Messages

1

German - Deutsch / Re: OPNSense als reiner Proxy Server

« on: October 23, 2021, 02:19:54 pm »

Hallo Fabian,
danke für den Hinweis auf BlueCoat (jetzt Broadcom / Symantec). Dadurch habe ich das passende Produkt - Secure Web Gateway - gefunden. Es gibt hier einige Anbieter auf dem Markt.

2

German - Deutsch / Re: OPNSense als reiner Proxy Server

« on: October 22, 2021, 03:38:09 pm »

Danke, werde ich mir mal anschauen. Gibt es "Proxy-as-a-Service" - einen Proxy Service mieten? Ich habe mir bereits Cloudflare oberflächlich angesehen, die zielen aber vor allem auf CDN und Webserver ab.

3

German - Deutsch / [gelöst] OPNSense als reiner Proxy Server

« on: October 22, 2021, 01:10:12 pm »

Hallo,
wir benötigen für unsere Home Office Rechner einen reinen Proxy Server. Die Verbindung zu den Unternehmens Servern / Dienste erfolgt per VPN. Aus Performance Gründen läuft allerdings der andere Internet Verkehr nicht über VPN (Split-Tunneling). Deshalb die Überlegung einen eigenen Proxy-Server zu betreiben um den Internet-Verkehr der Home Office Rechner abzusichern. Da ich bereits Erfahrungen mit OPNSense habe würde ich gerne diesen verwenden. Oder gibt es ein besseres Produkt als Proxy-Server? 

4

Virtual private networks / Windows 10 - Create automatically VPN IPv6 route

« on: September 17, 2021, 01:19:27 pm »

Hello,
following configuration: OPNSense as IPSec / IKEv2 VPN server with Windows 10 clients. At the moment I set the routes on the Windows client using the Powershell command Add-VpnConnectionRoute.
I read in this post https://wiki.strongswan.org/issues/817 that the IPv6 route can also be set automatically. Quote:

It turns out Windows (10) accepts unicast router advertisements directed at the virtual address of an IKEv2 interface, and doesn't need a link local address for this to work.

So, I just have an updown script like yours add the client's virtual IPv6 address to a clients{} block in /etc/radvd.conf, using stock (Ubuntu) strongSwan on the server.

I tried to make the appropriate entries (via shell) in radvd.conf. Unfortunately this does not work. Does anyone have experience with this and can help me with the entries for radvd.conf?

5

German - Deutsch / Windows 10 - VPN IPv6 Route automatisch erstellen

« on: September 17, 2021, 09:56:20 am »

Hallo,
folgende Konfiguration: OPNSense als IPSec / IKEv2 VPN Server mit Windows 10 Clients. Im Moment setze ich die Routen auf dem Windows Client über den Powershell Befehl Add-VpnConnectionRoute.
Ich habe in diesem Beitrag https://wiki.strongswan.org/issues/817 gelesen, dass die IPv6 Route auch automatisch gesetzt werden kann. Zitat:

It turns out Windows (10) accepts unicast router advertisements directed at the virtual address of an IKEv2 interface, and doesn't need a link local address for this to work.

So, I just have an updown script like yours add the client's virtual IPv6 address to a clients{} block in /etc/radvd.conf, using stock (Ubuntu) strongSwan on the server.

Ich habe versucht, die entsprechenden Einträge (über Shell) in der radvd.conf vorzunehmen. Leider funktioniert dies nicht. Hat jemand Erfahrungen damit und kann mir mit den Einträgen für die radvd.conf helfen?

6

German - Deutsch / Re: VPN Client Openvpn instabile Verbindung aus Schweden

« on: September 03, 2021, 01:09:57 pm »

Evtl. helfen Dir meine Tipps weiter - beziehen sich aber auf IPSec https://forum.opnsense.org/index.php?topic=24074.msg115673#msg115673

7

German - Deutsch / Re: Absicherung VPN Zugang - Firewall Regeln

« on: August 30, 2021, 04:17:38 pm »

Ich habe eine Lösung gefunden.
Kurze Beschreibung:
Erweiterung der ipsec.conf in /usr/local/etc/ipsec.opnsense.d/my.conf mit "rightgroups" und IP-Netzwerk über "rightsourceip". Mit "also" auf die bestehende "conn" verweisen. "rightgroups" wertet des "Class" Attribut des Radius-Servers aus. Hierzu im Windows NPS zwei Netzwerkrichtlinien für Gruppen "Admin" und "User" anlegen und entsprechendes "Class" Attribut eintragen. Damit ipsec das Radius Attribut auswertet muss noch in /usr/local/etc/strongswan.opnsense.d/my.conf der Eintrag "class_group = yes" eingetragen werden. Ausführliche Doku unter https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius#Group-selection

IPSec my.conf kurz skizziert:

Code: [Select]

conn con1
  rightgroups = "vpn-user"
conn admin
  also = con1
  rightgroups = "vpn-admin"
  rightsourceip = <ip-netzwerk>

Somit erhalten die Admins ein eigenes IP-Netzwerk und die IPSec Firewall Rules können entsprechend gesetzt werden.

8

German - Deutsch / Re: IPSEC IKE V2 VPN Pro Account nur eine IP Adresse?

« on: August 23, 2021, 10:08:22 pm »

Hallo,
setze mal in de my.conf

Code: [Select]

config setup
  uniqueids = neverund danach ein restart bzw. reload.
strongswan und ipsec gehören zusammen. Ich bin aber hierfür kein Spezialist, sondern nur "Admin", weswegen ich Dir die genauen Zusammenhänge nicht erläutern kann.

