Messages

Hallo Fabian,
danke für den Hinweis auf BlueCoat (jetzt Broadcom / Symantec). Dadurch habe ich das passende Produkt - Secure Web Gateway - gefunden. Es gibt hier einige Anbieter auf dem Markt.

Danke, werde ich mir mal anschauen. Gibt es "Proxy-as-a-Service" - einen Proxy Service mieten? Ich habe mir bereits Cloudflare oberflächlich angesehen, die zielen aber vor allem auf CDN und Webserver ab.

Hallo,
wir benötigen für unsere Home Office Rechner einen reinen Proxy Server. Die Verbindung zu den Unternehmens Servern / Dienste erfolgt per VPN. Aus Performance Gründen läuft allerdings der andere Internet Verkehr nicht über VPN (Split-Tunneling). Deshalb die Überlegung einen eigenen Proxy-Server zu betreiben um den Internet-Verkehr der Home Office Rechner abzusichern. Da ich bereits Erfahrungen mit OPNSense habe würde ich gerne diesen verwenden. Oder gibt es ein besseres Produkt als Proxy-Server? 

Hello,
following configuration: OPNSense as IPSec / IKEv2 VPN server with Windows 10 clients. At the moment I set the routes on the Windows client using the Powershell command Add-VpnConnectionRoute.
I read in this post https://wiki.strongswan.org/issues/817 that the IPv6 route can also be set automatically. Quote:

It turns out Windows (10) accepts unicast router advertisements directed at the virtual address of an IKEv2 interface, and doesn't need a link local address for this to work.

So, I just have an updown script like yours add the client's virtual IPv6 address to a clients{} block in /etc/radvd.conf, using stock (Ubuntu) strongSwan on the server.

I tried to make the appropriate entries (via shell) in radvd.conf. Unfortunately this does not work. Does anyone have experience with this and can help me with the entries for radvd.conf?

Hallo,
folgende Konfiguration: OPNSense als IPSec / IKEv2 VPN Server mit Windows 10 Clients. Im Moment setze ich die Routen auf dem Windows Client über den Powershell Befehl Add-VpnConnectionRoute.
Ich habe in diesem Beitrag https://wiki.strongswan.org/issues/817 gelesen, dass die IPv6 Route auch automatisch gesetzt werden kann. Zitat:

It turns out Windows (10) accepts unicast router advertisements directed at the virtual address of an IKEv2 interface, and doesn't need a link local address for this to work.

So, I just have an updown script like yours add the client's virtual IPv6 address to a clients{} block in /etc/radvd.conf, using stock (Ubuntu) strongSwan on the server.

Ich habe versucht, die entsprechenden Einträge (über Shell) in der radvd.conf vorzunehmen. Leider funktioniert dies nicht. Hat jemand Erfahrungen damit und kann mir mit den Einträgen für die radvd.conf helfen?

Evtl. helfen Dir meine Tipps weiter - beziehen sich aber auf IPSec https://forum.opnsense.org/index.php?topic=24074.msg115673#msg115673

Ich habe eine Lösung gefunden.
Kurze Beschreibung:
Erweiterung der ipsec.conf in /usr/local/etc/ipsec.opnsense.d/my.conf mit "rightgroups" und IP-Netzwerk über "rightsourceip". Mit "also" auf die bestehende "conn" verweisen. "rightgroups" wertet des "Class" Attribut des Radius-Servers aus. Hierzu im Windows NPS zwei Netzwerkrichtlinien für Gruppen "Admin" und "User" anlegen und entsprechendes "Class" Attribut eintragen. Damit ipsec das Radius Attribut auswertet muss noch in /usr/local/etc/strongswan.opnsense.d/my.conf der Eintrag "class_group = yes" eingetragen werden. Ausführliche Doku unter https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius#Group-selection

IPSec my.conf kurz skizziert:

Code Select Expand


conn con1
  rightgroups = "vpn-user"
conn admin
  also = con1
  rightgroups = "vpn-admin"
  rightsourceip = <ip-netzwerk>


Somit erhalten die Admins ein eigenes IP-Netzwerk und die IPSec Firewall Rules können entsprechend gesetzt werden.

Hallo,
setze mal in de my.conf

Code Select Expand

config setup
  uniqueids = never
und danach ein restart bzw. reload.
strongswan und ipsec gehören zusammen. Ich bin aber hierfür kein Spezialist, sondern nur "Admin", weswegen ich Dir die genauen Zusammenhänge nicht erläutern kann.

