theoberlin
Goto Top

PfSense OpenVPN Bridge

Hallo zusammen,

wir haben in der Firmenzentrale ein Captive Portal für das Gastnetz auf Basis der PfSense laufen. Die Authentifizierung läuft für interne über LDAP ans AD und für externe über angelegte User in der PfSense.

Jetzt würde ich gern in einer Zweigstelle das selbe Captive portal nutzen. Dafür müsste ich aber (korrigiert mich) das Netz übers VPN Bridgen. Es gibt aber schon einen VPN Tunnel in dem die Netze ganz normal geroutet werden. Klar könnte ich in der Zweigstelle ein separates Portal aufbauen was mit den LDAP Usern auch wunderbar ginge, aber die separat angelegten wären dort dann nicht vorhanden.

Kann man das gemischt betreiben, bezogen auf ein definiertes Interface? Die Tutorials die ich finde, beziehen sich alle auf Optionen die die aktuelle PfSense garnicht mehr anbietet.

lg
Theo

Content-ID: 1437620637

Url: https://administrator.de/forum/pfsense-openvpn-bridge-1437620637.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

aqui
Lösung aqui 27.10.2021 aktualisiert um 15:20:55 Uhr
Goto Top
Nutze für die externen User nicht die lokale Datenbank sondern einen zentralen Radius Server (FreeRadius, Windows NPS usw.) Zur Not kann das auch das FreeRadius Package auf einer der pfSenses sein.
Da du aber eh ein AD hast wäre das Unsinn und der NPS kann das dann besser.
Das hat den Vorteil einer unabhängigen zentralen Userverwaltung wie du sie auch für die Internen hast und das du diese von allen Geräten unabhängig benutzen kannst wie z.B. deinen beiden Firewalls.
2tes Portal also und User über Radius.
Mit der CARP Funktion kannst du ein CP auch sharen über mehrere Firewalls aber das geht nur in einem lokalen HA Setup mit CARP und nicht an unterschiedlichen Standorten wie bei dir.
Nebenbei...
Was hintert dich die Externen auch via LDAP anzubinden ? Diese Option hättest du außer Radius ja auch
theoberlin
theoberlin 27.10.2021 um 15:17:48 Uhr
Goto Top
Hi aqui,

über freeradius hab ich auch schon nachgedacht. Die externen user hab ich nicht übers AD gemacht, weil ich dann meiner Meinung nach entsprechend Client Zugriffs Lizenzen bräuchte oder? Streng genommen sind dann ja dann auch Serverzugriffe. Außer die PfSense gilt dann als Device CAL.

CARP hab ich am laufen, allerdings eben Lokal. Leider kann man kein separates XMLRPC Ziel angeben und sagen "Nur User".

lg
Theo
aqui
aqui 27.10.2021 um 15:22:53 Uhr
Goto Top
Das müsste ein Windows Profi beantworten mit den Lizenzen....
Zumindest mit dem Radius würdest du dem aber aus dem Wege gehen, denn diese User könnte man dort auch als statische, nicht AD User angeben.
theoberlin
theoberlin 27.10.2021 um 15:35:27 Uhr
Goto Top
okay na ich gucke mal. Ich denke es wird auf den freeradius auf dem HACluster der PfSense hinauslaufen. Dann gebe ich den bei beiden Captive Portalen an und gut.
Sonst mus sich wieder zusehen, dass sich die Gastuser nicht am AD anmelden können usw...

lg
Theo