Messages

31

German - Deutsch / Re: Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 10:04:56 am »

Die Infrastruktur will ich der Einfachheit halber nicht antasten.

Wenn Frau dann doch mal in ein anderes Zimmer geht, und die Dose dann am Switch nicht gepatcht ist, gibt es Ärger ... Außerdem habe ich immer Doppeldosen. Und wenn da bspw. links ein AppleTV steckt und rechts frei ist. Dann wäre AppleTV ans LAN angeschlossen und rechts nicht. Da steckt der Gast dann einfach um. Nicht zuletzt bleibt auch der Hausanschlussraum ... da wird dann einfach ein Kabel an den Switch gelugged.

VLAN scheidet hier aus. Meine Switches sind diesbezüglich doof. Ich will ehrlich gesagt auch nicht noch mehr Komplexität in die Infrastruktur bringen.

Ich lese mich gerade ins Captive Portal ein. Mein Ziel ist, das für die Familie so transparent wie möglich zu gestalten, aber dennoch am Nutzer festmachen zu können, wer was machen darf.

32

German - Deutsch / Strategie zum Absichern von LAN-Anschlüssen @ Home?

« on: January 23, 2018, 09:04:15 am »

Wir haben hier in jedem Zimmer LAN Dosen an der Wand. Der Hausanschlussraum ist kein Hochsicherheitsraum, mithin für jeden zugänglich. Damit steht es jedem frei, ein Gerät via LAN-Kabel anzukoppeln. Ändern lässt sich das nicht, wäre fürs Heim auch nicht gewollt.

Gegenwärtig fahre ich quasi Clientless, Zugriffe werden ausschliesslich über IPs gemanaged, User müssen sich nicht anmelden. Und eine DHCP Guest-Range bietet ja nur so lange "Sicherheit", bis ein "findiger" Anwender sich selbst eine IP gibt. Und, wenn er/sie dann auch noch meine Admin-IP erwischt, kann ein Zugriff auf kritische Bereiche, außer durch entsprechend starke Passwörter für die darin erreichbaren Dienste, im Prinzip nicht mehr verhindert werden. Auch ließen sich so WebFiltering Profile umgehen.

Was bei WLAN noch einfach zu managen geht (Zugang nur über WPA2-Passwort) ist bei mit OPNSense für LAN-Bereiche über welchen Weg "analog" gestaltbar?

Ich bin für Ideen dankbar

33

German - Deutsch / Re: (SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 22, 2018, 07:39:56 am »

Ich danke der Community

2 Tipps noch für OpenVPN Neulinge:

1) Anlegen einer statischen IP für die Clients über Client-spezifische Konfigurationen möglich.

Wichtig für differenzierte Firewall/Zugriffsregelungen. Im Feld IPv4 Tunnelnetzwerk der client-spezifischen Konfiguration habe ich die IP als 10.10.0.xyz/24 für den User angelegt. Pro User eine eigene Konfiguration. Wichtig: Im Feld Common Name den Namen eintragen, der im User-Zertifikat hinter "CN= " steht. Die Zertifikate findet man unter System/Sicherheit/Zertifikate.

Nach dem Anlegen/Bearbeiten der client-spezifischen Konfiguration den Neustart des OpenVPN Servers nicht vergessen.

2) Damit der DNS auch lokale Namen auflöst muss im Unbound DNS noch die Zugriffsliste ergänzt werden. Den Hinweis habe ich hier gefunden: https://forum.opnsense.org/index.php?topic=6659.msg28685#msg28685 . Dank an Animosity022.

34

Tutorials and FAQs / Re: Update SSL Road Warrior VPN Wiki

« on: January 22, 2018, 07:19:32 am »

Cool ... that did the trick

Thanks Animosity022

35

German - Deutsch / Re: (SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 22, 2018, 12:14:44 am »

Kurzes Update: Et lüppt nun. Damit ist meine Migration der wichtigsten Funktionen abgeschlossen. Ab jetzt kommt das Fine Tuning

36

German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 09:13:28 pm »

Danke für Deinen Support, chemlud ...

Ich kann es nicht genau erklären. Aber jetzt gerade funktioniert es.

Das OpenVPN habe ich bereits mehrfach neu aufgesetzt. Mit dem Assistenten und den exportierten Profilen stand die Verbindung auch immer sofort. Die letzte Einstellung, die ich änderte (vorher den Server gestoppt) war, beide Subnetze für LAN und OPT2 im Feld "Lokales IPv4 Netzwerk" einzupflegen.

Ich schaue jetzt mal, wie stabil das Ganze ist.

Für den Moment (SOLVED) ... warum auch immer

37

German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 08:36:31 pm »

Mh ... noch mal einen Schritt zurück. OpenVPN scheint IPSec regelmässig vorgezogen zu werden. Das Einrichten auf den Clients ist mit den Profilen ja ein Kinderspiel.

Ich schraube jetzt mal alles zurück und setze mit OpenVPN neu auf. Clean install.

