VPN zur Firma (Clavister)

[dslthomas]

Moin, Moin,

Auch hier brauche ich mal die Hilfe der Community.

Ich habe auf dem Notebook (Windows 10) eine funktionierende VPN-Verbindung zu Firma. Hier ist VPN als IKEv2 eingerichtet mit der Authentifizierung Gesichertes Kennwort (EAP-MSCHAP v2). Ebenfalls könnte ich mich via Pre-shared Key authentifizieren. Folgende Daten habe ich erhalten:

• Öffentliche IP der Firma
• Pre-shared Key für die Authentifizierung
• Phase 1: DH group 2 (1024-bit) mit Lifetime 3600s
• Phase 2: DH group 2 (1024-bit) mit Lifetime 1800s
• oder aber wie in Windows eingerichtet IKEv2 mit Gesichertes Kennwort (EAP-MSCHAP v2) (also meine AD-Zugangsdaten

Ziel ist es, an einer freien LAN-Schnittstelle hier zu Hause nur das Unternehmensnetzwerk zu haben. Anders ist die Nutzung im HomeOffice kaum möglich da ich hier zu viele Geräte habe, welche mit dem Unternehmensnetzwerk kommunizieren müssen.

Im Unternehmen kommt die Clavister zum Einsatz. Leider ist unser Netzwerkspezialist jetzt längere Zeit ausgefallen, daher könnte nur seine Vertretung mögliche Änderungen vornehmen.

Frage: Kann jemand nem DAU erklären, wie ich das in der OPNsense-Firewall einrichten muss?

Diesmal habe ich auch einen Netzwerk-Plan:

Danke und Gruß aus Hamburg

[mimugmail]

Also Site2 Site VPN sollte kein Problem sein, da einfach in die OPNsense Doku schauen. Wenn die OPN als Client auftauchen soll wird's tricky, würde ich nicht empfehlen.

[dslthomas]

Also Site2 Site VPN sollte kein Problem sein, da einfach in die OPNsense Doku schauen.

Also Site2Site VPN sollte das sein. Hier wurde mir seitens der Vertretung nur gesagt, dass es ein Problem mit meiner Dynamischen IP geben könnte. Die Doku hab ich mehrfach durch nur bringt die mir wenig bis gar nichts weil nichts so richtig passt.

[Gauss23]

DH Group2 in einer Firma? Finde ich etwas veraltet.

Für ein Site-2-Site müsste die Gegenseite für die Phase2 nach Deinem IP Bereich fragen, haben sie das?
Hast Du denn deren IP Bereich genannt bekommen?

Ansonsten reden wir hier von einem Road-Warrior Setup (dafür spricht auch EAP-MSCHAP v2). Da bekommt der Client eine IP aus einem Pool. Dahinter müsste alles genattet sein, was wohl bei IPsec und der OPNsense problematisch ist, wie mimugmail schon sagte.

[mimugmail]

Also Site2 Site VPN sollte kein Problem sein, da einfach in die OPNsense Doku schauen.

Also Site2Site VPN sollte das sein. Hier wurde mir seitens der Vertretung nur gesagt, dass es ein Problem mit meiner Dynamischen IP geben könnte. Die Doku hab ich mehrfach durch nur bringt die mir wenig bis gar nichts weil nichts so richtig passt.

Wieso? Wo haperts?

Du nimmst den dedizierten Port, assign das Interface, eigenes IP Netz, dann als S2S das neue Netz mit dem Firmennetz und als Gegenstück im IPsec immer die Peer IPs oder in deinem Fall DynDNS wenn du dynamische IP hast

[lfirewall1243]

Deine Dynamische Ip sollte keine Probleme machen, außer auf der Gegenseite ist eine feste konfiguriert.

Mal davon ab, was ist das denn für eine Firma wo die Mitarbeiter die VPNs selbst einrichten sollen?! Da sollte das ganze Thema IT doch mal anders behandelt werden, alleine schon aus Sicherheitsgründen

[micneu]

@lfirewall1243 bei mir in der firma dürfen die user das nicht, wir haben auf allen rechner OpenVPN eingerichtet.
sollte ein benutzer sich das auf seiner sense einrichten wollen bekommt er von uns KEINE unterstützung (da nicht erlaubt). vieleicht ist es geduldet und die admins sagen sich, sollte er es hinbekommen dulden wir es aber viel unterstützung, nee da haben wir keine zeit für, das könnte ja auch sein.

[lfirewall1243]

@lfirewall1243 bei mir in der firma dürfen die user das nicht, wir haben auf allen rechner OpenVPN eingerichtet.
sollte ein benutzer sich das auf seiner sense einrichten wollen bekommt er von uns KEINE unterstützung (da nicht erlaubt). vieleicht ist es geduldet und die admins sagen sich, sollte er es hinbekommen dulden wir es aber viel unterstützung, nee da haben wir keine zeit für, das könnte ja auch sein.

So kenne ich das auch
Und wenn der Mitarbeiter da selbst was bastelst und die Sicherheit gefährdet ist er auch dafür verantwortlich

[dslthomas]

was ist das denn für eine Firma wo die Mitarbeiter die VPNs selbst einrichten sollen?!

So,- jetzt muss ich mit meinen Formulierungen vorsichtig sein.... :-)

Ich arbeite selbst in der IT. Allerdings ist Firewall etwas, was ich wohl nie richtig begreifen werde. Mein Thema ist da eher VMWare, ThinClient, Kassen, Monitoring, Opsi und und und....

Das Problem: wir sind inkl. Helpdesk 8 Personen. Dabei ist unser Unternehmen in den 15 der größten Arbeitgeber im Bundesland ...

