A autenticação de duas alternativas (User / Pass OU Client Certificate) é possível com o Open VPN?

1

Estou configurando uma rede VPN para vários escritórios usando o OpenVPN. Este é um duplo propósito:

  1. LAN para LAN VPN, permitindo que o tráfego seja roteado sem problemas entre escritórios.
  2. Permitir que os usuários se conectem à rede quando estiverem fora do escritório.

Isso leva à necessidade de dois mecanismos de autenticação separados:

  1. Certificado de cliente para a LAN para a LAN
  2. Usuário / senha de login único (sem certificado de cliente) para os usuários.

De acordo com a documentação:

  • auth-user-pass-verify sozinho exigirá que cada usuário forneça certificado de cliente E usuário / senha
  • auth-user-pass-verify e client-cert-not-required exigirão apenas o usuário / senha

Pergunta: Como posso configurar o Open VPN para autenticar alguns clientes apenas com o certificado do cliente e outros clientes apenas com o usuário / senha?

    
por couling 06.08.2014 / 13:38

1 resposta

2

Desculpas por responder minha própria pergunta. Quanto mais eu olho para isso, mais fica claro que executar duas instâncias separadas do OpenVPN na mesma caixa é a resposta correta. Para a LAN para a LAN, planejo lidar com o roteamento usando o RIP2. Para os clientes, isso não é apropriado.

Assim, as opções serão diferentes em vários pontos:

  • O RIP é claramente algo que eu preciso proteger contra os usuários para impedir que eles abram a rede. Duas instâncias separadas do openvpn operariam em duas sub-redes internas (VPN) separadas e seriam mais fáceis de firewallar entre elas.

  • Diferentes mecanismos de autenticação, como mencionado na pergunta, significam que auth-user-pass-verify e client-cert-not-required serão usados para os usuários e não para a LAN para LAN

  • client-to-client é aceitável para usuários. Não há uma boa razão para evitar isso, pois não permite nada que não seja possível quando os mesmos usuários estiverem no escritório. No entanto, client-to-client produziria resultados estranhos com o RIP2.

  • push "redirect-gateway def1 bypass-dhcp" é apropriado e necessário para os usuários. Porque eles não fazem RIP, eles precisarão enviar tudo através do servidor VPN e permitir que ele seja roteado corretamente. Eu não posso imaginar o inferno que seria produzido habilitando isso para LAN para LAN.

por 06.08.2014 / 16:39

Tags