spjallid.is

Tölvu og tækniáhuga samfélagið.
https://spjall.vaktin.is/

Pfsense - AD og Radius user authentication

https://spjall.vaktin.is/viewtopic.php?f=15&t=76336

Síða 1 af 1

Pfsense - AD og Radius user authentication

Sent: Sun 20. Maí 2018 15:42
af Hjaltiatla
Sælir/Sælar

Var að pæla hvort einhverjir hérna inni hafi góða reynslu af því að setja upp Radius server á Móti Open vpn á Pfsense til að geta nýtt AD database til að authenticate-a sig inná VPN net.
https://doc.pfsense.org/index.php/OpenVPN_with_RADIUS_via_Active_Directory

Sjálfur er ég t.d með Open-vpn sett upp heima og nota local database á Pfsense og það virkar fínt í það sem ég geri.
Er aðallega að hugsa hvort þetta sé stabílt og brotni ekki ef maður myndi ákveða að setja þetta upp á netkerfi fyrir 20-30 vpn notendur.

Re: Pfsense - AD og Radius user authentication

Sent: Mán 21. Maí 2018 00:14
af ponzer
Ég hef keyrt radius þjónustu fyrir auðkenningu á openvpn fyrir pfsense í rúm 4 ár án vandræða, þjónustan er reyndar ekki á móti AD.

Re: Pfsense - AD og Radius user authentication

Sent: Mán 21. Maí 2018 00:23
af Hjaltiatla
ponzer skrifaði:Ég hef keyrt radius þjónustu fyrir auðkenningu á openvpn fyrir pfsense í rúm 4 ár án vandræða, þjónustan er reyndar ekki á móti AD.

Ok gott að vita. Hef verið að pæla í því hvort það henti betur að vera með tvo credentials til að auðkenna sig inná VPN og inná vélar/servera.
þyrfti þá að hafa sér AD vpn notendur og sér Windows AD domain notendur (öryggisins vegna) og að sjálfsögðu þarf að installa certificate samhliða open vpn client í þessari uppsetningu. RSA token og sms gateway eru held ég ekki inní myndinni (budgetið basicly).


Hardware: Supermicro C2758 ,128 gb ssd
Network connection: 1 Gbit fiber optic
Pfsense version: 2.4.2

Komst að því að í útgáfu 2.5 af Pfsense þarf cpu að styðja AES-NI og ég slepp með þetta setup í vinnuni en ekki heima.
Þarf líklega að keyra Opensense á routernum heima eða keyra gamalt version af pfsense:(
https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html

Re: Pfsense - AD og Radius user authentication

Sent: Mán 21. Maí 2018 00:28
af ponzer
Þú verður að vera með 2FA fyrir VPN að mínu mati - annað er bara að bjóða hættunni heim. Skoðaðu að nota FreeRadius og koma því saman við Google Authenticator, þá ertu kominn með 2FA token setup sem er frítt og mun öruggara heldur en statísk AD lykilorð og þú þarft ekki að reka tvö AD.

Re: Pfsense - AD og Radius user authentication

Sent: Mán 21. Maí 2018 00:29
af Hjaltiatla
ponzer skrifaði:Þú verður að vera með 2FA fyrir VPN að mínu mati - annað er bara að bjóða hættunni heim. Skoðaðu að nota FreeRadius og koma því saman við Google Authenticator, þá ertu kominn með 2FA token setup sem er frítt og mun öruggara heldur en statísk AD lykilorð og þú þarft ekki að reka tvö AD.


Skoða þetta, takk fyrir.
Tímasetningar eru stilltar á UTC
Síða 1 af 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/