Lan Adresse Fernzugriff absichern

Started by pumuckl, April 15, 2019, 10:31:51 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 15, 2019, 10:31:51 AM Last Edit: April 15, 2019, 10:34:49 AM by pumuckl
Hallo Leute,

Ich benötige wieder eure Hilfe.

Meine Opnsense läuft schon länger, hinter einem Telekom Router. Unter anderem nutze ich vpn.

Aber am Telekom Router, habe ich den Port 5xyzb an die opnsense Wan weitergleitet, von da gehst auf LAN 10.10.xx.xx:80.

Um mein smarthome vom firmen mobile ohne vpn  zu erreichen. (vpn ist nur zur firma möglich)

Der HTTP Zugriff zu meinem smarthome hat zwar eine eigene Authentifizierung, ich möchte das aber zusätzlich absichern.

Am besten möchte ich per mail gefragt werden, ob der Zugriff vom Gerät Typ:xxx mit Mac Adresse xx:xx:xx:xx

für einen Zeitraum oder bis auf Widerruf gewährt werden soll.

oder über eine Firewall regel die nur bestimmte mac adressen zulässt

oder

Ich könnte mir auch vorstellen eine Anmelde Portal vorzuschalten.


Natürlich bin ich auch für andere Vorschläge offen.

Beispiele währen hilfreich.

Grüsse










April 15, 2019, 01:02:39 PM #1
Ich würde mir höchstens an deiner Stelle mal die Zwei-Faktor-Authentifizierung anschauen.
Vielleicht reicht dir das schon?
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
May 09, 2019, 11:36:25 AM #2
Hallo,

eine Zwei-Faktor-Authentifizierung, habe ich eingerichtet für VPN und den Admin acc.
Ein Benutzer acc kann sich einfach mit einem  Passwort an vpn anmelden.


aber 2-4 Adressen im Netzwerk sollen auch ohne vpn erreichbar sein, und trotzdem sicher sein.


Am liebsten würde ich, aber gerne an der Wan Schnittstelle bestimme mac Adressen Zugriff auf eine bestimmte ip und einem bestimmten Port gewähren.

Wenn ich einen wan IP:Port auf einen lan IP:Port weiterleite, muss ich dann die Firewall-regel an der WAN oder LAN schnittstelle anlegen.


ZB die  ip XX.XX.XX.XX:80 und XX.XX.XX.XY:9009 und XX.XX.XX.XY:5555

sollen nur für bestimmte Geräte von aussen erreichbar sein, intern sollen sie von jedem Teilnehmer erreichbar sein.

Ein Captive Portal und Zwei-Faktor-Authentifizierung könnte ich mir auch vorstellen, wenn man nur sich einmal pro zwei oder gerät registrieren muss.


Zur zeit Filtere ich die Shallalist an allen Interfaces.

Einige IPS Regeln habe ich auch auf allen Interfaces aktive, da bin ich aber noch am testen und probieren.


grüsse
May 09, 2019, 04:40:29 PM #3 Last Edit: May 09, 2019, 04:42:07 PM by micneu
ich würde sowas nicht machen, mach doch auf deinem privaten smartphone/gerät einfach dein vpn drauf und gut. das ist sicher und ist keine bastellösung. ich habe auf allen meinen geräten OpenVPN für mein Heimnetz drauf.
und dann kannst du imernoch für jedes gerät einen Firewall regel machen wenn es nicht überall hindarf.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
Print
Go Up Pages1
User actions