Disclaimer für OpenVPN Nutzer

Started by don, July 27, 2018, 04:07:01 PM

Previous topic - Next topic
July 27, 2018, 04:07:01 PM Last Edit: July 27, 2018, 04:38:52 PM by don
Guten Tag

Wir müssen zunehmend unseren Lieferanten VPN Zugänge auf unser Netz zur Verfügung stellen. Mit OPNsense funktioniert das mit der 2FA ja ganz gut. Herzlichen Dank dafür.

Nun möchten wir diesen Lieferanten jedoch eine Seite (Landing Page) vorschalten, wo sie entsprechend begrüsst werden und auch darauf hingewiesen werden, dass die Nutzung nicht missbraucht wird (so wegen Datenschutz und so).

Ich dachte, das könnte man mit Captive Portal auf die OpenVPN Schnittstelle (eine virtuelle) legen. Nur: Was muss ich sonst noch unternehmen, damit ich dieses Template vorgeschaltet erhalte? Braucht es da einen Redirect oder eine Firewall-Regel?

wird das nicht beim Setup für Captive Portal mit erledigt ?


Aber im DSVGO Konform zu sein würde ich das Ganze einmal auf Papier Ausetzen und von den Lieferanten unterschreiben

Würde ich auch sagen - das sollte nicht auf die FW sondern ins Vertragswerk. Das ist einfacher und weniger Fehleranfällig.

Hey,

schließe mich meinen Vorrednern an: das macht man am Besten einmal in Papierform beim Erstellen bzw. Aushändigen des VPN Zugangs an den Kunden.
Der Kunde klickt die LandingPage eh spätesens nach dem zweiten Mal sofort weg, weil er es bereits gelesen hat nur dann nur noch nervt.

Trotzdem habe ich das mal bei mir probiert. Anscheinend kann das Captive Portal nicht auf eine OpenVPN Verbindung gelegt werden. Sobald ich das Interface dafür auswähle erhalte ich die Meldung "error reloading captive portal template".
Was mir beim Test auch aufgefallen ist: wenn ich der FW Regel die den Traffic nach der LandingPage erlauben soll ein Gateway mitgebe, funktioniert die LandingPage nicht mehr. Der User bekommt dann sofort die komplette Freischaltung.

Jas Man
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Guten Tag

Danke für die vielen Rückmeldungen.

Es geht hier nicht um DSGVO (wir sind in der Schweiz und diesem zum Glück nicht unterstellt). Manchmal ist es nicht wirklich nützlich, wenn man versucht, eine Begründung mitzugeben, weil die Leute dann an der Begründung herumstudieren und nicht an der eigentlichen Problemstellung: Ich möchte für die OpenVPN-Benutzer eine Landing Page.

@ JasMan: Danke für deine Tests. Auch wenn ich die Fehler-Meldung so noch nicht reproduzieren konnte, so weiss ich nun, dass es offenbar nicht geht.

Don

Hey Don,

wenn bei Dir die Meldung nicht kommt, könnte es ja vielleicht doch funktionieren.
Schau Dir mal die Regel an, die Du für die OpenVPN User angelegt hast. Dort darf kein Gateway angegeben sein da ansonsten der Verkehr nicht auf die Landing Page umgeleitet wird.
Gruß

Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Danke für die Rückmeldung.

Das Problem ist, dass ich gar nicht aufs Captive-Portal Zugangsseite komme. OpenVPN User kommen ja mit UCP 1194 Port rein. Hat es damit etwas zu tun?

Die Fehlermeldung kriege ich auch, wenn ich die Schnittstelle OpenVPN eingebe, welche ja eine Virtuelle ist. Wenn ich jedoch die Schnittstelle des WAN eingebe, müsste das doch auch passen?

Nun, es scheint so, dass es tatsächlich nicht geht. Ich werde mir demnach etwas anderes einfallen lassen müssen.
Trotzdem vielen Dank für die Hilfen.

Don

Quote from: don on July 30, 2018, 01:01:50 PM
Das Problem ist, dass ich gar nicht aufs Captive-Portal Zugangsseite komme. OpenVPN User kommen ja mit UCP 1194 Port rein. Hat es damit etwas zu tun?
Definiv NEIN.

Quote from: don on July 30, 2018, 01:01:50 PM
Die Fehlermeldung kriege ich auch, wenn ich die Schnittstelle OpenVPN eingebe, welche ja eine Virtuelle ist. Wenn ich jedoch die Schnittstelle des WAN eingebe, müsste das doch auch passen?
Nein, der Datenverkehr kommt von der virtuellen Schnittstelle und nicht aus dem WAN. Aus sicht der WAN-Schnittstelle kommen nur die OpenVPN-Pakete.

Quote from: don on July 30, 2018, 01:01:50 PM
Nun, es scheint so, dass es tatsächlich nicht geht. Ich werde mir demnach etwas anderes einfallen lassen müssen.
Trotzdem vielen Dank für die Hilfen.
Das liegt daran, dass es nur eine Schnittstellengruppe gibt. Das ruiniert relativ viel (zum Beispiel OSPF über OpenVPN und ähnliche Szenarios - aber insbesondere Dinge, die auf Multicast oder Broadcast aufbauen), aber hier müssen wir auf die Änderung im Core warten, bis sich da was ändert. Sobald man die Schnittstellen einzeln konfigurieren kann, sollte es möglich sein.