Starthilfe - Erste Installation und Konfiguration

Started by fpausp, October 17, 2017, 07:21:36 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
October 18, 2017, 10:08:00 AM #15
Quote from: NilsS on October 18, 2017, 09:18:10 AM
naja das statische zuweisen einer IP mittels DHCP und dieser IP dann etwas zu erlauben oder zu verbieten, bietet in etwa die gleiche Sicherheit wie eine verschlossene Tür an der der Schlüssel steckt. Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen.

Wenn du diese Art Sicherheit dringend benötigst könntest du alternativ auch auf Switchebene 802.1x in verbindung mit Freeradius nutzen.
OK,
kommt darauf an, wie weit Du die Sicherheit treiben möchtest. In einem größeren/komplexeren Netz stimme ich Dir da auch vollkommen zu!
Bei einem privaten Heimnetz mit wenigen selbst genutzten Devices ist das m.E. eine Option und durchaus ein Sicherheitsgewinn. Insbesondere, wenn man z.B. von einer FritzBox kommt bieten sich hier doch ganz andere Möglichkeiten.




October 18, 2017, 11:36:15 AM #16
Das Vergeben einer statischen IP mittels DHCP die man dann mit Regeln versehen kann ist definitiv nicht das selbe wie das Filtern auf MAC-Adressen Basis (Layer2).

Was die Fritzbox kann oder nicht spielt dabei doch gar keine Rolle.

OPNsense kann (derzeit mit der GUI) kein Layer2 filtern.

October 18, 2017, 01:55:10 PM #17
> Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen.

Wenngleich man dem durchaus zustimmen kann, dass das Handling so an sich nicht viel zusätzliche Sicherheit bringt, muss ein Client die Rechte erstmal haben, an seinem Interface herumzuspielen. Kann er das nicht ist das auch nicht so einfach auszuhebeln. Von mobilen Geräten mal abgesehen (schonmal Leute gesehen die an Smartphones mit statischer IP rumspielen?) Also alles eine Frage des Rahmens und des geforderten Setups.

Zumal man dir erwidern könnte, dass es DANN genauso sinnbefreit ist, auf Layer 2 die MAC zu filtern, die kann ich nämlich auch "recht einfach" ändern...
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
October 18, 2017, 02:46:39 PM #18
yep. so ist es. Daher schrieb ich 802.1x
October 18, 2017, 05:03:13 PM #19
Für FreeRADIUS gibts ein Plugin. Damit sollte 802.1X gehen. Der Switch muss es halt können.
October 19, 2017, 08:28:59 PM #20
hallo NilsS,

Danke für deine Infos, werde das später mal testen... Vorher möchte ich noch den VPN-Zugang ins LAN schaffen.

Hab heute versucht mit dem OpenVPN Community Client und dem Standard Configurations - Archive eine Verbindung herzustellen, hat leider nicht geklappt.

Wie kann man denn das bei BSD debugen ?

lg
October 19, 2017, 10:22:32 PM #21
OK, OpenVPN läuft schon via LAN, werd morgen den Test übers WAN machen...

# Loggen:
clog -f /var/log/openvpn.log

October 20, 2017, 10:37:37 AM #22
> OK, OpenVPN läuft schon via LAN, werd morgen den Test übers WAN machen...

Wie testest du denn ob OpenVPN IN das LAN läuft wenn du selbst IM LAN sitzt? Das macht doch gar keinen Sinn!?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
October 20, 2017, 12:20:33 PM #23
Quote
Wie testest du denn ob OpenVPN IN das LAN läuft wenn du selbst IM LAN sitzt? Das macht doch gar keinen Sinn!?

Das war nur als Teilschritt gedacht... Habs jetzt via WAN getestet und läuft soweit...


Hat jemand von Euch vielleicht einen Tipp wo man HowTo-Sammlungen (Deutsch/Englisch) finden kann ?
October 24, 2017, 07:25:25 AM #24
Guten Morgen,

muss man OPNsense nach einem update rebooten oder geht es  vielleicht auch anders ?
October 24, 2017, 09:15:34 AM #25
Normalerweise geschieht dies wenn es nötig ist automatisch durch den Updateprozess, falls du dich jetzt aber auf letztes Update und die KRACK Patches beziehst scheint der Reboot nur empfohlen aber muss manuell durchgeführt werden.
October 24, 2017, 08:15:09 PM #26
Etwas genauer zum Firmware Reboot:

Prinzipiell lässt sich mit dem Reboot alles sauber neu starten. Wir führen diesen aber nur zwingend bei OS-Updates (FreeBSD) aus. Das hat auch mit Riskostreuung und Usability zu tun. Wenn nur Pakete erneuert werden müssen die Services neu gestartet werden, die Updates erhalten haben. Das ist schwierig zu automatisieren ohne Services temporär zu unterbrechen. Noch schwieriger ist es beim Update von Shared Libraries die von (ggf. mehreren) Services genutzt werden, v.a. weil hier ohne Aufwand nicht ersichtlich ist welche Services überhaupt betroffen sind. In diesen Fällen ist die einzige sinnvolle Methode der Neustart zu einem vom Nutzer gewählten günstigen Zeitpunkt und bleibt eine reine Empfehlung.


Grüsse
Franco
October 25, 2017, 09:41:32 AM #27
Vielen Dank für Eure Antworten...


Hätte noch eine Frage zu WPA2 Enterprise.

Hab das momentan mit meinem Nethserver (Active Directory) und einem SynologyNAS (RadiusServer) und zwei AccessPoints (DD-WRT) realisiert.

Wie ist den das unter OPNsense gedacht ?
October 25, 2017, 06:17:51 PM #28
Den Radiusteil könntest du auch auf OPNsense nutzen, jedoch müsstest du für die AD Nutzung selbst an die Konfiguration machen. Das Plugin kann derzeit nur lokale Nutzer mit Cleartext Passwort.
October 25, 2017, 06:43:26 PM #29
Wäre cool wenn man den AD-Server nutzen könnte, um nur einmal die user pflegen zu müssen...
Print
Go Up Pages 1 2
User actions