9

German - Deutsch / Re: IPSEC IKE V2 VPN Pro Account nur eine IP Adresse?

« on: August 23, 2021, 09:19:37 pm »

Hi,
checke zur Sicherheit noch einmal den Inhalt der Datei my.conf - wichtig ist auch die Endigung ".conf". Nur zur Sicherheit: Du hast die Datei my.conf im Verzeichnis /usr/local/etc/ipsec.opnsense.d eingestellt?

Mit dem Kommando

Code: [Select]

ipsec restartkannst Du den VPN Dienst neu starten. Bei richtiger Konfiguration reicht allerdings auch ein

Code: [Select]

ipsec reloadum die geänderte Konfiguration zu übernehmen.
Zum Testen kannst Du direkt in der ipsec.conf die Änderung

Code: [Select]

uniqueids = novornehmen. Hinweis: Die direkte Änderung wird bei der nächsten Änderung über die OPNSense GUI überschrieben. Deshalb musst Du die endgültige Einstellung auf jeden Fall in der my.conf vornehmen.
Noch eine Frage - welche Version von OPNSense setzt Du ein?

10

German - Deutsch / Re: IPSEC IKE V2 VPN Pro Account nur eine IP Adresse?

« on: August 23, 2021, 05:08:41 pm »

Hi,
ich habe die Datei mit "root" erstellt. Hier die Zugriffsrechte:

Code: [Select]

-rw-r--r--  1 root  wheel  30 Dec  3  2020 my.conf
Was steht am Anfag der Datei /usr/local/etc/ipsec.conf - dies ist die Orignal-Conf-Datei. Die my.conf ist die Erweiterung und überschreibt / ergänzt Wert aus der ipsec.conf. In meiner steht:

Code: [Select]

config setup
  uniqueids = yes
Allerdings sollte man keine Änderungen in der ipsec.conf vornehmen, da diese durch die OPNSense GUI erstellt / überschrieben wird. Deshalb die Möglichkeit, im Unterverzeichnis ipsec.opnsense.d einen eigene conf-Datei mit dem Suffix ".conf" zu erstellen.
Hast Du evtl. Sonderzeichen (Tab etc.) in Deiner conf stehen. Wie hast Du diese erstellt - mit vi?

11

German - Deutsch / Re: Fehler bei Fragmentierung über IPsec-Tunnel

« on: August 23, 2021, 04:48:37 pm »

Wenn dies eine Frage sein soll, ja der zurückgegebene Wert ist 1. Hatte ich bereits geschrieben.

Code: [Select]

root@opns:~ # sysctl net.inet.icmp.reply_from_interface
net.inet.icmp.reply_from_interface: 1
Noch ein Hinweis. Am Anfang hatte ich ICMP durch die Firewall noch geblockt, trotzdem konnte ich bei manchen VPN Clients  eine stabile Verbindung über IPv4 aufbauen. Nachdem ich Probleme mit einem Telekom Hybrid Anschluss hatte, hatte ich ICMP freigegeben. Trotzdem musste ich manuell auf dem Client die MTU auf 1340 setzen. Bei anderen Anschlüssen war unter anderem DS Lite mit IPv4 das Problem. Hier konnte eine stabile Verbindung über IPv6 aufgebaut werden. 

12

German - Deutsch / Re: Fehler bei Fragmentierung über IPsec-Tunnel

« on: August 23, 2021, 04:41:34 pm »

Der zurückgegebene Wert ist 1

13

German - Deutsch / [gelöst] Absicherung VPN Zugang - Firewall Regeln

« on: August 23, 2021, 02:04:23 pm »

Hallo,
kurz zur Konfiguration: OPNSense mit VPN IPSec/IKEv2, Radius-Client Freeradius, welcher VPN Anmeldungen an einen Windows DC Server mit NPS weiterleitet. Die Anmeldung erfolgt über Benutzer Zertifikate.
Nun zu meiner Frage: Ich habe über die OPNSense Firewall Port Regeln für VPN Zugänge eingerichtet. Für einige Admin Clients werden weitere Port Regeln benötigt. Da ich aber über IPSec nur ein VPN IP Netzwerk zugeteilt bekomme, kann ich schlecht nach IP filtern. Eine Möglichkeit wäre, auf den Admin Clients eine statische Adresse einzutragen. Dies wäre aber "Security through obscurity" und somit wenig elegant. Welche Möglichkeiten hätte ich noch? Danke für die Hilfe.

14

German - Deutsch / Re: Fehler bei Fragmentierung über IPsec-Tunnel

« on: August 23, 2021, 12:47:20 pm »

Wir hatten Probleme bei Home Office Mitarbeitern, welche über IPSec/IKEv2 und OPNSense eine VPN Verbindung aufbauten. Es lag am Ende an IPv4. Verbindungen über IPv6 waren die Lösung. 

15

German - Deutsch / Re: IPSEC IKE V2 VPN Pro Account nur eine IP Adresse?

« on: August 23, 2021, 12:17:59 pm »

Hallo,
ich kenne Deine Konfiguration nicht, deshalb kann ich nicht nachvollziehen, warum gleichzeitig zwei Geräte mit dem selben VPN Account verbunden sein können. Mit der Einstellung in der Config Datei bekommst Du auf jeden Gerät eine eigene IP-Adresse. Bei meiner Konfiguration läuft es jedenfalls so. Somit kannst Du von unterschiedlichen Geräten aus gleichzeitig mit einem VPN Account eine Verbindung aufbauen.