Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - tiermutter

#31
Since 11/2023 :)
#32
Yes, you can.
I am on 2.6.x for so long, that I don't remember when I updated my clients...
#33
Mitarbeiter und externe würde ich dann schon trennen.
Dabei müssen beide VPN natürlich eine andere Tunneladresse haben.
Die beiden VPN dann auch als separates Interface anlegen, dann kannst du sauber getrennte regeln für jedes VPN erstellen.

Die externen dann alle über einen Tunnel und entsprechend über die Firewall mit Aliasen eingeschränkt.
#34
Das Tunnel Netz kannst du quasi frei wählen und spielt keine Rolle für Regelung der Zugriffe.
Oben hast du von dem lokalen Netz gesprochen, hier müssten dann alle Netze bzq IPs rein die die Clients grundsätzlich überhaupt erreichen könnten (was dann ja wiederum durch die Regeln eingeschränkt wird).

Eventuell könnte es auch sinnvoller sein für jede Gruppe ein eigenes VPN aufzubauen, das kannst aber nur du entscheiden.
Ich würde zB für die Mitarbeiter ein eigenes VPN nehmen. Ob sich das das dann auch für die externen User / Gruppen lohnt kann ich so nicht beurteilen, ansonsten teilen sich die externen halt ein VPN und werden wie beschrieben eingeschränkt.
#35
Ja, kannst auch für jeden einzelnen User eine eigene Gruppe machen... wenn es natürlich mehrere User sind, die dieselben Berechtigungen haben, dann kommen die zusammen in eine Gruppe.
Es ist aber keine VPN Gruppe, sondern Usergruppe (wird bei den Usern konfiguriert). Diese Gruppe wird dann aber im Alias verwendet, das steht auf der verlinkten Seite mit den Aliases aber recht gut beschrieben.

Im VPN Server stellst Du nur das Routing ein, das bleibt wie es ist (also so, dass zu Deinem LAN geroutet wird).
In den Firewallregeln erstellst Du dann Regeln mit dem Alias auf dem OVPN Interface:
Allow
Source = Alias_Gruppe 1
Destination = IP von Server 1

Allow
Source = Alias_Gruppe 2
Destination = IP von Server 2

[...]

Damit kommen alle User der Gruppe 1 nur auf Server 1.
Eine Default allow Regel darf es dann aber nicht geben.

Für die Mitarbeiter erstellst Du eine Regel:
Allow
Source = Alias_Mitarbeiter
Destination = any

#36
Du kannst die User einer entsprechenden Usergruppe zuweisen und dann einen entsprechenden Alias nehmen, den Du dann in einer Regel verwendest, mit dem Du den Zugriff regelst.
https://docs.opnsense.org/manual/aliases.html

Alternativ (so mache ich es aus Gewohnheit, ist aber aufwändiger wenn es mehrere User gibt) kannst Du mit CSO jedem User eine feste IP zuweisen, die dann in den Regeln oder gruppiert wieder als Alias verwendet werden können.
#37
German - Deutsch / Re: Aufklärung Firewall Sperrlisten
October 09, 2024, 01:35:18 PM
Dem kann ich nicht recht folgen... wie sehen die Regeln denn dann aus und was steht dann zusätzlich im Log?
Und was meinst Du mit normal weiter nutzen?
#38
German - Deutsch / Re: Aufklärung Firewall Sperrlisten
October 09, 2024, 01:20:23 PM
Für mich schon, ja.
#39
Ich habe dafür Ersatzhardware stehen... Da ziehe ich dann nochmal die letzte Konfig oder bei Bedarf das letzte BE drauf und fertig ist es :)
#40
German - Deutsch / Re: Aufklärung Firewall Sperrlisten
October 09, 2024, 12:44:57 PM
Hinter einer IP können ja viele unterschiedliche Dienste / Webseiten / Unternehmen sitzen... wenn einer davon als böse eingestuft ist, dann wird die IP gelistet und der gesamte Server blockiert.
Siehe Firehol L3, da ist immer wieder auch github drin und das Thema landet dann im Forum.

Wenn Du ohnehin ALLES eingehend geblockt hast, dann braucht da natürlich keine Blockliste unnötigt hinterstehen... wenn Du aber den ein oder anderen Service freigibst, und sei es nur VPN, dann hast Du dadurch das Stückchen Sicherheit, dass von den bösen IPs niemand den freigegebenen Dienst angreifen kann.
#41
Was ist denn der Vorteil wenn man unbound ins Spiel bringt, außer dass auch interne Namen registriert werden?
#42
Warum in der Sense? Ich habe den TVs in ihren eigenen Einstellungen entsprechenden Mist eingetragen... geht dann natürlich nicht mit DHCP.
#43
Funktioniert bestens... nutze ich vornehmlich um im Multi WAN entsprechend zu routen :)
#44
Quote from: Sylvan86 on October 09, 2024, 09:06:07 AM
Exakt darum geht es mir ja hier: Wie?

Firewall > Aliases > Hier Alias erstellen mit der MAC
Dann eine Regel auf dem LAN mit Source = Alias der Zugang zum Internet blockt.
#45
IPv6 Adressen sollten eigentlich statisch sein, leider schafft Technik-Deutschland es aber nicht wirklich statische Präfixe anzubieten... oder es wird einfach nicht geblickt.
Du kannst aber einfach ein Alias mit der MAC des TV erstellen und damit Zugriffe beschränken, dann ist v4 und v6 abgedeckt.
Gerade bei TV, da die wirklich viel sprechen, habe ich mir angewöhnt denen einfach ein ungültiges Gateway und DNS zu geben, dann muss nicht ständig durch die FW geblockt werden und im LAN funktioniert er trotzdem.