Einem User ein bestimmtes Gerät zuweisen, den Rest blocken

[thera]

Hallo zusammen,

ich überlege gerade, wie es am Sinnvollsten ist einem User nur einen Zugriff auf einen Server zu geben zu Wartungszwecken. Er soll lediglich Zugriff auf eine feste IP im Netzwerk haben, den Rest sollte er nicht mal sehen können.

Löse ich das über Gruppen, einzelne User oder brauch ich einen extra OpenVPN Server?

Besten Dank

[lfirewall1243]

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

[thera]

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Hi,
danke für die Rückmeldung. Es gibt zwei Filialen, eine Seite hat eine OPNsense als Firewall, die andere den unifi SecGateway - auf der einen Seite steht der Server auf den beide Filialen zugreifen müssen. Das Problem ist, dass beide Seiten aktuell denselben IP Bereich haben (192.168.50.0/24). Die Frage ist, ist das überhaupt möglich? Muss ich die IP erst ändern?

Der User sitzt an einen der beiden Filialen an einem Rechner. Beide Seiten sollten möglichst auf alles Zugriff haben.

Besten Dank!

[Patrick M. Hausen]

Beide Seiten sollen Zugriff auf alles auf beiden Seiten haben? Das widerspricht aber der Anforderung in Deinem ersten Post, dass ein User nur auf einen Server zu Fernwartungszwecken ...

Oder sollen beide Seiten Zugriff auf alles auf ihrer jeweiligen Seite haben? Das ist doch sowieso der Fall in einem LAN, da ist die jeweilige Firewall ja auch überhaupt nicht involviert ...

Also wer genau soll bitte worauf zugreifen? Möglichst vollständig ...

[thera]

Beide Seiten sollen Zugriff auf alles auf beiden Seiten haben? Das widerspricht aber der Anforderung in Deinem ersten Post, dass ein User nur auf einen Server zu Fernwartungszwecken ...

Oder sollen beide Seiten Zugriff auf alles auf ihrer jeweiligen Seite haben? Das ist doch sowieso der Fall in einem LAN, da ist die jeweilige Firewall ja auch überhaupt nicht involviert ...

Also wer genau soll bitte worauf zugreifen? Möglichst vollständig ...

Hi,

also, ich hab zwei Seite, eine in Hamburg (Unifi) und eine in Berlin (OPNSense) zwischen diesen beiden Firewalls soll eine Site2Site Verbindung aufgebaut werden, sodass alle Netze erreichbar sind von beiden Seiten aus.

So wie eine Site2Site verbindung halt läuft, ich weiss nicht, wie ich es anders ausdrücken kann. Eine Netzkopplung mehrere Filialen quasi.

Danke liebe grüße

[chemlud]

Das passt weder zum Titel noch zu deinem ersten Post, aber nun gut. Einfach einen Tunnel über openVPN, Wireguard oder IPsec machen und die jeweiligen remote-Netze in der Config spezifizieren, ein paar FW-Regeln und ab geht die Post.

Gleiche private Subnetze in beiden Filialen ist unschön, aber kein Showstopper (NAT)...

[thera]

Das passt weder zum Titel noch zu deinem ersten Post, aber nun gut. Einfach einen Tunnel über openVPN, Wireguard oder IPsec machen und die jeweiligen remote-Netze in der Config spezifizieren, ein paar FW-Regeln und ab geht die Post.

Gleiche private Subnetze in beiden Filialen ist unschön, aber kein Showstopper (NAT)...

Ich sehs jetzt erst, dass ich im falschen Thread bin  Sorry: hatte noch einen zweiten eröffnet wo es um eine Site2Site geht. Tut mir leid!

[thera]

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Noch ein Versuch. Der User greift über eine VPN über die opnsense auf das Netzwerk zu. Das Remotenetzwerk hat die 10.10.0.0/24 und der Zielserver ist im Netzwerk 192.168.26.1 (aktuell hat man auf alle Geräte über diese VPN im Netzwerk zugriff)

[lfirewall1243]

Dazu bitte ein paar mehr Infos...

Wie greift der User auf das Netzwerk zu?...

Noch ein Versuch. Der User greift über eine VPN über die opnsense auf das Netzwerk zu. Das Remotenetzwerk hat die 10.10.0.0/24 und der Zielserver ist im Netzwerk 192.168.26.1 (aktuell hat man auf alle Geräte über diese VPN im Netzwerk zugriff)

Also denke ich mal deine OPNsense hat direkt das 192.168.26.0/24 Netzwerk angeschlossen.

Dann geht du einfach hin und erstellt auf dem VPN Interface der OPNsense eine Regel mit folgenden Daten

Quelle: 10.10.0.0/24
Protocol: (Je nach dem was du erlauben willst)
Ziel: 192.168.26.1/32


Damit ist dann von der Gegenseite nur Traffic an die 26.1 erlaubt, wenn keine anderer Regel auf dem Interface ist.

[tiermutter]

Damit ist aber jeder VPN Client zugriffsberechtigt. So wie ich das verstehe sollen die meisten VPN Clients aber Vollzugriff haben und nur einer nicht. Dieser eine soll nur Zugriff auf den Server haben.
Ich verstehe aber weiterhin nicht wie der Zugriff erfolgt: Roadwarrior oder Site to Site, gehe aber vom Roadwarrior aus.
Dann würde ich das realisieren indem den Clients (bzw. nur diesem einem) eine feste IP aus dem VPN Subnetz zugewiesen wird (Client Specific Overrides), die dann in einer entsprechenden FW-Regel verwendet werden kann.

[lfirewall1243]

Damit ist aber jeder VPN Client zugriffsberechtigt. So wie ich das verstehe sollen die meisten VPN Clients aber Vollzugriff haben und nur einer nicht. Dieser eine soll nur Zugriff auf den Server haben.
Ich verstehe aber weiterhin nicht wie der Zugriff erfolgt: Roadwarrior oder Site to Site, gehe aber vom Roadwarrior aus.
Dann würde ich das realisieren indem den Clients (bzw. nur diesem einem) eine feste IP aus dem VPN Subnetz zugewiesen wird (Client Specific Overrides), die dann in einer entsprechenden FW-Regel verwendet werden kann.

Wie kommst du auf VPN-Client?
Oben ist ja beschrieben, dass es 2 Filalien sind, eine mit UniFi USG und die andere mit einer OPNsense, somit eine S2S Verbindung.
Also vermute ich zumindest... :-)

[tiermutter]

Das Site 2 Site hatte ich als irrelevant verbucht, weil sich der TE im Thread vertan hat
Aber wenn es ein Site 2 Site ist kommt doch die remote LAN Adresse in der Sense an, sodass ich anhand dieser regeln kann dass diese nur Zugriff auf den Server hat?!