Erweitertes IPsec (oder OpenVPN) Client VPN setup auf pfSense, Anregungen benötigt
Hi,
Ich will / muß mittelfristig von Sonicwall Client VPN (SMA 400 und Netextender) weg und plane es mit den vorhandenen pfSensen zu ersetzen.
folgende Anforderungen habe ich (Must have):
- Authentifizierung an AD, mehrere Subdomains (noch)
- mehrere Gruppen müssen eingerichtet werden können:
z.B. Frankreich Office user authentifiziert sich an FR.AD in der Gruppe VPN-FR-OFFICE
UK Developer authentifiziert sich an UK.AD in der Gruppe VPN-UK-DEVELOP
- jede Gruppe bekommt ihre eigenen erlaubten Zielnetze und Firewallregeln
- Jeder User darf nicht nochmal extra auf der pfSense angelegt werden.
Ob IPsec oder OpenVPN ist erstmal egal, ich bevorzuge IPsec, aber OpenVPN hat natürlich auch seinen Charme: einmal z.B. auf Port 1194/UDP und einmal auf 443/TCP laufen lassen.
Wer hat Ideen und Hinweise wie es umgestzt werden kann ?
Gruß
CH
Ich will / muß mittelfristig von Sonicwall Client VPN (SMA 400 und Netextender) weg und plane es mit den vorhandenen pfSensen zu ersetzen.
folgende Anforderungen habe ich (Must have):
- Authentifizierung an AD, mehrere Subdomains (noch)
- mehrere Gruppen müssen eingerichtet werden können:
z.B. Frankreich Office user authentifiziert sich an FR.AD in der Gruppe VPN-FR-OFFICE
UK Developer authentifiziert sich an UK.AD in der Gruppe VPN-UK-DEVELOP
- jede Gruppe bekommt ihre eigenen erlaubten Zielnetze und Firewallregeln
- Jeder User darf nicht nochmal extra auf der pfSense angelegt werden.
Ob IPsec oder OpenVPN ist erstmal egal, ich bevorzuge IPsec, aber OpenVPN hat natürlich auch seinen Charme: einmal z.B. auf Port 1194/UDP und einmal auf 443/TCP laufen lassen.
Wer hat Ideen und Hinweise wie es umgestzt werden kann ?
Gruß
CH
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 558905
Url: https://administrator.de/forum/erweitertes-ipsec-oder-openvpn-client-vpn-setup-auf-pfsense-anregungen-benoetigt-558905.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
1 Kommentar
VPN an sich ob IPsec oder OpenVPN auf der pfSense ja kein Problem. Die User musst du dann entweder per Radius oder LDAP an die Windows Server weiterreichen zur Authentisierung.
Radius erfordert dann einen NCP im Windows Verbund. Ggf. existiert der aber schon (WLAN, 802.1x etc.) was dann ideal wäre.
User Auth per LDAP ginge dann natürlich direkt ohne Radius.
https://techexpert.tips/de/pfsense-de/pfsense-ldap-authentifizierung-in- ...
https://docs.netgate.com/pfsense/en/latest/usermanager/ldap-troubleshoot ...
usw.
Radius erfordert dann einen NCP im Windows Verbund. Ggf. existiert der aber schon (WLAN, 802.1x etc.) was dann ideal wäre.
User Auth per LDAP ginge dann natürlich direkt ohne Radius.
https://techexpert.tips/de/pfsense-de/pfsense-ldap-authentifizierung-in- ...
https://docs.netgate.com/pfsense/en/latest/usermanager/ldap-troubleshoot ...
usw.