Hi.
Ich frage schon mal für zukünftige Szenarien, ob das hier mit OPNSense und OpenVPN möglich sein wird:
Angenommen man hat eine dedizierte FW mit 4 Ports. Dann wäre es super, wenn man jedem dieser Ports via OpenVPN andere Berechtigungen und andere Netzwerke zuordnen könnte. Also z.B.: Ein VPN-Zugang für’s Management-Netz (nur Admin darf da rein). Ein anderer VPN-Zugang (über eine andere Schnittstelle) ins grüne Netz (Lehrer-Zugang) usw …
Wird das problemlos möglich sein oder wie ist es gedacht?
(Auf dem IPFire ist das im Moment so nicht gedacht, wenn ich das richtig sehe?!)
Schöne Grüße,
Michael
VPN von außen geht zuerst immer über die WAN Schnittstelle rein. Alles andere kannst du einstellen. Du kannst ein VPN-Zugang haben für alle Netze oder müsstet wahrscheinlich pro Zugang einen eigenen VPN-Server laufen haben. Zumindest ist das so bei pfSense (wir haben aber nur einen VPN-Server laufen).
Ist VPN für Lehrkräfte noch in Verwendung im Zeitalter von NextCloud & Co?
Hi Stephan.
Ok, das klingt gut. Dann ist das ja so umsetzbar und vor allem trennbar. Dass da ein weiterer VPN-Server laufen muss, wundert mich zwar – aber wenn’s so klappt …?!
Schöne Grüße,
Michael
Bei uns eventuell eher im Gegenteil … wir implementieren gerade einen neuen Dienst im Lehrernetz. Der kann von außen nur per VPN + Login erreicht werden. Ich schätze, dass die (technisch versierten) Kollegen das zukünftig mehr und mehr machen wollen und zu schätzen lernen wissen. Daher muss dann auch die OpenVPN-Verbindung sehr stabil sein und viele gleichzeitige Verbindungen stemmen können … aus diesem Grund gehe ich im Moment davon aus, dass wir irgendwann eine dedizierte FW direkt mit OPNSense vorinstalliert haben werden…
Schönen Gruß,
Michael
OPNSense und VPN scheint nicht immer so performant zu sein im Vergleich zu anderen Firewalllösungen…
Darf man fragen, um was für einen Dienst es sich handelt?
Ansonsten brauchst du schon ne ordentlich starke Firewall, die für viele Benutzer die Verbindung verschlüsselt. Dazu ist OpenVPN single-threaded soweit ich weiß.
Hi.
Ich habe mich mit diesem Anliegen direkt an scope7 gewendet. Ich poste hier deren Antwort auf die Frage, da das für das zukünftige Setting sicher noch interessant wird:
Es gibt folgende zwei Lösungswege.
1.) Zwei OpenVPN Server aufsetzen mit getrennten Interfaces und Admins sowohl einen „normalen“ Zugriff geben, als auch einen „Admin“ VPN Einwahl geben (die ggf. dann auf einem anderen Port nach extern läuft). Hier kann dann sehr einfach zwischen „normalem User“ und „Admin“ getrennt werden, der Verwaltungsaufwand bzw. Einrichtungsaufwand ist aber etwas höher.
2.) Je nachdem, wie viele Benutzer es im VPN (gleichzeitig) gibt (meist weniger als 200) ist die folgende Variante die meistgenutzte:
a.) Normales VPN Roadwarrior Setup mit Userverwaltung via Freeradius und ggf. Zertifikaten als 2. Faktor
b.) Admins erhalten einen zusätzlichen Benutzer
c.) Zusatzbenutzer von Admins erhalten vorher via Radius festgelegte IP Adressen im Dial-In VPN Transfernetz
d.) Festgesetzte IPs bei der Einwahl erhalten via Regelsatz auf OpenVPN/OVPNx Interface dann Zugriff auf Mgmt Netz bzw. „alles“, normale User nur Zugriff auf notwendige Ressourcen
e.) Durch FreeRadius Paket auf der OPNSense sehr einfach zu verwalten und konfigurieren
f.) Regelsatz auf VPN Interface muss entsprechend „wasserdicht“ gestaltet sein
Wie geschrieben ist es meistens Variante 2 was man bei den Kunden einrichtet, weil es oftmals einfacher im Handling ist. Sofern aber der VPN Port bzw. das externe Interface nicht das Problem sind, kann man auch Variante 1 gut umsetzen. Ist an der Stelle eher Kundenwunsch. Sicher bekommt man beides hin und ggf. auch ohne Zertifikate.