OpenVPN с сертификатами стороннего УЦ
-
Всем доброго.
В организации есть AD, поднят CA. Есть 2 канала связи с провайдерами, шлюзом стоит pfSense 2.0.1 с 4 интерфейсами. Два смотрят к провайдерами, один предполагается использовать для связи с удалённым офисом. Настроена failower балансировка.
Требуется наладить следующую схему:
1. Соединение VPN поднимается только при наличии у клиента сертификата, выданного местным CA.
2. Авторизация с доменными учётными данными.
3. Желательно, в зависимости от области действия сертификата направлять в различные внутренние сети.кратенько так:
WAN - провайдер1
LAN - 192.168.1.1 ->192.168.1.0/24
OPT1 - провайдер2
OPT2 - 192.168.2.2 <-> 192.168.2.0/24(VLAN провайдера) <-> 192.168.2.1(Шлюз) <-> 192.168.3.0/24 (удалённый офис)На интерфейс OPT2 два выведен VLAN до удалённого офиса (VLAN организует провайдер).
Неплохо было бы и его зашифровать.
Кроме того в сети 192.168.2.0 есть несколько серверов, типа DMZ - не совсем нашей организации, но и не совсем чужие.В итоге, как я представляю, надо:
- Уговорить шлюз доверять CA в сети 192.168.1.1
- Запросить шлюзу сертификат в этом CA. Приложить его к нужному месту.
- Организовать особо доверенным пользователям доступ в сеть 192.168.1.1 по сертификату и доменному логину-паролю.
- Организовать доступ к серверам в DMZ только личностям, получившим у нас сертификат, и тем, кому они этот сертификат слили. Дальше сети 192.168.2.0 они выбраться не должны. (Это можно грамотно правилами разграничить).
- настроить постоянное шифрованное соединение с удалённым офисом.
Решения на базе роутеров с поддержкой VLAN не предлагать - бюджетом не предусмотрено :) Есть практически неограниченное количество неуправляемых свитчей и машинка с pfSense в качестве мозга к этому.
Как-то лаконично и понятно сформулировать задачи не получается, хотя по отдельности все они выглядят вполне решабельными. Главное, чтоб взаимоисключающих не оказалось.
Рассматриваются варианты с PPTP соединениями для хостов в "DMZ", но опять-таки - на них никаких серверных или клиентских прикладушек установить нельзя. Чёрные ящики с известным IP.
-
Так, сразу всё выглядит пугающе.
Будем выкладывать по частям.
Я пользуюсь вот этим мануалом
http://forum.pfsense.org/index.php/topic,7840.0.html
и, потом собираюсь как следует вдумчиво раскурить вот это
http://forum.pfsense.org/index.php/topic,14946.0.html
Но! Везде используется самонарисованный сертификат. Пока я не могу добиться от CA, чтоб он выдал мне сертификат, приемлемый для использования сервером. Все доки от M$, которые я нашёл в лучшем случае подходят для IIS.
Так что я отправляюсь искать инфу про центр сертификации windows, и буду очень благодарен, если кто-нибудь из уже собиравших эти грабли хотя бы ткнёт носом в нужный мануал.