Eine Frage vorab:

Wenn ich den Tunnel im Prinzip herstellen kann. Bestätigt auf dem Device UND in OPNSense. Sollte ich dann die erste Hürde genommen haben und mich auf das Regelwerk der Firewall konzentrieren können ODER könnte trotzdem versteckt was am Tunnel falsch sein?

Meine Annahme. Der Tunnel steht. Mithin sind sowohl die Portfreigabe der Fritz als auch die Einstellungen auf Server und Client im Prinzip OK.

Merci

38

German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 06:57:53 pm »

Gute Idee. Exposed host in der Fritzbox einstellen sollte doch reichen? Dann sind ja alle Tore offen?

39

German - Deutsch / Re: VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 06:20:45 pm »

Es gibt keine dumme Fragen

1) Fallback, falls mal wieder nix geht. Über die Fritze und deren WLAN gehts immer. Ist für den Hausfrieden wichtig
2) Telefonie (VoIP)
3) Gäste WLAN komplett außerhalb meines Netzwerkes (einfach, getrennt, nichts zu managen)

40

German - Deutsch / (SOLVED by Accident) VPN 4 Road Warriors - Connect ja, kein Traffic möglich

« on: January 21, 2018, 10:12:38 am »

Hi,

nach einigen Tests in der VM, bin ich Vorgestern von Sophos XG auf OPNSense Bare-Metal umgestiegen. Ich habe viel im Forum lesen können. Sehr angenehm zu sehen, wie Moderatoren, FW-Cracks (und solche, die es werden wollen) und Developer hier Unterstützung geben. Das ist eine Riesen-Hilfe und "fühlt" sich alles in allem nach einer guten Entscheidung an

Nachdem es bzgl. der FW Regeln Klick machte und ich nunmehr nach Belieben in Local administrieren kann ,  steht bei mir nur noch die VPN Verbindung von unterwegs an, um produktiv wieder alles Wesentliche am Laufen zu haben.

Ich habe mich an die beiden Anleitungen für Road Warriors via IPSec und OpenVPN gehalten. Ich kann mit beiden auch eine Verbindung etablieren (erkennbar auf dem mobilen Device und im Status von OpenVPN). Ich bekomme aber zum "Verrecken" keinen Zugang ins heimische Netz.

Meine Konfiguration im Überblick:

Internet:
Public IP -> Fritzbox (incl. Telefonie) 192.168.2.1 -> Portfreigaben ESP/500/4500/1194 (grün) -> 192.168.2.110 (static) WAN -> OPNSense ....

Local:
.... OPNSense <- LAN (10.10.10.1 in 10.10.10.0/24) / OPT2 (10.10.1.1 in 10.10.1.0/24)

DHCP läuft auf den Schnittstellen LAN und OPT2. DNS ist eingerichtet und funktioniert soweit gut. Intern, wie extern sowie Reverse lösen Anfragen sauber auf.

VPN:
IPSec (10.10.100.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.100.1 bei Connect zugewiesen
OpenVPN (10.10.0.0/24) -> Client (aus Telekom LTE Netz) bekommt 10.10.0.6 bei Connect zugewiesen

Meine Präferenz wäre im Moment IPSec. Von daher möchte ich mich zunächst darauf konzentrieren. Vielleicht löst sich damit auch das Problem bei OpenVPN gleich mit

IPSec

Schnittstelle IPSEC hat folgende Regel:

IPv4 *   *   *   *   *   *      Allow IPSec to CLIENTS

Schnittstelle WAN hat folgende Regeln:

IPv4 ESP   *   *   WAN Netzwerk   *   *      IPSec ESP    
IPv4 TCP/UDP   *   *   WAN Netzwerk   500 (ISAKMP)   *      IPSec ISAKMP    
IPv4 TCP/UDP   *   *   WAN Netzwerk   4500 (IPsec NAT-T)   *      IPSec NAT-T

NAT (Automatische ausgehende NAT Regelgenerierung - (keine manuellen Regeln können verwendet werden) aktiviert)

Es gibt weder Portweiterleitungen, noch Eins-zu-Eins, noch NPT. Lediglich die folgenden zwei Regeln für Ausgehend.

WAN   127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24   *   *   500   WAN address   *   JA   Automatisch erstellte Regel für ISAKMP
WAN   127.0.0.0/8 10.10.10.0/24 10.10.1.0/24 10.10.0.0/24 10.10.100.0/24   *   *   *   WAN address   *   NEIN   Automatisch erstellte Regel

Interessanter Weise sehe ich in den Logs der Firewall/Regeln, dass Verbindungen vorgenommen werden wollen. Sowohl in Richtung DNS, als auch in Richtung Device im OPT2 Subnetz bspw. Ich habe auch schon automatische Regeln zur Freigabe dieser Anfragen gesetzt. Alles leider ohne Erfolg. Mit der Regel auf IPSEC ist ja eh alles offen (oder?).

Ich wäre für jeden Tipp dankbar, diese Verbingung zeitnah wieder nutzen zu können

Merci
you