es gerade nochmal mit Securepoint versucht und dort funktioniert es auch auf anhieb. Ich denke, solang ich bei OpenVPN nicht weiterkomme, nutze ich das.

Ich würde mich dennoch über Hilfe für OpenVPN Client freuen.

ich setze tunnelblick ein, einfach die config von der sense einlesen und fertig, geht.

Mir fällt gerade auf, dass das nur auf Mac läuft. Gibt es noch eine andere Alternative?

ich setze tunnelblick ein, einfach die config von der sense einlesen und fertig, geht.

Dann versuche ich das mal und melde mich, falls es nicht funktionieren sollte. Danke dir.

openvpn einrichten auf der sense ist eine sache von 10 minuten, einfach den assistenten durcharbeiten.
beim export der client-config drauf achten das auch die richtige schnittstelle ausgewählt ist.

Naja die VPN läuft ja meines Erachtens schon. Ich kann mich mit Viscosity verbinden und sehe auch auf der sense, dass die Verbindung erfolgreich war. Nur klappt es mit OpenVPN Client nicht. Ich bin mir nur nicht sicher ob es am Client liegt oder an etwas anderen.

Ich hab jetzt nochmal kurz in die OVPN Datei reingeschaut und dort steht auch die CA mit drin.

Ist denn in Deiner ovpn Client Config die CA definiert? Inline (also in der Datei) oder als externe Datei referenziert? Wenn letzteres: Ist die Datei auch da?

Ja die Datei ist da und ich habe sie bei OpenVPN auch eingefügt.

Ich habe die Clientdateien über OPNsense exportiert und bei OpenVPN eingefügt.

Allerdings wenn ich das Zertifikat öffne, bekomme ich das Zertifikat des Benutzers und das der CA angezeigt. Ich kann bei OpenVPN nur eins für den Benutzer auswählen, hab aber schon beide versucht. Wobei ich mir ziehmlich sicher bin, dass ich nur das des Benutzers nehmen muss.

Bei Viscosity ist das etwas einfacher, weil er da alles automatisch einbindet, sobald man die OVPN Datei nimmt.

Liebe Community,

ich bin gerade drüber mir eine VPN über meine OPNsense Firewall einzurichten.

Was ich schon alles gemacht habe:

Zertifikat für den Server und für den Benutzer erstellt und den OpenVPN Server eingerichtet.
Einen Token für den Benutzer erstellt und über Google Authenticator ausgelesen.
Die Regeln für WAN und OpenVPN eingestellt und erfolgreicht mit Viscosity als Client getestet und verbunden.

Jetzt zu meinem Problem.

Da die VPN über Viscosity mit Zertifikat funktioniert, wollte ich das gern mit dem kostenlosen OpenVPN Client versuchen, nur verbindet dieser sich nicht und spuckt mir dieses Log aus:

ssl_context_error: OpenSSLContext: CA not defined

Im Netz dazu hatte ich einen Beitrag gefunden, der hat mich aber nicht sonderlich weiter gebracht.

Wäre super, wenn jemand einen Tipp hat.

Liebe Grüße

Kannst uns auch einfach Mitteilen, was in dem Firmennetzwerk läuft und für welche Dienste zu den Zugriff von außen benötigst.

Da helfen wir dann gern... :)

Das wäre klasse, wenn das klappt.

Also ich habe einen Host für meine Webseite (Windows Server 2019)
Geplant ist ein FTP Zugriff über VPN. (Windows Server 2019)
Und diverse Spieleserver, z.B. Minecraft, ARK und was es noch so gibt. (Windows 10 Enterprise)
Um die Spieleserver zu bedienen, benötigt der User Zugriff über Remotedesktop, aber das möchte ich auch über VPN machen. Die offenen Ports für die Spieleserver müssten noch überwacht werden.

Bisher lief alles ganz gut, nur möchte ich mehr Sicherheit wegen Angriffen von außerhalb. Das ganze ist alles finanziell etwas eng, weil ich es selbst finanziere und momentan nicht wirklich viel reinkommt. Deshalb lief es bisher leider ohne Firewall, auf eigene Gefahr...

