Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - markusd

#1
Quote from: maze-m on September 16, 2024, 02:41:09 PM

Oh man, wenn ich das lese, gruselt es mir schon an meinem geplanten Projekt des Umbaus auf ein Kabelmodem (CM3500B), siehe https://forum.opnsense.org/index.php?topic=42658.0

Meine Fritzbox ist nicht im Bridge-Mode und lässt sich nicht auch nicht dahingehend umstellen, da ich einen Business-Vertrag habe. @markusd: Hast du denn im Menü der Fritzbox sehen können, ob Sie wirklich im Bridge-Mode ist?
Da müsste ja normalerweise ein Punkt dazu erscheinen.
Hi,
ich habe das schon verdrängt;) Ich erinnere mich nur noch an die Checkboxen, mittels denen man einzelne Ports in den Bridge-Mode schalten konnte. Das ist übrigens auch ein Business-Anschluss. Wie gesagt, mit der Station-Box funktioniert es jetzt soweit

Markus
#2
Hallo,
ich weis nicht ob das für BW auch zutrifft, aber in NRW wurde mir gesagt, eine feste IP gebe es nicht bei Nutzung eigener Hardware.
Die seitens Vodafone zugeschickte Fritzbox war angeblich im Bridge-Mode, die OPNSense dahinter hatte dann im Stundentakt den Kontakt zum Vodafone GW verloren. Ich habe damals vermutet, dass die Fritzbox sich doch immer wieder selbst die feste IP schnappt.
Nach viel hin und her haben wir so eine Station - Box bekommen, die sich über die Vodafone - Seite in den Bridge-Mode schalten ließ und nun zuverlässig funktioniert.

Viel Erfolg

Markus
#3
hi,
patch works for me.

Thanks!

Markus
#4
Guten Morgen zusammen,
ich habe das gleiche Problem.
Die Sitzungen können nicht manuell getrennt werden.

Muss ein Bug-Report her?

Ist, meine ich, seit 21.1.3

Danke

Gruß

Markus
#5
Jo, mal sehen...
Danke!
#6
Kein NAT, OK
heisst:
-das alles in den Tunnel geschoben wird?
-man noch irgendwelche FW-Regeln benötigt, die das dann erlauben?
-es mit ner dyn. IP aufwendig wird?
#7
Hallo zusammen,
darf ich hier noch mal nachhaken?
Des Rätsels Lösung war, nur die "eigene" WAN-IP mit /32 als zusätzliche IPSec SA bei der Tunneleinrichtung mit aufzunehmen?
Nur "Client-seitig"?
Oder benötigt man zusätzlich die besagten Nat-Regeln?
Sorry, aber ich konnte das hier nicht erfolgreich nachvollziehen...
(ähnliches Szenario: LDAP-Anfrage durch den Tunnel, allerdings clientseitig mit dynamischer IP)

Danke und Gruß!

Markus
#8
Ok,
Ich habe nun zwischenzeitlich den schon vorhandenen Radius-Server auf meinem samba-ad-dc wieder aktiviert.
Damit funktionierte dann auch das mschap gegen das ad.
Dazu ist es aber nötig, mschapv2/also auch teilweise ntlmv1 zu aktivieren, das ist zwar gängig, behagt mir aber auch nicht so richtig.

Letztendlich habe ich reines eap-tls getestet und stelle gerade fest, dass das ja auch mit OPNsense geht!
War mir erst nicht so ersichtlich.
Prima!
Muss ich mal überlegen, wie ich am geschicktesten die Zertifikate verteile, aber so viele Clients werden es nicht werden.


Danke noch mal für die Info & den Support!

Gruß
Markus
#9
Nee, ich wollte eigentlich aufs LDAP zugreifen....
#10
- 2 getrennte WLANs, CP für Gäste, WPA2 Enterprise für Mitarbeiter
OK!

- Anbindung an Radius (NPS) mit selbstsignierten Zertifikat und EAP-PEAP
Kein WindowsServer da, freeradius von der sense müsste auch gehen, ja?