Das Thema Firewall bedient eine Person. Es gibt zwar noch jemanden, der Einstellungen in der Firewall vornehmen kann,- mehr aber auch nicht. Unser Firewall-Mensch ist jetzt aber außer Gefecht gesetzt. Daher muss ich mir versuchen selbst zu helfen. Entsprechend Stümperhaft sind meine Anfragen hier. Der User hat selbstverständlich bei uns keinerlei rechte, VPN selbst zu verwalten. Ohnehin sind wir IT´ler die einzigen, die VPN nutzen können. Alle anderen haben Citrix mit 2FA.

@Gauss23
Ja, nach meinem IP-Bereich wurde gefragt. Allerdings eben nicht vom einzigen Spezi den wir haben denn der ist derzeit nicht verfügbar. S2S sollte es schon sein. Das  EAP-MSCHAP v2 war nur ein krampfhafter versuch meinerseits, das VPN vom Notebook als S2S-VPN missbrauchen zu können.

[Gauss23]

Das Problem: wir sind inkl. Helpdesk 8 Personen. Dabei ist unser Unternehmen in den 15 der größten Arbeitgeber im Bundesland ...

@Gauss23
Ja, nach meinem IP-Bereich wurde gefragt. Allerdings eben nicht vom einzigen Spezi den wir haben denn der ist derzeit nicht verfügbar. S2S sollte es schon sein. Das  EAP-MSCHAP v2 war nur ein krampfhafter versuch meinerseits, das VPN vom Notebook als S2S-VPN missbrauchen zu können.

Also für einen der 15 größten Arbeitgeber des Bundeslandes hätte ich etwas modernere Cipher- und DH-Einstellungen erwartet. Das sollte der Spezi mal angehen, sobald er genesen ist.

Hast Du denn in der Phase2, die Du da hast auch einen IP-Bereich genannt bekommen? Dann sollte das doch einfach auf einen Versuch ankommen. Woran stolperst Du? Phase1 anlegen mit den Daten, die Du hast und dann eine Phase2 anlegen mit Deinem lokalen Netz, was Du denen mitgeteilt hast (was du vermutlich noch mit einem neuen Interface an der OPNsense anlegen musst) und dem Firmen-Netzwerk.

[dslthomas]

Also für einen der 15 größten Arbeitgeber des Bundeslandes hätte ich etwas modernere Cipher- und DH-Einstellungen erwartet. Das sollte der Spezi mal angehen, sobald er genesen ist.

Das werde ich auf jeden Fall hinterfragen. Zumal die beiden VPN-Verbindungen welche ich zu den Fritzboxen (privat) habe, DH-14 genutzt wird.

Hast Du denn in der Phase2, die Du da hast auch einen IP-Bereich genannt bekommen? Dann sollte das doch einfach auf einen Versuch ankommen. Woran stolperst Du?

Ich habe jetzt so viele unterschiedliche Sachen bekommen... arrrr

Frage: Hat jemand ne Anleitung wo eine sichere S2S-Verbindung zur OPNsense beschrieben ist? Die würde ich als Vorlage hernehmen und entsprechend eine saubere Anforderung formulieren. Ich weiß ja nicht, ob jemand von euch das Produkt Clavister kennt aber hier ist unser Spezialist selbst häufig am Fluchen. Weil die Clavister zwar so nen "bisschen" DHCP kann aber eben keine Klassen für PXE-Boot, mussten wir jetzt sogar den DHCP von der Clavister auf nen MS-System umziehen...

[Gauss23]

Was gefällt Dir an der offiziellen Doku dazu nicht?
https://docs.opnsense.org/manual/how-tos/ipsec-s2s.html

[lfirewall1243]

Das Problem: wir sind inkl. Helpdesk 8 Personen. Dabei ist unser Unternehmen in den 15 der größten Arbeitgeber im Bundesland ...

@Gauss23
Ja, nach meinem IP-Bereich wurde gefragt. Allerdings eben nicht vom einzigen Spezi den wir haben denn der ist derzeit nicht verfügbar. S2S sollte es schon sein. Das  EAP-MSCHAP v2 war nur ein krampfhafter versuch meinerseits, das VPN vom Notebook als S2S-VPN missbrauchen zu können.

Also für einen der 15 größten Arbeitgeber des Bundeslandes hätte ich etwas modernere Cipher- und DH-Einstellungen erwartet. Das sollte der Spezi mal angehen, sobald er genesen ist.

Hast Du denn in der Phase2, die Du da hast auch einen IP-Bereich genannt bekommen? Dann sollte das doch einfach auf einen Versuch ankommen. Woran stolperst Du? Phase1 anlegen mit den Daten, die Du hast und dann eine Phase2 anlegen mit Deinem lokalen Netz, was Du denen mitgeteilt hast (was du vermutlich noch mit einem neuen Interface an der OPNsense anlegen musst) und dem Firmen-Netzwerk.

@dslthomas okay das erklärt das ganze dann doch

Ja die DH Einstellungen sind natürlich so naja:)
Und öffentlich erreichbare citrix Zugänge sind auch nicht so der Knaller was die Sicherheit angeht.

So wenig Leute für einen großen Arbeitgeber finde ich gerade aber etwas erschreckend, besonders nur 1 Person für das ganze Thema Firewall

[mimugmail]

Citrix über netscaler is normalerweise public, wie auch die Webseite einer Bank, da muss ich ihm schon beispringen

[lfirewall1243]

Citrix über netscaler is normalerweise public, wie auch die Webseite einer Bank, da muss ich ihm schon beispringen

Aber citrix ist ja nicht so für Sicherheit bekannt.
Ich würde sowas nur ungern ohne VPN etc. erreichbar machen

Und netscaler gibt's doch garnicht mehr oder?