Neija, was heißt aber sonst? Ein DDoS auf den Domänencontroller ist auch nicht ohne… keiner kann sich mehr an irgendeinem Computer anmelden, keiner kommt mehr an seine Daten, du kommst nich mehr per ssh an den Server…
Ich denke, das ist schon ein Grund, der gut genug ist, oder nicht? Ich hatte das schonmal das ist ziemlich blöd, weil man keine Kontroller mehr hat …
Hi Dorian.
Ok – wird jetzt OT – aber mich interessiert dabei folgendes: Nehmen wir mal an, dass gerade ein DDOS-Angriff von div. Servern gegen meine IP-Adresse läuft … ist es dann nicht nahezu „egal“, ob die Anfragen direkt an der Firewall gedropped werden oder ob sie bis zum Server in grün durchgestellt werden? Ich bin nicht sicher, könnte mir aber vorstellen, dass in beiden Fällen nichts mehr geht; also auch keine Anmeldung an Diensten, die sich per LDAP anmelden müssen.
Im internen Netz sieht die Lage natürlich anders aus, wenn „nur“ die Firewall in die Knie gezwungen wird … aber von außen betrachtet??
Hast du da auch Erfahrungswerte?
Michael
Hi Michael,
Nicht mit lmn (ist schon länger her) aber es sieht folgendermaßen aus:
Wenn die Attacke gegen deinen LDAP Läuft, müssen bei jeder Anfrage Daten Verarbeitet werden. Jedes mal, wenn einer der ddos Server eine Anfrage schick, muss gescheckt werde, ob die gesendeten Zugangsdaten gültig sind, dann muss eine entsprechende Antwort geschickt werden. Das braucht Rechenleistung und das lässt deinen Server dann in die Knie gehen. Wennd ie Pakete einfach ander Firewall gedroppt werden, dann muss ja nichts verarbeitet werden, das ist also deutlich weniger rechenintensiv und dadurch auch viel robuster (genaue Zahlen kann ich da aber nicht sagen).
VG, Dorian
Klingt alles einleuchtend, bleibt trotzdem die Frage, ob man auch nur die Firewall damit in die Knie zwingen kann? Ausprobieren will ich das aber nicht 
Ich bin da kein Experte, aber wenn die die Pakete einfach nur dropped kann ich mir das nicht vorstellen. Sonst wäre sie ja in ihrer Hauptaufgabe gescheitert 
VG, Doeian
Hallo zusammen,
die Einrichtung eines VPN über die OPNSense mit LDAP-Authentifizierung ist nun als neues Kapitel in der Doku mit Einstellungen und Sceenshots verfügbar. Ich habe die Konfiguration von @dorian genommen, es so getestet und umgesetzt, Screenshots erstellt und einige ergänzende Erklärungen hinzugefügt. Dies findet sich hier:
https://docs.linuxmuster.net/de/latest/systemadministration/openvpn/index.html
Bei mir funktioniert dies so wunderbar. Wir freuen uns über Hinweise oder Verbesserungsvorschläge.
VG
Chris
3 „Gefällt mir“
Mein Dank geht an Dorian und Chris. 
Hallo Dorian,
Vielen Dank für Deine Anleitung. Ich bin - soweit möglich - danach vorgegangen und bekomme eine stabile VPN-Verbindung.
Was bislang noch nicht funktioniert: Ich kann auf nichts zugreifen, was sich im Netz der lmn 7.1 befindet (also keine Weboberfläche etc.).
Muss da noch eine Firewallregel erstellt werden? Oder müssen da intern noch Ports freigegeben werden?
Hinweis: Ich habe die Einstellungen mit der aktuellen OPNsense durchgeführt. Da sind einige Punkte nicht mehr so wie in Deiner Anleitung. Da habe ich Alternativen gewählt.
Ein Beispiel:
Hier habe ich nur die Möglichkeit
- linuxmuster
oder
- Lokale Datenbank zu wählen
Die eigentlich richtige Wahl „Linuxmuster VPN Zugang“ gibt es nicht unter den Auswahlmöglichkeiten
Viele Grüße
Alois
Den „Linuxmuster VPN Zugang“ musst du auch selbst anlegen 
https://docs.linuxmuster.net/de/latest/systemadministration/openvpn/index.html#ldap-anbindung
Und ja, du musst noch Firewall regeln anlegen, siehe hier: OpenVPN konfigurieren — linuxmuster.net 7.0 Dokumentation
Schau mal in die offizielle Anleitung hier, die ist besser getestet und aktueller:
https://docs.linuxmuster.net/de/latest/systemadministration/openvpn/index.html
VG,
Dorian
Hallo Dorian,
Hab ich inzwischen gemacht. Es hakt immer noch, aber an anderer Stelle. Ich melde mich, wenn ich wieder beim Testen bin.
Viele Grüße
Alois