A autenticação de duas alternativas (User / Pass OU Client Certificate) é possível com o Open VPN?

Question

A autenticação de duas alternativas (User / Pass OU Client Certificate) é possível com o Open VPN?

Navegue suas respostas

#1 resposta do (2 votos)

1

Estou configurando uma rede VPN para vários escritórios usando o OpenVPN. Este é um duplo propósito:

LAN para LAN VPN, permitindo que o tráfego seja roteado sem problemas entre escritórios.
Permitir que os usuários se conectem à rede quando estiverem fora do escritório.

Isso leva à necessidade de dois mecanismos de autenticação separados:

Certificado de cliente para a LAN para a LAN
Usuário / senha de login único (sem certificado de cliente) para os usuários.

De acordo com a documentação:

auth-user-pass-verify sozinho exigirá que cada usuário forneça certificado de cliente E usuário / senha
auth-user-pass-verify e client-cert-not-required exigirão apenas o usuário / senha

Pergunta: Como posso configurar o Open VPN para autenticar alguns clientes apenas com o certificado do cliente e outros clientes apenas com o usuário / senha?

openvpn

por couling 06.08.2014 / 13:38

1 resposta

Tags openvpn

Excluindo perfis de usuário em uma máquina remota do windows 7? PHPMyAdmin página em branco, mas a origem HTML está presente

score 2 · Accepted Answer

Desculpas por responder minha própria pergunta. Quanto mais eu olho para isso, mais fica claro que executar duas instâncias separadas do OpenVPN na mesma caixa é a resposta correta. Para a LAN para a LAN, planejo lidar com o roteamento usando o RIP2. Para os clientes, isso não é apropriado.

Assim, as opções serão diferentes em vários pontos:

O RIP é claramente algo que eu preciso proteger contra os usuários para impedir que eles abram a rede. Duas instâncias separadas do openvpn operariam em duas sub-redes internas (VPN) separadas e seriam mais fáceis de firewallar entre elas.
Diferentes mecanismos de autenticação, como mencionado na pergunta, significam que auth-user-pass-verify e client-cert-not-required serão usados para os usuários e não para a LAN para LAN
client-to-client é aceitável para usuários. Não há uma boa razão para evitar isso, pois não permite nada que não seja possível quando os mesmos usuários estiverem no escritório. No entanto, client-to-client produziria resultados estranhos com o RIP2.
push "redirect-gateway def1 bypass-dhcp" é apropriado e necessário para os usuários. Porque eles não fazem RIP, eles precisarão enviar tudo através do servidor VPN e permitir que ele seja roteado corretamente. Eu não posso imaginar o inferno que seria produzido habilitando isso para LAN para LAN.