Pfsense - AD og Radius user authentication

Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Tengdur

Pfsense - AD og Radius user authentication

Pósturaf Hjaltiatla » Sun 20. Maí 2018 15:42

Sælir/Sælar

Var að pæla hvort einhverjir hérna inni hafi góða reynslu af því að setja upp Radius server á Móti Open vpn á Pfsense til að geta nýtt AD database til að authenticate-a sig inná VPN net.
https://doc.pfsense.org/index.php/OpenVPN_with_RADIUS_via_Active_Directory

Sjálfur er ég t.d með Open-vpn sett upp heima og nota local database á Pfsense og það virkar fínt í það sem ég geri.
Er aðallega að hugsa hvort þetta sé stabílt og brotni ekki ef maður myndi ákveða að setja þetta upp á netkerfi fyrir 20-30 vpn notendur.


Just do IT
  √

Skjámynd

ponzer
Kerfisstjóri
Póstar: 1270
Skráði sig: Þri 07. Sep 2004 18:18
Reputation: 13
Staðsetning: Router(config)#
Staða: Ótengdur

Re: Pfsense - AD og Radius user authentication

Pósturaf ponzer » Mán 21. Maí 2018 00:14

Ég hef keyrt radius þjónustu fyrir auðkenningu á openvpn fyrir pfsense í rúm 4 ár án vandræða, þjónustan er reyndar ekki á móti AD.


Specs: Tölva, skjár, lyklaborð, mús og internet.

Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Tengdur

Re: Pfsense - AD og Radius user authentication

Pósturaf Hjaltiatla » Mán 21. Maí 2018 00:23

ponzer skrifaði:Ég hef keyrt radius þjónustu fyrir auðkenningu á openvpn fyrir pfsense í rúm 4 ár án vandræða, þjónustan er reyndar ekki á móti AD.

Ok gott að vita. Hef verið að pæla í því hvort það henti betur að vera með tvo credentials til að auðkenna sig inná VPN og inná vélar/servera.
þyrfti þá að hafa sér AD vpn notendur og sér Windows AD domain notendur (öryggisins vegna) og að sjálfsögðu þarf að installa certificate samhliða open vpn client í þessari uppsetningu. RSA token og sms gateway eru held ég ekki inní myndinni (budgetið basicly).


Hardware: Supermicro C2758 ,128 gb ssd
Network connection: 1 Gbit fiber optic
Pfsense version: 2.4.2

Komst að því að í útgáfu 2.5 af Pfsense þarf cpu að styðja AES-NI og ég slepp með þetta setup í vinnuni en ekki heima.
Þarf líklega að keyra Opensense á routernum heima eða keyra gamalt version af pfsense:(
https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html


Just do IT
  √

Skjámynd

ponzer
Kerfisstjóri
Póstar: 1270
Skráði sig: Þri 07. Sep 2004 18:18
Reputation: 13
Staðsetning: Router(config)#
Staða: Ótengdur

Re: Pfsense - AD og Radius user authentication

Pósturaf ponzer » Mán 21. Maí 2018 00:28

Þú verður að vera með 2FA fyrir VPN að mínu mati - annað er bara að bjóða hættunni heim. Skoðaðu að nota FreeRadius og koma því saman við Google Authenticator, þá ertu kominn með 2FA token setup sem er frítt og mun öruggara heldur en statísk AD lykilorð og þú þarft ekki að reka tvö AD.


Specs: Tölva, skjár, lyklaborð, mús og internet.

Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Tengdur

Re: Pfsense - AD og Radius user authentication

Pósturaf Hjaltiatla » Mán 21. Maí 2018 00:29

ponzer skrifaði:Þú verður að vera með 2FA fyrir VPN að mínu mati - annað er bara að bjóða hættunni heim. Skoðaðu að nota FreeRadius og koma því saman við Google Authenticator, þá ertu kominn með 2FA token setup sem er frítt og mun öruggara heldur en statísk AD lykilorð og þú þarft ekki að reka tvö AD.


Skoða þetta, takk fyrir.


Just do IT
  √