WebUI von außen erreichbar?

Hi.
Ich stelle mal eine vielleicht provokante Frage: Wenn künftig mehr und mehr Services unter der WebUI vereint sein sollen, müsste die WebUI doch auch von außen erreichbar sein. Das wäre aber ein ziemlicher Paradigmenwechsel zum alten Stand: „Kein Service im grünen Netz nach außen!“
Daher die Frage: Ist das so gewollt/geplant/gedacht oder bleibt das grüne Netz „abgeschlossen“?
Mir geht es bei der Frage auch darum, ob man mehr und mehr Services per SSO über die WebUI erreichen wird und sich daher die Notwendigkeit ergibt, die WebUI von überall erreichen zu können …
Wie seht ihr das – bzw in welche Richtung soll es gehen?
Schöne Grüße,
Michael

Ich habe ein Netz eingerichtet, das in das grüne Netz hineinschauen kann. Das Netz ist in einem (wireguard-) VPN in das ich von zuhause hineinkann.

Ich hab das so aufgesetzt in meinem Setup, in dem ich die Installation übe, um von zuhause weiterarbeiten zu können. Es ist aber so praktisch, dass ich genau deine Überlegung anstelle, nämlich das beizubehalten.

Bis zum SSO und weiteren Diensten der WebUI bin ich dabei noch garnicht gekommen.

Hi.
Ja, wireguard ist schon extrem gut … ich würde auch nicht mehr gegen OpenVPN tauschen wollen. Wenn man das langfristig in der WebUI wieder so hinbekommen könnte, dass ein Zertifikat (jetzt „Endpoint“) automatisch angelegt wird und nur noch vom Admin aktiviert werden muss, wäre das natürlich schick.

Für Otto-Normal-User ist das aber leider schon wieder zu kompliziert, fürchte ich … die wollen es so einfach (und mit so wenigen Logins) wie möglich. Wenn die WebUI langfristig viele Dienste unter einer Haube anbieten kann, muss man sich überlegen, wie/ob man sie von außen erreichbar macht – ich weiß aber nicht, ob das von den Entwicklern so gewollt ist?? Wenn aber doch, ist ein ReverseProxy (wie zB HAProxy auf der OPNSense-FW) sicher gut geeignet …

Schöne Grüße,
Michael

Ich würde unterscheiden, ob man die Web-GUI im freien Internet zugänglich machen will oder in einem VPN (durchaus auch für Schüler).

… wobei dann umfangreiche Tests mit wireguard und sehr vielen (gleichzeitigen) Verbindungen anstünden. Zieht die Firewall das? Wie viele Endpoints verkraftet das System usw usw … klingt fast nach einer ganz eigenen Aufgabe :slight_smile:

… und noch weiter gedacht: Es müsste dann ja auch eine „Verwaltung“ für die VPN/Wireguard-Zugänge existieren. Also konkret: Schüler, die die Schule verlassen haben, komme nicht mehr über VPN rein … das klingt nicht nach KISS, oder?!? Dann doch lieber direkt per :443 (oder einen exotischen Port, der nicht von den Script-Kids verwendet wird) auf die WebUI?? Aber wie gesagt: Das wäre ein Bruch mit allem, was hier bisher üblich ist. Über Sinn und Unsinn können wir uns aber gerne unterhalten :slight_smile:

Da es kommerzielle VPN-Anbieter gibt, die WG nutzen (zB mullvad), die sogar die Entwicklung von WG mittreiben, denke ich nicht, dass wir das mit unseren paar Schülern noch testen müssen. Da sind andere mit größeren Zahlen schon dabei :wink:

Ja, ich habe bisher keine Verwaltung und mache das manuell. Das ist natürlich unschön. Ich habe aber noch nicht nach fertigen Lösungen dafür gesucht. Ein Bekannter von mir arbeitet an einer solchen Sache und es gibt weitere Projekte, da ist also Bewegung.

Da LM schon so schön LDAP nutzt, könnte man die Schlüssel da reinstellen und entsprechen in WG provisionieren. In der Richtung wird es sicherlich eine Lösung geben.

Ich haben allerdings einen „WG Access Point“ ausserhalb, damit man den immer erreicht (2 Geräte hinter NAT machen das schwierig :wink: ). Dann muß dahin provisioniert werden.

Und ja klar: Die Lösung muß so einfach sein, dass sie mit ein paar Klicks umsetzbar ist.

Ja, das sicherlich … aber haben die das auch auf einer kleinen OPNSense-FW getetestet oder setzen die richtig fette Hardware ein, die speziell dafür ausgelegt ist?

Die Idee ist reizvoll – aber ich fürchte, dass das so von Otto-Normal-Kollege nicht angenommen wird. Der sieht ja auch nicht ein, warum die WebUI nicht einfach im Browser erscheint, wenn er zu Hause http://10.16.1.1 oder https://server in die Adresszeile schreibt…
… geht in der Schule doch auch :wink:

Ich habe dafür eine eigene VM, die OPNSense ist mir nicht geheuer - die würde ich gern ersetzen :wink:

Das geht, man muß das VPN einschalten um das zu können und das kriege ich hier vermittelt. Das VPN ist so konfiguriert, dass es eben nicht den übrigen Verkehr behindert.

