Empfehlung für Realisierung von unterschiedlichen Wlan Netzen (Berechtigungen)

[george09]

Hallo,

ich verwende für den Business Einsatz OpnSense mit folgender Netz Segmentierung:
LAN (Management/Admin Netz für IT VLAN 1)
CLI (Clients Mitarbeiter VLAN 100)
GUEST (Gäste Netz VLAN 9)

und einem TP-Link Access Point (AP) der 4x WLAN Netze (nach VLANs) erstellen kann mit WPA2 Enterprise Authentifizierung.

Ich würde nun gerne möglichst sichere und getrennte WLAN Netze aufbauen für CLI und LAN. Da das Thema Radius mir neu ist, war mein erster Ansatz Freeradius auf der OpnSense zu installieren und EAP-TLS mit eigener CA auszuprobieren, bis ich auf das Problem gestoßen bin, dass ich so anscheinend nicht die Authentifizierung zwischen LAN (nur IT) und CLI Usern trennen kann.
Geht das irgendwie anders nach Gruppen mit LDAP und EAP-TTLS?
Ich habe hier in Freeradius nur keine Möglichkeit gefunden unterschiedliche LDAP Filter für Clients (den AP) zu setzen. Im AP kann ich für jedes WLAN Netz nur einen eigenen Radius Server angeben aber auch nicht filtern.

Grundsätzlich die Frage wie würdet ihr den Zugriff auf das Admin Netz (LAN) absichern aus dem WLAN?

Ich bin noch am zweifeln, ob das generell eine gute Idee ist oder ob Admin Notebooks zur Administration besser in ein "nicht sicherheitsrelevantes Netz" sich einloggen und daraus eine VPN Verbindung zum Admin Netz aufbauen. Wie macht ihr das und was würdet ihr empfehlen?
Gibt ja auch noch andere Möglichkeiten mit Captive Portal etc.

[Dieter Bosli]

Persönlich würde ich das Admin Netz so weit wie möglich schliessen und nur per VPN zugreifen. Beim VPN wäre meine erste Wahl WireGuard. Je nach Konstelation über den WireGuard-Server auf OPNsens. Dazu muss nur ein einziges Port geöffnet werden.

Selber kann ich meinen WireGuard Server nicht auf der OPNsense konfigurieren, da meine OPNsense in einem HA Setup läuft und WireGuard darüber nicht synchronisiert werden kann. Ich habe deshalb einen extra kleinen Server nur für WireGuard eingerichtet. Muss dann einfach noch ein Portforwarding zum WireGuard Server eingerichtet werden.

[Patrick M. Hausen]

Selber kann ich meinen WireGuard Server nicht auf der OPNsense konfigurieren, da meine OPNsense in einem HA Setup läuft und WireGuard darüber nicht synchronisiert werden kann.

Das funktioniert hier mit einem HA-Pärchen aber einwandfrei. Einzige Bedingung ist, dass nur "reintelefoniert" wird, die OPNsense also die Verbindung nicht aufbaut sondern alle Peers dies von sich aus tun. Dann einfach beim Peer die HA/CARP-Adresse des OPNsense-Clusters angeben und fertig. Dass der Wireguard-Dienst auf beiden Firewalls läuft, stört nicht weiter.

[Dieter Bosli]

Das funktioniert hier mit einem HA-Pärchen aber einwandfrei. Einzige Bedingung ist, dass nur "reintelefoniert" wird, die OPNsense also die Verbindung nicht aufbaut sondern alle Peers dies von sich aus tun. Dann einfach beim Peer die HA/CARP-Adresse des OPNsense-Clusters angeben und fertig. Dass der Wireguard-Dienst auf beiden Firewalls läuft, stört nicht weiter.

Tönt interessant, muss ich mir noch mal ansehen. Wobei mein Brume das ganz gut standalone macht.
Danke für diesen Hinweis!