Sælir/Sælar
Var að pæla hvort einhverjir hérna inni hafi góða reynslu af því að setja upp Radius server á Móti Open vpn á Pfsense til að geta nýtt AD database til að authenticate-a sig inná VPN net.
https://doc.pfsense.org/index.php/OpenVPN_with_RADIUS_via_Active_Directory
Sjálfur er ég t.d með Open-vpn sett upp heima og nota local database á Pfsense og það virkar fínt í það sem ég geri.
Er aðallega að hugsa hvort þetta sé stabílt og brotni ekki ef maður myndi ákveða að setja þetta upp á netkerfi fyrir 20-30 vpn notendur.
Pfsense - AD og Radius user authentication
-
Hjaltiatla
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
-
ponzer
- Kerfisstjóri
- Póstar: 1270
- Skráði sig: Þri 07. Sep 2004 18:18
- Reputation: 13
- Staðsetning: Router(config)#
- Staða: Ótengdur
Re: Pfsense - AD og Radius user authentication
Ég hef keyrt radius þjónustu fyrir auðkenningu á openvpn fyrir pfsense í rúm 4 ár án vandræða, þjónustan er reyndar ekki á móti AD.
Specs: Tölva, skjár, lyklaborð, mús og internet.
-
Hjaltiatla
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: Pfsense - AD og Radius user authentication
ponzer skrifaði:Ég hef keyrt radius þjónustu fyrir auðkenningu á openvpn fyrir pfsense í rúm 4 ár án vandræða, þjónustan er reyndar ekki á móti AD.
Ok gott að vita. Hef verið að pæla í því hvort það henti betur að vera með tvo credentials til að auðkenna sig inná VPN og inná vélar/servera.
þyrfti þá að hafa sér AD vpn notendur og sér Windows AD domain notendur (öryggisins vegna) og að sjálfsögðu þarf að installa certificate samhliða open vpn client í þessari uppsetningu. RSA token og sms gateway eru held ég ekki inní myndinni (budgetið basicly).
Hardware: Supermicro C2758 ,128 gb ssd
Network connection: 1 Gbit fiber optic
Pfsense version: 2.4.2
Komst að því að í útgáfu 2.5 af Pfsense þarf cpu að styðja AES-NI og ég slepp með þetta setup í vinnuni en ekki heima.
Þarf líklega að keyra Opensense á routernum heima eða keyra gamalt version af pfsense:(
https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html
Just do IT
√
√
-
ponzer
- Kerfisstjóri
- Póstar: 1270
- Skráði sig: Þri 07. Sep 2004 18:18
- Reputation: 13
- Staðsetning: Router(config)#
- Staða: Ótengdur
Re: Pfsense - AD og Radius user authentication
Þú verður að vera með 2FA fyrir VPN að mínu mati - annað er bara að bjóða hættunni heim. Skoðaðu að nota FreeRadius og koma því saman við Google Authenticator, þá ertu kominn með 2FA token setup sem er frítt og mun öruggara heldur en statísk AD lykilorð og þú þarft ekki að reka tvö AD.
Specs: Tölva, skjár, lyklaborð, mús og internet.
-
Hjaltiatla
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: Pfsense - AD og Radius user authentication
ponzer skrifaði:Þú verður að vera með 2FA fyrir VPN að mínu mati - annað er bara að bjóða hættunni heim. Skoðaðu að nota FreeRadius og koma því saman við Google Authenticator, þá ertu kominn með 2FA token setup sem er frítt og mun öruggara heldur en statísk AD lykilorð og þú þarft ekki að reka tvö AD.
Skoða þetta, takk fyrir.
Just do IT
√
√