9
VPN Server mit MFA gesucht
Hallo,
ich bin auf der Suche nach einen VPN Server, für die Anbindung von Desktop und mobilen Clients.
Die üblichen Verdächtigen kenn ich eh (OpenVPN, Wireguard, etc), allerdings habe ich eine gewisse Wunschliste, die ich gerne erfüllt hätte, bin aber mit googlen nicht weiterkommen.
0.) Am liebsten als virtuelle Appliance, notfalls halt als Blech.
1.) Den MFA Code sollte man nicht einfach hinter dem Passwort dranhängen, sondern in eigenen Feld eingegeben werden müssen (unsere User checken das sonst überhaupt nicht)
2.) Nach MFA Eingabe, sollte der User zumindest x Tage nicht mehr nach MFA auf dem Gerät gefragt werden (hatte ich mal bei einen Kunden mit Kerio gesehen, finde ich bei bestimmten Setups praktisch)
3.) Port 443 TCP sollte als VPN Port möglich sein (damit fällt Wireguard flach)
4.) Android/IOS App die eben MFA auch mit den Features von 1.) + 2.)
Jemand eine Idee dazu?
LG Patrick
ich bin auf der Suche nach einen VPN Server, für die Anbindung von Desktop und mobilen Clients.
Die üblichen Verdächtigen kenn ich eh (OpenVPN, Wireguard, etc), allerdings habe ich eine gewisse Wunschliste, die ich gerne erfüllt hätte, bin aber mit googlen nicht weiterkommen.
0.) Am liebsten als virtuelle Appliance, notfalls halt als Blech.
1.) Den MFA Code sollte man nicht einfach hinter dem Passwort dranhängen, sondern in eigenen Feld eingegeben werden müssen (unsere User checken das sonst überhaupt nicht)
2.) Nach MFA Eingabe, sollte der User zumindest x Tage nicht mehr nach MFA auf dem Gerät gefragt werden (hatte ich mal bei einen Kunden mit Kerio gesehen, finde ich bei bestimmten Setups praktisch)
3.) Port 443 TCP sollte als VPN Port möglich sein (damit fällt Wireguard flach)
4.) Android/IOS App die eben MFA auch mit den Features von 1.) + 2.)
Jemand eine Idee dazu?
LG Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83274991214
Url: https://administrator.de/contentid/83274991214
Printed on: June 20, 2024 at 12:06 o'clock
9 Comments
Latest comment
Hallo,
ich setzte das mit OpenVPN um...
Außer Punkt 0 - logischerweise eine eigene Installation
ich setzte das mit OpenVPN um...
Außer Punkt 0 - logischerweise eine eigene Installation
Ich mache dies auch mit openVPN auf einem Debian Linux-System. Es gibt eine sehr gute MFA TOTD-Anleitung in der openVPN community. Läuft perfekt.
Moin,
kann nichts zu Punkt 4 sagen aber wir nutzen den Always On VPN von Richard Hicks.
Mit dem Radius Add-On für MFA kann auch MFA implementiert werden.
Läuft alles auf Windows
kann nichts zu Punkt 4 sagen aber wir nutzen den Always On VPN von Richard Hicks.
Mit dem Radius Add-On für MFA kann auch MFA implementiert werden.
Läuft alles auf Windows
Aber muss ich da nicht wieder den Code der Authenticator App im OpenVPN Connect Client hinter den Passwort drangeben, oder verstehe ich das falsch?
Die üblichen Verdächtigen kenn ich eh
Wirklich?? Dann hättest du sicher keine VPN Protokolle genannt die das Frickeln mit externer VPN Client Software erzwingen. Schon gar nicht das nur Singlethreading fähige OVPN mit seiner miesen Performance und Skalierbarkeit.Deutlich sinnvoller wäre ein Server oder Firewall / Router der dir die in jedem Betriebssystem und Endgerät embeddeten VPN Clients problemlos supportet, also IKEv2 oder L2TP. Die haben eine deutlich bessere Integration und MFA Möglichkeiten und sind durch Server Authentisierung wie bei IKEv2 auch sicherer.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik realisieren
Alle supporten MFA mit der Kombination eines Radius Servers (z.B. Freeradius) und (kostenfreie) MFA Services wie z.B. DUO
https://duo.com/de/duo-overview
https://duo.com/docs/radius
IPSec finde ich für Site2Site Verbindungen gut und performant, aber ... wenn die Clients teils von Hotels, Konferenzen, udgl sich verbinden wollen, hast oft nur Port 443 / TCP zur Verfügung. Und da steigst mit IPSec Lösung halt komplett auf.
Ich muss mich damit technisch nach den User Realitäten strecken...
Ich muss mich damit technisch nach den User Realitäten strecken...
Bei mir macht ne Sophos XG die VPN Verbindung. Intern habe ich dann für MFA Opentext (vormals NetIQ) Advanced Authentication. Letzteres wird als Radius Server in der Sophos eingetragen und macht dann MFA. D.h. wählt man sich z.B. über VPN ein, gibt seinen Benutzernamen und sein Kennwort ein, kommt eine Push Nachricht auf dem Smartphone als zweiter Faktor. Klickt man "Akzeptieren" wird man ins VPN gelassen.
Bei Punkt 3.) bin ich mir gerade nicht sicher. Aber alles andere ist kein Problem.
Bei Punkt 3.) bin ich mir gerade nicht sicher. Aber alles andere ist kein Problem.
2
Das mit der Push-Nachricht finde ich eine sehr gute Option!
Ich werde mir mal das ansehen: https://www.privacyidea.org/
Da gibts auch ne App und in der aktuellen Beta wird wohl auch Push unterstützt.
Da gibts auch ne App und in der aktuellen Beta wird wohl auch Push unterstützt.