Quel client OpenVPN Windows ?
-
Attention un peu hors sujet pfSense !
Contexte : milieu pro (groupe), expertise de l'admin : bonne, objectif production
Besoin : Les firewall des différents sites du groupe doivent fournir un accès VPN à chaque site.
Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.
Le client 'classique' inclut dans la version communautaire est 'OpenVPN Gui' et il nécessite d'être administrateur.
Or je ne veux plus avoir d'utilisateur administrateur local !Schéma : Classique : WAN <-> pfsense <-> DMZ + LAN
WAN : typiquement un accès fibre
LAN : typiquement une zone 'SERVEUR' (seule accédée en VPN), plus une zone 'DMZ', plus quelques LAN et un WIFI (GUEST)
DMZ : oui mais non visé
WIFI : oui mais non visé
Autres interfaces : oui mais non visé (rôles variés : ToIP, Atelier, …)
Règles NAT : non concerné
Règles Firewall : à établir … : alias NetVPN -> NetSERVEUR
Packages ajoutés : Test infructueux de 'ClientExport', donc génération directe des fichiers de conf du client (user par user)
Question : déduit du besoin : quels clients OpenVPN pour Windows utilisez vous ? Et arrivez vous à fonctionner en non admin ?
Pistes imaginées : J'ai testé
- OpenVPN Gui (inclus dans communautaire) : semble limité à un tunnel VPN, donc inadapté.
- OpenVPN MI Gui : nécessite de modifier les fichiers de conf d'origine, pas testé complétement.
- Secure Point SSL Client : sait importer un .ovpn, fonctionne (en admin), pas encore testé en non admin.
Recherches : Quelques liens trouvés
- http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.html (doc ancienne avec 2 possibilités mais limité à un seul tunnel ?)
- https://www.reddit.com/r/OpenVPN/comments/46t665/openvpn_in_windows_10_as_unprivileged_non_admin/ (m'a fait découvrir 'mi' …)
Logs et tests : en cours …
Merci de vos retours pratiques ...
-
d'après la doc, la version 32 bits fonctionne sans avoir besoin d'être admin ;)
-
Comme mentionné, j'ai eu une mauvaise (et ancienne) expérience du package 'Client Export'.
Comme mentionné, la question est (un peu) hors pfSense et s'adresse à des admins de sites d'une certaine taille (expé -> taille).
Mon contexte est une entreprise ETI multi-sites de ~1000 personnes, et il est possible que je (me) préconise autre chose que pfSense !
(Le jeu des fusions et d'avoir une expertise … et si vous ne vous positionnez pas, on ne vous propose pas le job !)Merci pour vos retours d'expériences (pratiques) ...
-
Je croyais que tu visais un environnement de taille conséquente et des administrateurs sur des périmètres de cette taille.
Affectivement, maintenant que tu donnes des chiffre,s je constate que je me suis trompé et ce n'est pas pour moi car environ 1000 utilisateurs, c'est, dans les environnement sur lesquels je travaille, plutôt la taille du site et non pas la taille de l'entreprise.Mon expérience est avec un et parfois deux zéro en plus :P mais encore une fois, ce n'est pas important d'avoir la plus grosse :P
Mais je vais quand même te faire quelques commentaires:
Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.
Tu peux oublier pfSense dans la cible que tu vises. Une vraie PKI qui s'appuie sur LDAP sera bien plus efficace, surtout lorsqu'il va s'agir de renouvelle les certificats, gérer les CRL etc…
- OpenVPN Gui (inclus dans communautaire) : semble limité à un tunnel VPN, donc inadapté.
Je ne comprends pas cette histoire de limite. Que vises-tu ? plusieurs tunnels simultanés ? je ne le pense pas. Tu peux très bien avoir plusieurs configurations (cibles) avec la version communautaire, qui au passage, j'insiste, adresse dans la version 32 bits la problématique du compte admin.
-
Il y a, en effet, incohérence, avec PKI de 'Cert Manager' de pfSense : inadapté à la taille ! (Je l'avais oublié)
Je vais prendre en charge l'IT d'un groupe multi-site d'~1000 personnes, et j'ai tout à faire. (Autrefois j'avais la responsabilité de plus gros, et plus petit depuis 10 ans.)
Il n'est pas certain que je sélectionne pfSense comme firewall, mais je veux choisir un vpn à déployer, indépendamment du firewall, quitte à avoir en interne une VM Linux qui fera 'Remote Access' OpenVPN.ClientExport génère un exec Windows qui me parait boite noire.
Il est vrai que j'ai tendance à installer OpenVPN 64 bits depuis que j'installe du Seven et 10 en 64 bits systématiquement (et Office 32).Quand on cherche les gui pour OpenVpn, on en trouve plusieurs, d'où mon appel à REX (retour d'expérience).
-
Client Export peut aussi, dans la dernière version de pfSense, ne générer que la config, ou l'archive