Eigenes VPN - was muss man beachten?

citizenfive

Stammuser
Hi @all!

Nach einigem Rumtüfteln habe ich es geschafft mein Phone über das VPN auf ipfire Zuhause zu verbinden. Jetzt frage ich mich allerdings (da ich bisher nichts mit eigenen VPNs zu tun hatte): Was muss man dabei beachten? Ich mein, jetzt gibt es einen Zugang von außen und was gibt es für sinnvolle Einstellungen bei einem VPN-Server (ovpn).

Grüße
c5
 

Chromatin

Moderator
Mitarbeiter
Portknocking wäre noch ganz nice. Ansonsten gibt es da nicht viel zu tweaken, sofern du aktuelle Konfigs/Cypher nutzt.
 

citizenfive

Stammuser
hmm... kann man portknocking auf ipfire realisieren?
Das ist wohl eine gebastelte Möglichkeit, aber nur für 32bit:

Was ich in Bezug auf das VPN nicht ganz verstehe:
Ich verbinde mich ja zum provider router (in meinem Fall), dann leite ich mich weiter zu der ipfire und bin (wie ich dachte) im RED-Bereich der ipfire. Doch ich kann auf das GREEN zugreifen, also auf das interne Netzwerk (hab die Einstellung eigentlich bei den Client-Settings auf kein Zugriff gesetzt). In den Firewall rules habe ich den Zugriff für den Client nur für RED gegeben.
 

Chromatin

Moderator
Mitarbeiter
Da haste wohl irgendwas falsch gemacht.
Btw. Cool Kids benutzen ohnehin OpenBSD + pf / Authpf für FWs.
 

citizenfive

Stammuser
dann bin ich wohl nicht cool genug, aber ipfire ist imer Grunde ja ganz gut.
Das mit dem Zugriff auf Green verstehe ich echt nicht. Hab jetzt eine 10. ... IP dem Client vergeben. Der ist also nicht mal im gleichen Bereich und kann dennoch auf 192 ... zugreifen. Hä??
 

citizenfive

Stammuser
das verstehe ich wirklich nicht... wie find ich den raus, wo das VPN liegt? Denn eigentlich liegt es innerhalb des 10.x.x.x Netzwerkes und die Firewall 192.x.x.x Die Firewall lässt den Zugriff mit der Bemerkung INPUTFW zu. Und zwar unabhängig davon, ob ich entsprechende Zugriffe blocke.
 

Chromatin

Moderator
Mitarbeiter
Generell ist es so (zumindest war es früher) dass der VPN Zugang ins "Grüne" Netz geht. Deswegen siehst du vermutlich auch das rote und das grüne Netzwerk. Was die IP angeht so hat das VPN idR einen eigenes Netz.
 

citizenfive

Stammuser
hmm... aber das ist ja kontraproduktiv, wenn ein Client auf die Firewall zugreifen kann. Wenn ich eine extra Regel erstelle, bei dem ich dem Client zu Zugriff zu Firewall sperre, dann geht sie nicht.
 

Chromatin

Moderator
Mitarbeiter
Eigentlich nicht, denn genau dazu ist ein VPN ja da. Wenn du die VPN Nutzer dann noch weiter regulieren willst, musst du entweder "hinter" dem VPN filtern, oder mit Benutzern und ACLs arbeiten. Wenn du verschiedene Ressourcen auf Webservern regulieren willst, dann bietet sich OIDC an.
 
Oben