Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN с сертификатами стороннего УЦ

    Scheduled Pinned Locked Moved Russian
    2 Posts 1 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Ave Alex
      last edited by

      Всем доброго.
      В организации есть AD, поднят CA. Есть 2 канала связи с провайдерами, шлюзом стоит pfSense 2.0.1 с 4 интерфейсами. Два смотрят к провайдерами, один предполагается использовать для связи с удалённым офисом. Настроена failower балансировка.
      Требуется наладить следующую схему:
      1. Соединение VPN поднимается только при наличии у клиента сертификата, выданного местным CA.
      2. Авторизация с доменными учётными данными.
      3. Желательно, в зависимости от области действия сертификата направлять в различные внутренние сети.

      кратенько так:
      WAN - провайдер1
      LAN - 192.168.1.1 ->192.168.1.0/24
      OPT1 - провайдер2
      OPT2 - 192.168.2.2 <-> 192.168.2.0/24(VLAN провайдера) <-> 192.168.2.1(Шлюз) <-> 192.168.3.0/24 (удалённый офис)

      На интерфейс OPT2 два выведен VLAN до удалённого офиса (VLAN организует провайдер).
      Неплохо было бы и его зашифровать.
      Кроме того в сети 192.168.2.0 есть несколько серверов, типа DMZ - не совсем нашей организации, но и не совсем чужие.

      В итоге, как я представляю, надо:

      • Уговорить шлюз доверять CA в сети 192.168.1.1
      • Запросить шлюзу сертификат в этом CA. Приложить его к нужному месту.
      • Организовать особо доверенным пользователям доступ в сеть 192.168.1.1 по сертификату и доменному логину-паролю.
      • Организовать доступ к серверам в DMZ только личностям, получившим у нас сертификат, и тем, кому они этот сертификат слили. Дальше сети 192.168.2.0 они выбраться не должны. (Это можно грамотно правилами разграничить).
      • настроить постоянное шифрованное соединение с удалённым офисом.

      Решения на базе роутеров с поддержкой VLAN не предлагать - бюджетом не предусмотрено :) Есть практически неограниченное количество неуправляемых свитчей и машинка с pfSense в качестве мозга к этому.

      Как-то лаконично и понятно сформулировать задачи не получается, хотя по отдельности все они выглядят вполне решабельными. Главное, чтоб взаимоисключающих не оказалось.

      Рассматриваются варианты с PPTP соединениями для хостов в "DMZ", но опять-таки - на них никаких серверных или клиентских прикладушек установить нельзя. Чёрные ящики с известным IP.

      1 Reply Last reply Reply Quote 0
      • A
        Ave Alex
        last edited by

        Так, сразу всё выглядит пугающе.
        Будем выкладывать по частям.
        Я пользуюсь вот этим мануалом
        http://forum.pfsense.org/index.php/topic,7840.0.html
        и, потом собираюсь как следует вдумчиво раскурить вот это
        http://forum.pfsense.org/index.php/topic,14946.0.html
        Но! Везде используется самонарисованный сертификат. Пока я не могу добиться от CA, чтоб он выдал мне сертификат, приемлемый для использования сервером. Все доки от M$, которые я нашёл в лучшем случае подходят для IIS.
        Так что я отправляюсь искать инфу про центр сертификации windows, и буду очень благодарен, если кто-нибудь из уже собиравших эти грабли хотя бы ткнёт носом в нужный мануал.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.