Dies ist der letzte Teil meiner vierteiligen Reihe zum Thema VPN mit der pfSense®.
In diesem Teil geht es darum, mehrere Tunnel parallel zu betreiben und die Ausgänge damit auch auf die Länder zu verteilen.
Das ist ein Zusatz zum zweiten und dritten Teil!
Dies ist der zweite Teil meiner vierteiligen Reihe zum Thema VPN mit der pfSense®.
In diesem Teil geht es darum, nur einen bestimmten Rechner oder Port über das VPN zu schicken.
Es gibt da draußen ein Vielzahl an VPN Anbietern, die es einem erlauben den lokalen Internetverkehr erstmal durch einen VPN Tunnel in z.B. in ein anderes Land zu schicken um eine andere IP Adresse zu nutzen. Dafür gibt es verschiedenste private und berufliche Gründe; ihr habt da sicherlich den ein oder anderen Anwendungsfall im Hinterkopf.
Ich brauche es um GEO Blocker, VPN Zugriffe und Standortvernetzungen reel vorab testen oder Problemlösungen nachgehen zu können.
Wenn man das Tunneln ernst nimmt, ist unbedingt darauf […]
Der OpenVPN Server der pfSense® vergibt IP Adressen an die verbundenen Benutzer per Zufall. Wenn nun aber Firewall Regeln auf dem OpenVPN Interface Zugriffe pro Benutzer greifen sollen, dann benötigen wir eine feste Zuweisung von IP und Benutzer.
Also z.B. Benutzer A darf auf alles zugreifen, aber nicht auf die Firewall.
Ups, jetzt ist es passiert. Zentral wird schön alles blockiert, aber es gibt natürlich auch Ausnahmen die dennoch funktionieren sollen oder unberechtigterweise blockiert wurden. Das ist aber kein Problem, dafür legen wir eine Whitelist an!
Es gibt ein sehr schönes Projekt namens PiHole, welches durch einen eigenen DNS Server im Netz Werbung, Trojanerseiten, etc. elegant ausfiltert. Wer aber schon eine pfSense® sein eigen nennt (hier wird beschreiben wie sie installiert wird), kann dies auch mit dieser und sogar noch ein bischen mehr ebenfalls bewerkstelligen und benötigt keine weitere zusätzliche Hardware.
Angenehmer Nebeneffekt: Das Surfen bzw. der Seitenaufbau wird nicht nur sicherer, sondern auch deutlich schneller.
Ein alte Fritzbox und weitläufige Praxisräume passen nicht mehr ganz zu einem modernen Anspruch was die Erreichbarkeit und Flexibilität betrifft. Das damit auch noch weitere Annehmlichkeiten zum Vorschein kommen, wie browsergestützte Telefonie, virtuelle Faxe oder Anrufbeantworternachrichten per Email sind heutzutage einfach Standard und wer es einmal genossen hat, möchte auch nichts anderes mehr.
Heute kam es zu einem Problem, das eine Cisco Meraki sich nicht über eine pfSense® zu dem entfernten VPN verbinden konnte. Die Lösung ist einfach aber nicht sehr naheliegend. Das VPN, was von der Meraki aufgebaut wird, benötigt eine sogenanntes statisches Outbound NAT. Das heißt, das die ausgehenden Ports nicht von der pfSense Firewall auf dem Weg ins Internet verändert werden dürfen.
Die embedded Boards von APU sind klein, ausreichend schnell, sehr stromsparend und ohne Lüfter oder andere bewegliche Teile. Also perfekt geeignet um z.B. eine Telefonanlage oder Heimautomatisierung (z.b. mit Home Assistant) bereitzustellen, die ja dauerhaft laufen muss. Das haben wir für Debian z.B. schon einmal hier beschrieben.
Eine andere perfekte Anwendung ist der Betrieb als professionelle Firewall, da 3 LAN Schnittstellen zur Verfügung stehen.
