PfSense OpenVPN Bridge

Hallo zusammen,

wir haben in der Firmenzentrale ein Captive Portal für das Gastnetz auf Basis der PfSense laufen. Die Authentifizierung läuft für interne über LDAP ans AD und für externe über angelegte User in der PfSense.

Jetzt würde ich gern in einer Zweigstelle das selbe Captive portal nutzen. Dafür müsste ich aber (korrigiert mich) das Netz übers VPN Bridgen. Es gibt aber schon einen VPN Tunnel in dem die Netze ganz normal geroutet werden. Klar könnte ich in der Zweigstelle ein separates Portal aufbauen was mit den LDAP Usern auch wunderbar ginge, aber die separat angelegten wären dort dann nicht vorhanden.

Kann man das gemischt betreiben, bezogen auf ein definiertes Interface? Die Tutorials die ich finde, beziehen sich alle auf Optionen die die aktuelle PfSense garnicht mehr anbietet.

lg
Theo

Content-Key: 1437620637

Url: https://administrator.de/contentid/1437620637

Ausgedruckt am: 27.11.2021 um 19:11 Uhr

Mitglied: aqui
Lösung aqui 27.10.2021 aktualisiert um 15:20:55 Uhr
Goto Top
Nutze für die externen User nicht die lokale Datenbank sondern einen zentralen Radius Server (FreeRadius, Windows NPS usw.) Zur Not kann das auch das FreeRadius Package auf einer der pfSenses sein.
Da du aber eh ein AD hast wäre das Unsinn und der NPS kann das dann besser.
Das hat den Vorteil einer unabhängigen zentralen Userverwaltung wie du sie auch für die Internen hast und das du diese von allen Geräten unabhängig benutzen kannst wie z.B. deinen beiden Firewalls.
2tes Portal also und User über Radius.
Mit der CARP Funktion kannst du ein CP auch sharen über mehrere Firewalls aber das geht nur in einem lokalen HA Setup mit CARP und nicht an unterschiedlichen Standorten wie bei dir.
Nebenbei...
Was hintert dich die Externen auch via LDAP anzubinden ? Diese Option hättest du außer Radius ja auch
Mitglied: theoberlin
theoberlin 27.10.2021 um 15:17:48 Uhr
Goto Top
Hi aqui,

über freeradius hab ich auch schon nachgedacht. Die externen user hab ich nicht übers AD gemacht, weil ich dann meiner Meinung nach entsprechend Client Zugriffs Lizenzen bräuchte oder? Streng genommen sind dann ja dann auch Serverzugriffe. Außer die PfSense gilt dann als Device CAL.

CARP hab ich am laufen, allerdings eben Lokal. Leider kann man kein separates XMLRPC Ziel angeben und sagen "Nur User".

lg
Theo
Mitglied: aqui
aqui 27.10.2021 um 15:22:53 Uhr
Goto Top
Das müsste ein Windows Profi beantworten mit den Lizenzen....
Zumindest mit dem Radius würdest du dem aber aus dem Wege gehen, denn diese User könnte man dort auch als statische, nicht AD User angeben.
Mitglied: theoberlin
theoberlin 27.10.2021 um 15:35:27 Uhr
Goto Top
okay na ich gucke mal. Ich denke es wird auf den freeradius auf dem HACluster der PfSense hinauslaufen. Dann gebe ich den bei beiden Captive Portalen an und gut.
Sonst mus sich wieder zusehen, dass sich die Gastuser nicht am AD anmelden können usw...

lg
Theo
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement7 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Reinigung der Apple Watch gelöst honeybeeVor 19 StundenFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
HP Notebook startet nicht mehrben1300Vor 21 StundenFrageHardware5 Kommentare

Hallo zusammen, mein HP Notebook Modell 17-ca1300ng startet nicht mehr. Wenn ich den Power Knopf drücke, blinkt die LED neben der Ladebuchse 3x weiß. Jemand ...