OpenVPN с сертификатами стороннего УЦ



  • Всем доброго.
    В организации есть AD, поднят CA. Есть 2 канала связи с провайдерами, шлюзом стоит pfSense 2.0.1 с 4 интерфейсами. Два смотрят к провайдерами, один предполагается использовать для связи с удалённым офисом. Настроена failower балансировка.
    Требуется наладить следующую схему:
    1. Соединение VPN поднимается только при наличии у клиента сертификата, выданного местным CA.
    2. Авторизация с доменными учётными данными.
    3. Желательно, в зависимости от области действия сертификата направлять в различные внутренние сети.

    кратенько так:
    WAN - провайдер1
    LAN - 192.168.1.1 ->192.168.1.0/24
    OPT1 - провайдер2
    OPT2 - 192.168.2.2 <-> 192.168.2.0/24(VLAN провайдера) <-> 192.168.2.1(Шлюз) <-> 192.168.3.0/24 (удалённый офис)

    На интерфейс OPT2 два выведен VLAN до удалённого офиса (VLAN организует провайдер).
    Неплохо было бы и его зашифровать.
    Кроме того в сети 192.168.2.0 есть несколько серверов, типа DMZ - не совсем нашей организации, но и не совсем чужие.

    В итоге, как я представляю, надо:

    • Уговорить шлюз доверять CA в сети 192.168.1.1
    • Запросить шлюзу сертификат в этом CA. Приложить его к нужному месту.
    • Организовать особо доверенным пользователям доступ в сеть 192.168.1.1 по сертификату и доменному логину-паролю.
    • Организовать доступ к серверам в DMZ только личностям, получившим у нас сертификат, и тем, кому они этот сертификат слили. Дальше сети 192.168.2.0 они выбраться не должны. (Это можно грамотно правилами разграничить).
    • настроить постоянное шифрованное соединение с удалённым офисом.

    Решения на базе роутеров с поддержкой VLAN не предлагать - бюджетом не предусмотрено :) Есть практически неограниченное количество неуправляемых свитчей и машинка с pfSense в качестве мозга к этому.

    Как-то лаконично и понятно сформулировать задачи не получается, хотя по отдельности все они выглядят вполне решабельными. Главное, чтоб взаимоисключающих не оказалось.

    Рассматриваются варианты с PPTP соединениями для хостов в "DMZ", но опять-таки - на них никаких серверных или клиентских прикладушек установить нельзя. Чёрные ящики с известным IP.



  • Так, сразу всё выглядит пугающе.
    Будем выкладывать по частям.
    Я пользуюсь вот этим мануалом
    http://forum.pfsense.org/index.php/topic,7840.0.html
    и, потом собираюсь как следует вдумчиво раскурить вот это
    http://forum.pfsense.org/index.php/topic,14946.0.html
    Но! Везде используется самонарисованный сертификат. Пока я не могу добиться от CA, чтоб он выдал мне сертификат, приемлемый для использования сервером. Все доки от M$, которые я нашёл в лучшем случае подходят для IIS.
    Так что я отправляюсь искать инфу про центр сертификации windows, и буду очень благодарен, если кто-нибудь из уже собиравших эти грабли хотя бы ткнёт носом в нужный мануал.


Log in to reply