Warum nicht? Was steckt dahinter?

Klar – hier geht das auch. Aber wie gesagt: Wie bringt man das Otto-Normal-User bei? Und diese FoBi will ich mir nur ungern auch noch ans Bein binden … :slight_smile:

Das sieht mir alles mit sehr heisser Nadel gestrickt aus. Die Architektur ist nicht stringent. Dagegen hat es eine überhübschte UI - das ist immer verräterisch (marketing getrieben?).

An eine Firewall habe ich hohe Sicherheitserwartungen. Da sind einige Dinge in Opnsense, die diese nicht erfüllen.

War doch damals ein Fork von pfSense. … :thinking:

… und im Vergleich zum IPFire?

Habe ich mir nicht so genau angeschaut wie jetzt durch den walkthrough die Opnsense.

Aber versteh’ mich nicht falsch: Für den Einsatzzweck an der Schule ist Opnsense vielleicht die beste Wahl.

Also ich bin gerade dabei, die Fritzbox rauszuwerfen und nur noch die OPNSense-FW zu verwenden (kein doppeltes NAT mehr, vereinfachte Konfiguration usw). Das sollte die schon können und gescheit machen :thinking: :question:

Unbedingt, das ist ja ein BSD darunter, das kann Netzwerk.

Na gut, aber was konkret findest du denn so beunruhigend an der OPNSense-FW??

Auf die Gefahr hin einen Religionskrieg auszulösen:

Eine Firewall sollte zuallerstens aus Sicherheitsgründen Firewall sein und nichts andres. Sie hat einen Administrativen Zugang, der nicht erreichbar ist aus den Netzen die sie Firewalled. Sie hat keine Dienste, die für den eigentichen Job unnötig sind. zB:

  • Proxy
  • WebUI
  • VPN

Sie sollte keine bekantermaßen unsicheren Programme nutzen oder enthalten. zB:

  • PHP

Das was Opnsense macht ist was man unter Windows sieht: Da behaupten auch Experten, ein unter dem selben System installierbares Program sei eine Firewall.

Um mehr zur Architektur zu sagen, müßte ich tiefer reinschauen, was ich gesehen habe fand ich aber …hm, da gehen bei meiner Intuition ein paar rote Lampen an.

Aus Marketinggründen mag das alles sinnvoll sein, auch läßt sich sowas von weniger versierten Leuten administrieren, wirklich sicher ist sowas aber nicht.

(das ist nur meine Meinung, bitte nicht Diskutieren :wink: )

Hallo,

es gibt keinen Paradigmenwechsel.
Die WebUI ist zum Managen des grünen Netzes: ein Zugriff auf die WebUI
aus dem Internet ist nicht vorgesehen und ich rate dringend davon ab.
Zwei Gründe:

  1. keine Dienste in Grün vom Internet aus erreichbar (Sicherheit)
  2. die WebUI wird nicht für den Einsatz im Internet entwickelt: da
    bräuchte man ganz andere Sicherheitsvokehrungen.

Was genau sollen den die Nutzer von Zuhause aus machen in der WebUI?

Ein Zugriff über VPN finde ich hingegen OK.

LG

Holger

Hi.

Na gut, dann macht es aber auch wenig(er) Sinn, längerfristig andere Services mit dort einzubinden, oder?!? Über VPN/Wireguard ist das sicher alles super möglich aber die Gegenargumente wurden ja schon genannt…

Also es ist jetzt nicht so, dass ich alle Lösungen kenne, die es da draußen gibt – aber welcher Anbieter bietet heute eine REINE FW an, die NICHTS anderes kann? Ich schätze das mal so ein, dass die allermeisten Firewalls viele weitere Services mit anbieten. Und ob z.B. eine WebGUI oder VPN direkt auf der FW wirklich soooo schlimm sind??? :thinking: Aber wie auch immer: Ein Religionskrieg ist deshalb nicht entfacht. Ich habe mich jetzt halbwegs an die OPNSense gewöhnt und finde, dass sie viele Dinge eigentich ganz gut macht. :slight_smile: – aber ob das die beste aller Lösungen ist, weiß ich nicht…

Schöne Grüße,
Michael

Hallo Michael,

Na gut, dann macht es aber auch wenig(er) Sinn, längerfristig andere
Services mit dort einzubinden, oder?!?

welche Services?

LG

Holger

Ich hab z.B. jetzt die Schnauze voll und will den Schülern allen neue Passwörter verpassen. Den Kollegen will ich die Mehrarbeit nicht zumuten: da sollen die Schüler das an den PCs in der Schule oder zu Hause machen… Dafür könnte ich sie mal (temporär) online brauchen.

VG, Tobias