[Open vpn] Refusé accès durant une plage horaire.



  • Bonjour tout le monde.

    Je viens vers vous car il y a quelques semaines j'ai installé un vpn et certain de mes collègues font du télétravail uniquement quelques jours par semaine et j'aimerai bloquer automatiquement l'accès les autres jours.
    Ils se connectent avec leur compte ad.

    Ma version de pf sense : 2.4.3-RELEASE-p1 (amd64)

    Merci à tous de votre réponse.



  • salut salut

    Pour moi ce n'est pas pf qui est en cause, si votre vpn est ok car il peut ne pas etre sur pf.

    De plus outre le faite de ne pas mettre ce service sur pf lui même pour des raisons de logique sécuritaire, votre demande n'est pas traitable par le pf lui même, mais par des outils qui pour les même raison que le services vpn doivent etre gérés au niveau de votre serveur d'authentification et annuaire



  • @tatave said in [Open vpn] Refusé accès durant une plage horaire.:

    Pour moi ce n'est pas pf qui est en cause, si votre vpn est ok car il peut ne pas etre sur pf.

    J'avoue ne ps comprendre cette phrase.

    Je suis d'accord sur le fait qu'une conception robuste de la sécurité voudrait que cette politique d'accès soir gérée ailleurs que sur Pfsense.

    Maintenant passons à la pratique sur le cas de notre interlocuteur. Outre le manque de clarté de sa demande, et d'après ce que je crois en comprendre, il existe une solution dont je ne suis pas certain qu'elle soit satisfaisante.
    Si nous avons une configuration Openvpn sur Pfsense, il existe un onglet Openvpn dans Firewall - Rules. Il suffit d'y ajouter dans cet ordre de bas en haut :

    1. une règle qui interdit tout.
    2. une règle qui autorise tout avec une option Schedule correspondant à la plage souhaitée.


  • Bonjour tout le monde.

    Effectivement mille pardon en relisant ma demande il s'avère que je n'ai aps été très clair dans ma demande.
    j'ai bien entendu installé le vpn via OpenVPN sur PfSense et non pas sur une solution à part.

    Le truc c'est que j'ai des personnes qui ont des heures et des journées d'utilisations différentes l'une de l'autre en télétravail. Le fait de faire ça me limite malheureusement. Cette solution serait bien si on pouvait attaché à une règle un groupe d'utilisateur. Mais je ne pense pas que ce soit possible.



  • La solution de Ccnet est déjà intéressante (et assez astucieuse).
    Sur la même idée, comme il doit y avoir une règle dans l'onglet WAN pour accepter l'entrée sur le port d'OpenVPN, c'est sur cette règle là que j'appliquerai le schedule. (a la manière de certaines bornes wifi qui coupe le signal selon un planning)

    Je conseille d'ajouter un serveur OpenVPN sur un autre port (et avec une autre sécurité) qui, lui, ne dépendra pas d'un schedule pour l'administrateur ...

    Je déconseille d'imaginer des systèmes plus 'fins' car cela devenir totalement in-maintenable !

    OpenVPN sait fournir la même adresse ip à un utilisateur défini par un certificat, mais je ne suis pas sûr qu'il faut vraiment se fier à cela.

    Au delà du temps, bien que je pratique depuis longtemps OpenVPN et même avant de pratiquer pfSense, je ne suis pas sûr que l'on puisse 'simplement' définir l'étendue du possible selon l'utilisateur qui se connecte, alors que c'est un sujet super intéressant ...