"Wireguard für alle" ... per OPNSense realisierbar?

[white_rabbit]

Hallo.
Ich habe gehört, dass es mit der OPNSense und VPN rel. einfach möglich sein, soll, den Zugang zum heimischen Netz auch mittels LDAPS und Zugangskontrolle für einzelne Gruppen zu realisieren. Das ist natürlich super -- aber "leider" setzen wir seit einiger Zeit auf Wireguard und sind damit bestens auch zufrieden. Es wäre natürlich super, wenn so ein Feature auch mit Wireguard umsetzbar wäre. Genaueres weiß ich dazu leider nicht, aber ich wollte das doch mal kurz hier in die Runde werfen. Wie seht ihr das?

In diesem Beitrag klingt es so, als sei das "per Design ausgeschlossen"??
https://serverfault.com/questions/948816/wireguard-user-authentication

[micneu]

denke nicht das es so einfach umzusetzen ist. es muss ja für jeden benutzer ein privater key erstellt werdn usw.
könnte mir aber vorstellen wenn du scripten kannst das du was basteln könntest. so out of the box NEIN, geht nicht

PS: finde ich mutig wireguard im unternhemen einzusetzen, mir währe es noch  zu früh.
(privat setze ich es ein, aber das ist ja auch eine ganz andere sache [zum testen, erfahrung sammeln])

[JeGr]

> In diesem Beitrag klingt es so, als sei das "per Design ausgeschlossen"??

Ich würde nicht direkt "ausgeschlossen" sagen, aber das Design von Wireguard ist fundamental anders als vorhandene VPNs mit IPsec oder OpenVPN. Eine klassische User-Authentifikation gibt es hier nicht. Auch keine Unterscheidung zwischen Server, Client oder ob jemand ein Einwahl-User ist oder nicht. Im Prinzip ist es eine vollständig "anonyme" Schicht in der die einzige Gemeinsamkeit das Priv/Pub Keypair ist, das jede Seite hat und ggf. noch ein PSK für den Tunnel. Mehr nicht. Einen Client in irgendeiner Form mit anderen Diensten zu authentifizieren ist aktuell soweit ich weiß weder implementiert noch vorgesehen.

[Gauss23]

PS: finde ich mutig wireguard im unternhemen einzusetzen, mir währe es noch nicht zu früh.
(privat setze ich es ein, aber das ist ja auch eine ganz andere sache)

den Zugang zum heimischen Netz

Dadurch, dass aktuell rein konzeptionell nur die private/public-key Variante existiert, wird das per LDAP eher nix.

[pmhausen]

OpenVPN funktioniert dagegen in dem klassichen "Road Warrior" Szenario, ggf. mit Active Directory, ziemlich gut.

[vpnuser]

Sollte gehen. Wir verwenden OPNSense mit IPSec / IKEv2 für den VPN Tunnel. Die Authentifizierung an der Windows Domäne erfolgt über NPS als Radius Server mit Zertifikaten. Auf der OPNSense läuft FreeRadius, welche die Anfragen an den NPS weiterleitet.
Ich hatte testweise mal WireGuard installiert. Damit funktioniert die bestehende Konfiugration mit User Zertifikaten ohne Probleme. D.h. es ist egal, ob der VPN Tunnel über WireGuard oder über IPSec aufgebaut wird.
Deshalb gehe ich davon aus, dass Du eine Anmeldung über LDAP realisieren kannst.

[pmhausen]

@vonuser Du hast doch für IPsec sicher Xauth aktiviert? Da WG nicht über einen solchen Mechanismus verfügt, bezweifle ich stark, dass da eine benutzerbasierte Authentifizierung mit Deinem AD stattgefunden hat ...

[vpnuser]

Hallo pmhause,
nein, kein Xauth. Als Authentication method in Phase 1 wird "EAP-Radius" verwendet. Als Radius Server habe ich FreedRadius installiert. Dieser leitet Anfragen für die Windows Firmen-Domain an den Windows NPS Radius Server weiter. Dieser wiederum meldet mit dem User Zertifikat den Benutzer am AD an. Und wie ich bereits geschrieben habe, diese Konfiguriation hat auch funktioniert, als ich als VPN WireGuard verwendet habe.
Sobald die WireGuard VPN Verbindung steht, wird die Anmeldung nicht mehr über den Radius Server vorgenommen. Vielmehr meldet sich der Windows Client über die bestehende VPN Verbindung am AD Directory an. Dies geschieht vollkommen transparent sobald ein Windows Dienst verwendet wird. Hierzu muss in Windows unter Systemsteuerung -> Windows Anmeldeinformtionen das User Zertifikat für die Domain eingetragen werden. Einzig MS Outlook machte Probleme - konnte zwar eine Verbindung zum Exchange Server aufbauen, verlangte aber immer wieder ein Benutzeranmeldung. Wenn man mit Benutzer/Passwort arbeitet ist dies auch kein Problem, da man die Anmeldedaten auf dem Client speichern kann.

[Gauss23]

Hallo pmhause,
nein, kein Xauth. Als Authentication method in Phase 1 wird "EAP-Radius" verwendet. Als Radius Server habe ich FreedRadius installiert. Dieser leitet Anfragen für die Windows Firmen-Domain an den Windows NPS Radius Server weiter. Dieser wiederum meldet mit dem User Zertifikat den Benutzer am AD an. Und wie ich bereits geschrieben habe, diese Konfiguriation hat auch funktioniert, als ich als VPN WireGuard verwendet habe.
Sobald die WireGuard VPN Verbindung steht, wird die Anmeldung nicht mehr über den Radius Server vorgenommen. Vielmehr meldet sich der Windows Client über die bestehende VPN Verbindung am AD Directory an. Dies geschieht vollkommen transparent sobald ein Windows Dienst verwendet wird. Hierzu muss in Windows unter Systemsteuerung -> Windows Anmeldeinformtionen das User Zertifikat für die Domain eingetragen werden. Einzig MS Outlook machte Probleme - konnte zwar eine Verbindung zum Exchange Server aufbauen, verlangte aber immer wieder ein Benutzeranmeldung. Wenn man mit Benutzer/Passwort arbeitet ist dies auch kein Problem, da man die Anmeldedaten auf dem Client speichern kann.

Wenn die WG Verbindung zu dem Zeitpunkt schon steht, ist der Client doch schon im Netzwerk. AD Dienste hin oder her.

[pmhausen]

Danke für die Erläuterung. Das bedeutet aber, dass wie befürchtet die VPN-Verbindung selbst gerade nicht über das AD authentifiziert wird, wenn Wireguard im Spiel ist. Genau darum geht es aber doch. Wenn ich einen Account deaktiviere (kompromittiert oder verlässt das Unternehmen), dann darf da bitte nicht mal mehr ein Tunnel zustande kommen.

[vpnuser]

Hallo pmhausen,
da gebe ich Dir Recht. Deshalb würde ich auch WireGuard nur verwenden, wenn für jeden User ein extra Key generiert wird - sehr aufwendig.

[Gauss23]

Hallo pmhausen,
da gebe ich Dir Recht. Deshalb würde ich auch WireGuard nur verwenden, wenn für jeden User ein extra Key generiert wird - sehr aufwendig.

Genau das war doch die Ursprungsfrage. Also aktuell klares NEIN