Da ich mich jetzt darum kümmern wollte, werde ich momentan mit neuen Informationen regelrecht bombadiert.  :-\

Ach ja, was ich nicht vergessen darf zu erwähnen, dass die Spieleserver deshalb laufen, weil sie mir zumindest schon mal ein wenig Geld einbringen, damit ich dieses Projekt weiterführen kann.

Vielen Dank für die ausführlichen Tipps. Also werde ich mich erstmal mit dem Proxy auseinandersetzen.

Falls ich weitere Hilfe brauche, würde ich hier nochmal antworten.

Ich habe den Proxy nur in der Firewall für das Internet konfiguriert, damit von außen nicht alles einfach so rein kann. Dazu habe ich eine Liste mit bekannten IPs eingefügt, die regelmäßig gepflegt wird. Ich hoffe, ich habe das so richtig verstanden, dass der Proxy zumindest dadurch Sicherheiten bringt, was Angriffe von außerhalb betrifft.

Also wenn ich den Proxy deaktiviere und alles über Regeln mache, sollte das kein Problem sein?

Eigentlich würde mir reichen, wenn der Datenverkehr kontrolliert wird und alle unerwünschten Anmeldeversuche an meiner öffentlichen IP und offenen Ports geblockt werden könnte. Ich bin mir nur leider nicht sicher, ob ich das mit dem Proxy, den Regeln oder einer anderen Methode geregellt bekomme.

Zusatz:

Ich habe jetzt nebenbei nochmal geschaut, soweit ich das jetzt verstanden habe, benötige ich keinen Proxy, sofern ich nicht im Internet surfe.

Um das ganze noch etwas zu erklären. Warum ich gewisse Sicherheiten benötige ist, dass ich von außerhalb auf das Netzwerk per Remotedesktop zugreifen möchte und ich möchte die offenen Ports absicher, damit sich niemand unberechtigt Zugriff verschaffen kann. Ich möchte den Zugang zwar über VPN Tunnel ermöglichen, sodass ich keine RDP Ports freigeben muss, aber mir ist das ganze noch zu unsicher, weil ich noch weitere Ports offen habe. Eventuell hat jemand noch einen Tipp, damit ich die Firewall darauf konfigurieren kann.

Hallo liebe Community,

ich bin neu hier und befasse mich erst seit kurzem mit OPNsense

Ich habe zwar schon so einiges über Alias, Regeln und Proxy gelesen (auch hier im Forum) und versucht, komme nur leider momentan nicht wirklich weiter.

Eventuell kann mir der eine oder andere hier weiterhelfen.

Ich versuche mal den Hintergrund zu erklären.

Ich möchte gern mein Firmennetz vom privaten Netz trennen und möchte dem Firmennetz lediglich Zugang zu Windows und Defenter Updates gewähren. Es wird auch kein Surfen im Internet benötigt.

Dazu habe ich bisher gelesen, dass die ,,any any" Regel im LAN entfernt werden soll und nur Regeln definiert werden sollen, die ich auch wirklich benötige.
Wenn ich diese Regel deaktiviere, habe ich keinen Zugriff auf das Internet, also gehe ich davon aus, dass zumindest die Firewall und der Proxy funktionieren.

Jetzt ist meine Frage, reicht es aus den Alias mit den URLs von Microsoft zu erstellen und diese dann in eine ausgehende LAN Regel zu packen oder muss ich am Proxy noch eine Whitelist erstellen?

Bisher hatte ich nur den Alias und die Regel erstellt, leider ohne Erfolg.

Ich nutze OPNsense 20.7 und Windows 10 pro

Falls ich noch mehr Informationen nennen soll, einfach schreiben. Bin mir nicht sicher ob ich an alles gedacht habe.

Vielleicht kann mich hier jemand auch auf einen Beitrag weiterleiten, wo dieses Problem schon gelöst wurde. Das würde mir auch reichen. Nur leider hatte ich mit der Suche bisher keinen Erfolg.

Vielen Dank schon mal im Voraus.