rickstinson
Goto Top

VPN Server mit MFA gesucht

Hallo,

ich bin auf der Suche nach einen VPN Server, für die Anbindung von Desktop und mobilen Clients.
Die üblichen Verdächtigen kenn ich eh (OpenVPN, Wireguard, etc), allerdings habe ich eine gewisse Wunschliste, die ich gerne erfüllt hätte, bin aber mit googlen nicht weiterkommen.

0.) Am liebsten als virtuelle Appliance, notfalls halt als Blech.
1.) Den MFA Code sollte man nicht einfach hinter dem Passwort dranhängen, sondern in eigenen Feld eingegeben werden müssen (unsere User checken das sonst überhaupt nicht)
2.) Nach MFA Eingabe, sollte der User zumindest x Tage nicht mehr nach MFA auf dem Gerät gefragt werden (hatte ich mal bei einen Kunden mit Kerio gesehen, finde ich bei bestimmten Setups praktisch)
3.) Port 443 TCP sollte als VPN Port möglich sein (damit fällt Wireguard flach)
4.) Android/IOS App die eben MFA auch mit den Features von 1.) + 2.)

Jemand eine Idee dazu?

LG Patrick

Content-ID: 83274991214

Url: https://administrator.de/forum/vpn-server-mit-mfa-gesucht-83274991214.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

tagol01
tagol01 03.06.2024 um 13:11:48 Uhr
Goto Top
Hallo,

ich setzte das mit OpenVPN um...

Außer Punkt 0 - logischerweise eine eigene Installation
SupportAssist
SupportAssist 03.06.2024 um 13:16:02 Uhr
Goto Top
Ich mache dies auch mit openVPN auf einem Debian Linux-System. Es gibt eine sehr gute MFA TOTD-Anleitung in der openVPN community. Läuft perfekt.
Celiko
Celiko 03.06.2024 um 13:31:35 Uhr
Goto Top
Moin,

kann nichts zu Punkt 4 sagen aber wir nutzen den Always On VPN von Richard Hicks.
Mit dem Radius Add-On für MFA kann auch MFA implementiert werden.
Läuft alles auf Windows
rickstinson
rickstinson 03.06.2024 um 15:01:32 Uhr
Goto Top
Aber muss ich da nicht wieder den Code der Authenticator App im OpenVPN Connect Client hinter den Passwort drangeben, oder verstehe ich das falsch?
aqui
aqui 03.06.2024 aktualisiert um 15:56:09 Uhr
Goto Top
Die üblichen Verdächtigen kenn ich eh
Wirklich?? Dann hättest du sicher keine VPN Protokolle genannt die das Frickeln mit externer VPN Client Software erzwingen. Schon gar nicht das nur Singlethreading fähige OVPN mit seiner miesen Performance und Skalierbarkeit.

Deutlich sinnvoller wäre ein Server oder Firewall / Router der dir die in jedem Betriebssystem und Endgerät embeddeten VPN Clients problemlos supportet, also IKEv2 oder L2TP. Die haben eine deutlich bessere Integration und MFA Möglichkeiten und sind durch Server Authentisierung wie bei IKEv2 auch sicherer.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik realisieren

Alle supporten MFA mit der Kombination eines Radius Servers (z.B. Freeradius) und (kostenfreie) MFA Services wie z.B. DUO
https://duo.com/de/duo-overview
https://duo.com/docs/radius
rickstinson
rickstinson 03.06.2024 um 21:14:49 Uhr
Goto Top
IPSec finde ich für Site2Site Verbindungen gut und performant, aber ... wenn die Clients teils von Hotels, Konferenzen, udgl sich verbinden wollen, hast oft nur Port 443 / TCP zur Verfügung. Und da steigst mit IPSec Lösung halt komplett auf.

Ich muss mich damit technisch nach den User Realitäten strecken...
beck2oldschool
beck2oldschool 04.06.2024 um 16:16:58 Uhr
Goto Top
Bei mir macht ne Sophos XG die VPN Verbindung. Intern habe ich dann für MFA Opentext (vormals NetIQ) Advanced Authentication. Letzteres wird als Radius Server in der Sophos eingetragen und macht dann MFA. D.h. wählt man sich z.B. über VPN ein, gibt seinen Benutzernamen und sein Kennwort ein, kommt eine Push Nachricht auf dem Smartphone als zweiter Faktor. Klickt man "Akzeptieren" wird man ins VPN gelassen.
Bei Punkt 3.) bin ich mir gerade nicht sicher. Aber alles andere ist kein Problem.
rickstinson
rickstinson 04.06.2024 um 17:09:34 Uhr
Goto Top
Das mit der Push-Nachricht finde ich eine sehr gute Option!
rickstinson
rickstinson 06.06.2024 um 11:52:54 Uhr
Goto Top
Ich werde mir mal das ansehen: https://www.privacyidea.org/

Da gibts auch ne App und in der aktuellen Beta wird wohl auch Push unterstützt.