Moje škola používá Pulse Secure, aby studenti mohli vzdáleně přistupovat z domova k některým službám, které nechtějí mít vystavené internetu. Neví někdo, jak udělat z PFSense klienta tohoto připojení? Ideálně chci být na své LAN a můj provoz být automaticky směrován přes VPN, když je to potřeba, místo abych se připojoval pokaždé, když potřebuji interní službu.
Pulse Secure má několik metod, ale zaměřuje se na SSL VPN. Můžeš nám říct, jak je připojení nakonfigurováno? Pokud můžeš na systém nainstalovat klienta, můžeš získat přihlašovací údaje/certifikát z počítače s určitým úsilím, což závisí na tom, jak byl nainstalován. Pokud používají standardní SSL VPN technologii na koncentrátoru, můžeš se k němu připojit s něčím jako OpenVPN. Pak bude třeba nastavit směrování, ale to není příliš složité. Osobně si nemyslím, že je to stojí za to, a nechtěl bych mít trvalé spojení se školou (kdyby to bylo možné v starých časech…)
Musíš sestavit Linux klienta Pulse Secure pro svou platformu a extrahovat konfiguraci/certifikáty a klíče z notebooku. Pokud chceš mít funkce v rámci webového rozhraní, budeš je muset vytvořit. Administrátoři VPN pravděpodobně nebudou chtít, abys to dělal. Dáváš veškerým klientům ve své LAN přístup ke zdroji, ke kterému nejsou skutečně oprávněni.
Ó bože.
Jsem rád, že je to vzdělávací prostředí. Můžu ti říct, v mém firemním světě by mi admin Pulse uvízl, kdybys povolil celé místní LAN přístup do firemní sítě.
Předpokládal bych, že pokud mají kontrolu souladu s hosty, může to být nemožné.
Co chceš udělat, by bylo lepší přes IPSEC.
VPN je SSL VPN a mohu se připojit z počítače, který mám pod kontrolou s jejich klientem. Pokus o získání konfiguračního souboru z mého počítače a připojení pomocí OpenVPN je přesně to, co hledám. Chci být připojen neustále, abych se mohl dostat k jejich službám kdykoli, ale budu NATovat všechno své připojení a nebudu posílat internetový provoz k nim (tento VPS má několik VPN, abych se mohl připojit do sítí, které potřebuji, aniž bych se stále připojoval a odpojoval). Nevidím v tom problém, ale mohu se mýlit.
OpenVPN není standardní SSL VPN.
To je přesně to, na čem teď pracuji. Máte nějaké tipy nebo odkazy na sestavení Linux klienta nebo kopírování certifikátů a věcí?
To chápu, ale celá LAN je jen moje a nastavoval jsem ji tak, aby posílala pouze provoz na jejich doménu k nim, nikoli veškerý internetový provoz. Vím, že mají kontrolu souladu s hosty. Rád vymýšlím způsoby, jak to obejít. Opravdu by toto nastavení mělo být málo dopadové a mělo by vypadat jako běžný uživatel, ne-li méně.
Vybavil jsem si to ve své firmě a vím, že to není ideální, ale okolnosti to nutí. Máme desítky klientů a desítky vývojářů pracujících na všech těch serverech. To znamená, že všichni vývojáři potřebují veškerý VPN klientský software na svých počítačích. Tento software často kazí síťové spojení, takže je třeba restartovat Windows, když se odpojujete nebo připojujete k jiné VPN. Musíte hackovat registr, aby se nespouštěl při startu Windows. Nemůžete mít víc než jedno VPN připojení najednou, takže musíte neustále odpojovat a opět připojovat. Někteří blokují internet, takže když chcete ve spojení vyhledávat problém, smůla. Někteří klienti vám mohou dát jen jeden účet, takže vývojáři ho sdílejí a křičí přes místnost „Kdo je připojen k klientovi č. 5!?“. To zkrátka dělá život vývojářům peklem.
Kdyby všichni klienti používali OpenVPN, bylo by to alespoň relativně použitelné podle zamýšleného způsobu. Ale ta otřesná VPN softwarová, kterou vás nutí používat, to dělá nemožným.
Nemám návod, jak to udělat, ale zní to, že máš správnou myšlenku.
Spravedlivá poznámka. Opraveno. Můj bod byl, že je třeba zvážit, že dodavatel může integrovat open source technologie do komerčního produktu.
mám na mysli, ne, nedoporučuji ti to dělat. zníš jako noční můra IT.
Mám to na mysli, ale celá LAN je jen moje a nastavoval jsem to tak, aby posílalo pouze provoz na jejich doménu, nikoli celý internetový provoz. Vím, že mají kontrolu souladu s hosty. Mám rád, když najdu způsoby, jak to obejít. Opravdu by toto nastavení mělo být málo dopadové a mělo by vypadat jako běžný uživatel, ne li méně.
To může být. Ale to, co děláš, je ohrožení celé vzdálené sítě (doufejme, že mají role zamčené, aby celá síť (nebo alespoň cenné věci) nebyla vystavena tvým švindlům).
V mých očích, teď mě děláš starost o to, že nejseš v souladu se svým počítačem, nebo že celá síť není v souladu a může to poskytnout větší bod pro útočníky, aby pronikli do vzdálené sítě.
Máš Pulse?
Protože klient Pulse je ve skutečnosti drsnej. Na rozdíl od starých pluginů pro prohlížeč.
Měl jsem více VPN připojených, když je Pulse klient připojen. Žádné problémy.
Pulse ti umožňuje si vybrat, jak chceš split tunneling. Pokud ho chceš, výborně. Pokud ne, je to taky skvělé.
A OpenVPN je součástí pfSense.
A i auditing je taky.
Mám široký výběr:
-
klient mi dal PulseSecure a certifikát, který musím kopírovat do adresáře c:\Windows (?!), aby to fungovalo,
-
Forticlient, který kazí síťové spojení na Windows při každém připojení,
-
Kerio Control, neznám jeho zvláštnosti,
-
Checkpoint SSL VPN Portal, který potřebuje Java klienta a nějaké certifikáty nainstalovat, a funguje pouze v Internet Exploreru
-
několik OpenVPN (nejspolehlivější z nich),
-
a čistý Ipsec.
Přísahám, že každý nový klient najde své vlastní VPN/Firewall softwarové řešení.
Jo, je mi líto, že nemohu pomoci vyřešit tvůj problém, jen přidávám k /u/caller-number-four – používáme Pulse Secure pro VPN připojení v mé práci.
Pracuji na dálku a mám jasnou obchodní potřebu připojit náhodná zařízení k drátové korporátní síti doma; jasně jsem řekl, že to tak chci, ať už zmíním pfSense, tethering z mého notebooku přes VPN atd., a po několika diskuzích s bezpečnostní skupinou mi byl přidělen speciální Aruba router+WAP zařízení (RAP-155P), které muselo být whitelisted na korporátní straně, aby to fungovalo.
Mohu předpokládat, že i když dokážeš, aby pfSense fungoval jako klient pro navázání spojení, spojení stále selže, pokud požárníci vaší školy vyžadují, aby zařízení byla zaregistrována/whitelistována pro připojení.
I když ti to může fungovat, téměř jistě porušíš podmínky používání školní sítě a můžeš mít vážné potíže, pokud se na to přijde. Plus k tomu, co již bylo řečeno, zvýšíš riziko pro celou síť, když umožníš přístup jakémukoliv zařízení ve své LAN.