pfsense beállítása gatewayként - openvpn serverrelkezdőként

FreeBSD-all

Sziasztok!

Adott egy szerver , amely tűzfal funkciót fog ellátni!

A szerverre pfsense telepítését ajánlották , mert allitolag stabil, könnyen beállítható , és széleskörűen támogatott!

A lényeg az lenne , hogy a szerverben lesz egy integrált lan , ami a netet kapja , és 3 darab lan kártya ami 3 , fizikailag különválasztott hálózatot fog kiszolgálni!

A szerveren kell futnia egy openvpn szolgáltatásnak , amihez egy erős szabályrendszernek kell tartoznia!

A szabályok a következőnek kellene lennie:

Ha a user csatlakozik openvpn-en keresztül a hálózathoz , akkor nála se legyen internet , és az openvpn hálózatban a klienseket ne tudja elérni , csak egy adott szolgáltatást , viszont amint lecsatlakozik az openvpn hálózatról , nála visszaálljon az internet kapcsolat!

Az openvpn szolgáltatásnak a legerősebb szinten kell logolnia.

Az openvpn szolgáltatáshoz , csak adott mac addressel tudjanak csatlakozni a kliensek , nem elég az , ha csak a saját kulcsukkal tudnak csatlakozni , mac cim alapján is szűrni kell a csatlakozási kérelmeket!

Hirtelen ennyi jut eszembe!

A kérdésem az lenne , hogy szerintetek ez megvalósítható-e pfsense alatt , illetve van-e valami jó tutorialotok openvpn-hez , az se baj , ha magyar:)

Üdv!

  • 3780 megtekintés

( Proci85 v | 2014. 08. 25., h – 16:54 )

Userenként egyedi kulcs/jelszó? És userenként egyedi MAC?
A net tíltás, engedélyezés megoldható iptables-szel, a MAC engedélyezés szintén.

Ha adott user csak adott MAC címmel csatlakozhat és az a MAC másik userrel nem csatlakozhat, akkor nem tudom:)

( szollosiimre | 2014. 08. 25., h – 17:01 )

A vpnt certificate segítségével illik megoldani.

A többi megy könnyen, ha ismered. Ha nem, akkor azért nem árt olvasgatni. Pfsense howtos elég jó.

( Zs | 2014. 08. 25., h – 17:51 )

Az openvpn elég jól konfigolható. Bár nincs minden opció a webes felületre kivezetve, de van egy mező, ahol az "és még a konfigba beírnám" paraméterek megadhatóak. A fontosabbja: redirect-gateway, hogy el tudd venni a netet, illetve a client-to-client kapcsoló kikapcsolása, hogy a kliensek egymást se lássák.

Viszont! Az openvpn szolgáltatás csak adott mac address-ről érhető el - ez a feltétel meglehetőst érdekesnek tűnik nekem. Ha van közvetlen csatlakozás, akkor minek a VPN? Ha nincs közvetlen csatlakozás, akkor hogy lehet mac address-t ellenőrizni? Ha a kliens 3G kapcsolaton jön be, vagy ADSl-en mezei PPPoE kapcsolatot húz, mindkét esetben egy ppp damon fog indulni és lesz egy olyan intarface hozzá, amely nem is rendelkezik mac addressel! Innen kezdve már nem csak arról szól a fáma, hogy hogyan akarujk ellenőrzini, hanem arról is, hogy igazából nincs is mit! A mac address alacsony szint, csak a közvetlen fizikai kapcsolatban lévő eszközök között értelmezett. Amikor a csomag eléri a routert, akkor az fogadja az egyik lábán, eldönti hogy merre kell továbbítani, majd ennek megfelelően kitolja valamelyik másik lábán. Ekkor a csomag tobább utazik a hálózaton - immaron a router másik lábának mac address-ével, már ha van neki olyan, mert ha ez is p-t-p kapcsolat, akkor megint bukta. Szóval ezt a feltételt vagy pontosítsuk, vagy felejtsük el.

Kitalálta a vezetőség , hogy egy szerver nagyon sokat fog fogyaztani , routing + vpn szolgáltatásra meg elég egy hardveres tűzfal , vagy egy középkategóriás cisco router :(

Mostanában nem configoltam cisco tűzfalat vagy routert , de szerintem nem igazán lehet benne normálisan konfigolható vpn szervert beállítani , logolást archiválni , illetve több hónapon át tartó stabil működést produkálni...

Vagy szerintetek esélyes , hogy egy szerver szerepét felválthatja egy cisco tűzfal / router?

Ti milyen cisco tűzfalat / routert ajánlanátok max 60 ezer forintig?

Ne csak az eszközt nézd. Pfsensenél is belekerül a vas ennyibe, plusz az ember ára, aki ért is hozzá. Ha többfaktoros authot szetetnél szintén tud lenni költségvonzat, plusz, ahogy irtam a logszerver szükséglet.

Pfsense belépő vas kb 70k. Tűzfalazni, meg vpnt meg ismeret nélkül nem építünk.

A legtöbb tűzfal legolcsóbb versenyzője nem enged ennyi különálló networkot, max trükközve ( routing, vlan subinterface ), és a belépő ár is 100 felett van.

10 usernek miért kell 3 külön környezet? DMZ?

Az emlitett igények alapján mikrotik akár jó is lehet, bár a loggolást meg kellene nézni. Cisconak is volt egy soho megoldása, ami openvpn klienst is támogatott, de ott a szeparált interface igény nem valósul meg. Draytek eszközökben ipsec gyorsítás is van, de ott sem vannak különszedve nagyon a portok, dmz talán még van. Az adott árkategória értelmes hardveres megoldásait ki is lőttük.