- Keine LE Zertifikate
OK!

Danke!
Markus
#11
Guten morgen.
Ok, habs nicht genau genug erklärt.
Es handelt sich um ein Firmennetzwerk.
Dort möchte ich an mehreren Standorten bzw. in verschiedenen Abteilungen / Räumlichkeiten:

a:
Mitarbeitern u. Kunden Zugang zum Internet über W-Lan zur Verfügung stellen.
Mittels CaptivePortal, https-Verschlüsselung, Authentifizierung über Voucher oder aus dem AD /Ldap - Backend kein Problem und wohl sicher genug

b:
Einigen Mitarbeitern Zugang über W-Lan auf interne Ressourcen, z.B. smb, rdp, ...gewähren.
Ich dachte, CP wäre hier ebenfalls eine gute Idee, aber wenn dort keine Abhörsicherheit gegeben ist, dann lieber gleich das W-Lan direkt verschlüsseln.
PresharedKey finde ich ungünstig zu pflegen , also WPA-Enterprise mit Radius-Authentifizierung, backend dann wieder AD/LDAP
Ich habe mich damit noch nicht intensiv genug beschäftigt aber es scheint ja, dass man einen Weg benötigt, die Zertifikate auf unterschiedliche Clients zu bekommen und da befürchte ich etwas Aufwand.
Je nach Sicherheitsbedürfnis reicht es ja vielleicht auch aus,  hier auf letsencrypt-Zertifikate zurückzugreifen.
Mache ich da einen Denkfehler?

Gruß
Markus
#12
Ok, danke.!
Bedeutet: für ernsthafte "Übertragungssicherheit"  bei zentraler Authentifizierung ist Radius inklusive Zertifikatsübertragung zum Client ein muss..
Fällt Dir auf Anhieb eine Alternative ein?

Danke
Gruß

Markus
#13
Hallo zusammen,
bei der Einrichtung /Bearbeitung einer Zone des "Captive Portales" ist zum SSL-Zertifikat zu lesen:

"Wenn vorhanden, wird der gesamte Traffic über eine HTTPS-verbindung übertragen um vor Abhören zu schützen"

Meine evtl. naive Frage dazu:
Betrifft das nur den reinen Https-Verkehr,  z.B. bei der Eingabe des Passwortes, oder gilt dass für den gesamten Netzwerkverkehr auf dieser Schnittstelle, also auch z.B. für smb / rdp /ftp, usw...

Ich frage, weil ich aus Bequemlichkeit gerne Zugänge für WLAN über CaptivePortale bereitstellen möchte, statt z.B. Radius für alle devices einzurichten.
Aber Sicherheit geht natürlich vor

Danke schon mal für Eure Antworten!

Gruß

Markus
#14
Hallo Franco,
irgendwie hatte sich in letzter Zeit immer nur einer meiner Kollegen /innen zeitgleich angemeldet.
Habs jetzt noch mal selbst mit einem zweiten Laptop getestet und es funktioniert.
Also zwei parallele Verbindungen laufen definitiv über diese site2site-Leitung.
Dann wird ja auch  mehr gehen!
(ich behalte das mal im Blick)

Hin und wieder sehe ich unter Statusübersicht "doppelte" Phase-2 Einträge, die als "rekeyed" markiert sind?
Ich nehme an, das hat was mit der konfigurierten lifetime zu tun?

Ansonsten ist das gelöst.

Danke

Gruß

Markus
#15
Hallo noch mal,
ich habe es jetzt so gemacht, wie bereits empfohlen.
-s2s-ipsec-Verbindung-

Das funktioniert nun auch nachdem ich
"rightid = %any"
hinzugefügt habe.
Evtl. war es ja das, was auch zuvor schon gefehlt hatte.

Ich hoffe, es lassen sich auch mehrere dieser Verbindungen parallel aufbauen.
Werd`s sehen..
Wenn`s geht, bin ich glücklich.

Danke!

Gruß

Markus