4
PfSense OpenVPN Bridge
Hallo zusammen,
wir haben in der Firmenzentrale ein Captive Portal für das Gastnetz auf Basis der PfSense laufen. Die Authentifizierung läuft für interne über LDAP ans AD und für externe über angelegte User in der PfSense.
Jetzt würde ich gern in einer Zweigstelle das selbe Captive portal nutzen. Dafür müsste ich aber (korrigiert mich) das Netz übers VPN Bridgen. Es gibt aber schon einen VPN Tunnel in dem die Netze ganz normal geroutet werden. Klar könnte ich in der Zweigstelle ein separates Portal aufbauen was mit den LDAP Usern auch wunderbar ginge, aber die separat angelegten wären dort dann nicht vorhanden.
Kann man das gemischt betreiben, bezogen auf ein definiertes Interface? Die Tutorials die ich finde, beziehen sich alle auf Optionen die die aktuelle PfSense garnicht mehr anbietet.
lg
Theo
wir haben in der Firmenzentrale ein Captive Portal für das Gastnetz auf Basis der PfSense laufen. Die Authentifizierung läuft für interne über LDAP ans AD und für externe über angelegte User in der PfSense.
Jetzt würde ich gern in einer Zweigstelle das selbe Captive portal nutzen. Dafür müsste ich aber (korrigiert mich) das Netz übers VPN Bridgen. Es gibt aber schon einen VPN Tunnel in dem die Netze ganz normal geroutet werden. Klar könnte ich in der Zweigstelle ein separates Portal aufbauen was mit den LDAP Usern auch wunderbar ginge, aber die separat angelegten wären dort dann nicht vorhanden.
Kann man das gemischt betreiben, bezogen auf ein definiertes Interface? Die Tutorials die ich finde, beziehen sich alle auf Optionen die die aktuelle PfSense garnicht mehr anbietet.
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1437620637
Url: https://administrator.de/contentid/1437620637
Printed on: April 25, 2024 at 15:04 o'clock
4 Comments
Latest comment
Nutze für die externen User nicht die lokale Datenbank sondern einen zentralen Radius Server (FreeRadius, Windows NPS usw.) Zur Not kann das auch das FreeRadius Package auf einer der pfSenses sein.
Da du aber eh ein AD hast wäre das Unsinn und der NPS kann das dann besser.
Das hat den Vorteil einer unabhängigen zentralen Userverwaltung wie du sie auch für die Internen hast und das du diese von allen Geräten unabhängig benutzen kannst wie z.B. deinen beiden Firewalls.
2tes Portal also und User über Radius.
Mit der CARP Funktion kannst du ein CP auch sharen über mehrere Firewalls aber das geht nur in einem lokalen HA Setup mit CARP und nicht an unterschiedlichen Standorten wie bei dir.
Nebenbei...
Was hintert dich die Externen auch via LDAP anzubinden ? Diese Option hättest du außer Radius ja auch
Da du aber eh ein AD hast wäre das Unsinn und der NPS kann das dann besser.
Das hat den Vorteil einer unabhängigen zentralen Userverwaltung wie du sie auch für die Internen hast und das du diese von allen Geräten unabhängig benutzen kannst wie z.B. deinen beiden Firewalls.
2tes Portal also und User über Radius.
Mit der CARP Funktion kannst du ein CP auch sharen über mehrere Firewalls aber das geht nur in einem lokalen HA Setup mit CARP und nicht an unterschiedlichen Standorten wie bei dir.
Nebenbei...
Was hintert dich die Externen auch via LDAP anzubinden ? Diese Option hättest du außer Radius ja auch
Hi aqui,
über freeradius hab ich auch schon nachgedacht. Die externen user hab ich nicht übers AD gemacht, weil ich dann meiner Meinung nach entsprechend Client Zugriffs Lizenzen bräuchte oder? Streng genommen sind dann ja dann auch Serverzugriffe. Außer die PfSense gilt dann als Device CAL.
CARP hab ich am laufen, allerdings eben Lokal. Leider kann man kein separates XMLRPC Ziel angeben und sagen "Nur User".
lg
Theo
über freeradius hab ich auch schon nachgedacht. Die externen user hab ich nicht übers AD gemacht, weil ich dann meiner Meinung nach entsprechend Client Zugriffs Lizenzen bräuchte oder? Streng genommen sind dann ja dann auch Serverzugriffe. Außer die PfSense gilt dann als Device CAL.
CARP hab ich am laufen, allerdings eben Lokal. Leider kann man kein separates XMLRPC Ziel angeben und sagen "Nur User".
lg
Theo
Das müsste ein Windows Profi beantworten mit den Lizenzen....
Zumindest mit dem Radius würdest du dem aber aus dem Wege gehen, denn diese User könnte man dort auch als statische, nicht AD User angeben.
Zumindest mit dem Radius würdest du dem aber aus dem Wege gehen, denn diese User könnte man dort auch als statische, nicht AD User angeben.
okay na ich gucke mal. Ich denke es wird auf den freeradius auf dem HACluster der PfSense hinauslaufen. Dann gebe ich den bei beiden Captive Portalen an und gut.
Sonst mus sich wieder zusehen, dass sich die Gastuser nicht am AD anmelden können usw...
lg
Theo
Sonst mus sich wieder zusehen, dass sich die Gastuser nicht am AD anmelden können usw...
lg
Theo
