1
Erweitertes IPsec (oder OpenVPN) Client VPN setup auf pfSense, Anregungen benötigt
Hi,
Ich will / muß mittelfristig von Sonicwall Client VPN (SMA 400 und Netextender) weg und plane es mit den vorhandenen pfSensen zu ersetzen.
folgende Anforderungen habe ich (Must have):
- Authentifizierung an AD, mehrere Subdomains (noch)
- mehrere Gruppen müssen eingerichtet werden können:
z.B. Frankreich Office user authentifiziert sich an FR.AD in der Gruppe VPN-FR-OFFICE
UK Developer authentifiziert sich an UK.AD in der Gruppe VPN-UK-DEVELOP
- jede Gruppe bekommt ihre eigenen erlaubten Zielnetze und Firewallregeln
- Jeder User darf nicht nochmal extra auf der pfSense angelegt werden.
Ob IPsec oder OpenVPN ist erstmal egal, ich bevorzuge IPsec, aber OpenVPN hat natürlich auch seinen Charme: einmal z.B. auf Port 1194/UDP und einmal auf 443/TCP laufen lassen.
Wer hat Ideen und Hinweise wie es umgestzt werden kann ?
Gruß
CH
Ich will / muß mittelfristig von Sonicwall Client VPN (SMA 400 und Netextender) weg und plane es mit den vorhandenen pfSensen zu ersetzen.
folgende Anforderungen habe ich (Must have):
- Authentifizierung an AD, mehrere Subdomains (noch)
- mehrere Gruppen müssen eingerichtet werden können:
z.B. Frankreich Office user authentifiziert sich an FR.AD in der Gruppe VPN-FR-OFFICE
UK Developer authentifiziert sich an UK.AD in der Gruppe VPN-UK-DEVELOP
- jede Gruppe bekommt ihre eigenen erlaubten Zielnetze und Firewallregeln
- Jeder User darf nicht nochmal extra auf der pfSense angelegt werden.
Ob IPsec oder OpenVPN ist erstmal egal, ich bevorzuge IPsec, aber OpenVPN hat natürlich auch seinen Charme: einmal z.B. auf Port 1194/UDP und einmal auf 443/TCP laufen lassen.
Wer hat Ideen und Hinweise wie es umgestzt werden kann ?
Gruß
CH
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 558905
Url: https://administrator.de/contentid/558905
Printed on: April 20, 2024 at 00:04 o'clock
1 Comment
VPN an sich ob IPsec oder OpenVPN auf der pfSense ja kein Problem. Die User musst du dann entweder per Radius oder LDAP an die Windows Server weiterreichen zur Authentisierung.
Radius erfordert dann einen NCP im Windows Verbund. Ggf. existiert der aber schon (WLAN, 802.1x etc.) was dann ideal wäre.
User Auth per LDAP ginge dann natürlich direkt ohne Radius.
https://techexpert.tips/de/pfsense-de/pfsense-ldap-authentifizierung-in- ...
https://docs.netgate.com/pfsense/en/latest/usermanager/ldap-troubleshoot ...
usw.
Radius erfordert dann einen NCP im Windows Verbund. Ggf. existiert der aber schon (WLAN, 802.1x etc.) was dann ideal wäre.
User Auth per LDAP ginge dann natürlich direkt ohne Radius.
https://techexpert.tips/de/pfsense-de/pfsense-ldap-authentifizierung-in- ...
https://docs.netgate.com/pfsense/en/latest/usermanager/ldap-troubleshoot ...
usw.
