Unterschiedliche Firewallregeln für verschiedene IPSec Verbindungen

[0xDEADC0DE]

Bei Site-2-Site Tunneln habe ich gar kein Problem mit den Firewallregeln.
Source auf Netzwerk A/B/C und ich kann je nach Site-2-Site VPN unterschiedliche
Regeln definieren.
Wie erstelle ich aber unterschiedliche RoadWarrior VPN Regeln?
Bei unserer bisherigen ZyWALL habe ich einfach unterschiedliche "VPN Zonen"
definieren können und in den Firewallregeln konnte ich dann dort das VPN auswählen und so die Firewall konfigurieren.
Wie unterscheide ich jetzt einen RoadWarrior Admin von einem RoadWarrior User?
Der Admin hat Zugriff auf alles, der User nur auf einzelne Server und Dienste.

In dem Zusammenhang: wie kann man unterschiedliche Phase 1/2 für unterschiedliche Benutzer (Admin/User) definieren?

[franco]

Ich gehe mal davon aus, dass dies eine Road-Warrior Config (mobile) ist? Das geht eigentlich nur im OpenVPN gut und wird daher auch so von uns empfohlen. In OpenVPN ist jeder Client / Server als Interface gekapselt. In IPsec ist das bislang immer alles nur über ein einziges.

Im IKEv2 Site-to-Site kann man über die Kennung noch die Netze trennen pro Phase 1 und dann entsprechende Netzfilter-Regeln hinzufügen, aber das ist dann auch nicht so schön.

In FreeBSD 11.1 wird es endlich echte "ipsec" Interfaces (nicht "enc") geben, die dann das können was OpenVPN macht. Aber das ist für 2018...


Grüsse
Franco

[0xDEADC0DE]

Ja genau. Darum geht es.
Bis 2018 hab ich dann auch OpenVPN am laufen.

Wie kann ich die Netze in der Firewall über die Kennung trennen? Ich habe dazu nichts gesehen.