[Hinweis:]

Hi,
checke zur Sicherheit noch einmal den Inhalt der Datei my.conf - wichtig ist auch die Endigung ".conf". Nur zur Sicherheit: Du hast die Datei my.conf im Verzeichnis /usr/local/etc/ipsec.opnsense.d eingestellt?

Mit dem Kommando

Code Select Expand

ipsec restart
kannst Du den VPN Dienst neu starten. Bei richtiger Konfiguration reicht allerdings auch ein

Code Select Expand

ipsec reload
um die geänderte Konfiguration zu übernehmen.
Zum Testen kannst Du direkt in der ipsec.conf die Änderung

Code Select Expand

uniqueids = no
vornehmen. Hinweis: Die direkte Änderung wird bei der nächsten Änderung über die OPNSense GUI überschrieben. Deshalb musst Du die endgültige Einstellung auf jeden Fall in der my.conf vornehmen.
Noch eine Frage - welche Version von OPNSense setzt Du ein?

Hi,
ich habe die Datei mit "root" erstellt. Hier die Zugriffsrechte:

Code Select Expand


-rw-r--r--  1 root  wheel  30 Dec  3  2020 my.conf

Was steht am Anfag der Datei /usr/local/etc/ipsec.conf - dies ist die Orignal-Conf-Datei. Die my.conf ist die Erweiterung und überschreibt / ergänzt Wert aus der ipsec.conf. In meiner steht:

Code Select Expand


config setup
  uniqueids = yes

Allerdings sollte man keine Änderungen in der ipsec.conf vornehmen, da diese durch die OPNSense GUI erstellt / überschrieben wird. Deshalb die Möglichkeit, im Unterverzeichnis ipsec.opnsense.d einen eigene conf-Datei mit dem Suffix ".conf" zu erstellen.
Hast Du evtl. Sonderzeichen (Tab etc.) in Deiner conf stehen. Wie hast Du diese erstellt - mit vi?

Wenn dies eine Frage sein soll, ja der zurückgegebene Wert ist 1. Hatte ich bereits geschrieben.

Code Select Expand


root@opns:~ # sysctl net.inet.icmp.reply_from_interface
net.inet.icmp.reply_from_interface: 1

Noch ein Hinweis. Am Anfang hatte ich ICMP durch die Firewall noch geblockt, trotzdem konnte ich bei manchen VPN Clients  eine stabile Verbindung über IPv4 aufbauen. Nachdem ich Probleme mit einem Telekom Hybrid Anschluss hatte, hatte ich ICMP freigegeben. Trotzdem musste ich manuell auf dem Client die MTU auf 1340 setzen. Bei anderen Anschlüssen war unter anderem DS Lite mit IPv4 das Problem. Hier konnte eine stabile Verbindung über IPv6 aufgebaut werden. 

Der zurückgegebene Wert ist 1

Hallo,
kurz zur Konfiguration: OPNSense mit VPN IPSec/IKEv2, Radius-Client Freeradius, welcher VPN Anmeldungen an einen Windows DC Server mit NPS weiterleitet. Die Anmeldung erfolgt über Benutzer Zertifikate.
Nun zu meiner Frage: Ich habe über die OPNSense Firewall Port Regeln für VPN Zugänge eingerichtet. Für einige Admin Clients werden weitere Port Regeln benötigt. Da ich aber über IPSec nur ein VPN IP Netzwerk zugeteilt bekomme, kann ich schlecht nach IP filtern. Eine Möglichkeit wäre, auf den Admin Clients eine statische Adresse einzutragen. Dies wäre aber "Security through obscurity" und somit wenig elegant. Welche Möglichkeiten hätte ich noch? Danke für die Hilfe.

Wir hatten Probleme bei Home Office Mitarbeitern, welche über IPSec/IKEv2 und OPNSense eine VPN Verbindung aufbauten. Es lag am Ende an IPv4. Verbindungen über IPv6 waren die Lösung. 

Hallo,
ich kenne Deine Konfiguration nicht, deshalb kann ich nicht nachvollziehen, warum gleichzeitig zwei Geräte mit dem selben VPN Account verbunden sein können. Mit der Einstellung in der Config Datei bekommst Du auf jeden Gerät eine eigene IP-Adresse. Bei meiner Konfiguration läuft es jedenfalls so. Somit kannst Du von unterschiedlichen Geräten aus gleichzeitig mit einem VPN Account eine Verbindung aufbauen.