Budu vytvářet síť pro více kanceláří, kde každá bude na jiné VLAN s přístupem ke společným službám (TV, tiskárna) na jiné VLAN. Přístup přes Wi-Fi bude přes Radius WPA Enterprise, který přiřadí správnou VLAN na základě uživatelského jména, takže členové stejné kanceláře budou moci komunikovat přes PC a telefon.
Moje otázka je - je něco takového také možné s VPN serverem (OpenVPN nebo jiným) na pfsense? Mohl by být každý připojený uživatel přiřazen ke své VLAN na základě uživatelských údajů nebo dat Radius? Nebo musí být všichni, kteří se připojují přes VPN, ve stejné VLAN?
způsob směrování je založen na vstušném rozhraní. Jakýkoli a veškerý provoz přicházející na rozhraní je považován za provoz na tomto rozhraní. Pokud přicházíte na em1, pak jste považováni za uživatele na em1. Pokud přicházíte na igb1.10, pak jste považováni za uživatele na vlan 10 na igb1. OpenVPN zachází s provozem stejně, jakýmkoli uživatelem z OpenVPNS1 se přichází na příslušné rozhraní a je považován za uživatele na tomto rozhraní. Poté, když vybíráte, kdo kam může jít, nastavujete tato pravidla na vrstvě 3.
Výchozí operací pro OpenVPN je tun, což je vrstva 3. Můžete jej však nastavit na tap, což je vrstva 2, a to by mohlo být přesně to, co hledáte. To by vám umožnilo vytvořit most spojený s rozhraním dle vašeho výběru (například lokální VLAN rozhraní), a pak můžete spojit dvě rozhraní v záložce přiřazení a uživatelé by viděli sebe navzájem, jako by byli na místní VLAN v kanceláři, místo v oddělené podsíti. Samozřejmě všichni uživatelé na konkrétním OpenVPN serveru budou stále přiřazeni ke stejné VLAN, což by vyžadovalo samostatné servery pro různé VLAN přiřazení.
Pravděpodobně budete mít několik VPN serverů naslouchajících na různých portech - a různou CA, která přiřadí uživatele k odlišnému síťovému segmentu s pravidly brány firewall pro přístup ke zdrojům.
Vím, že jste uvedli, že chcete použít pfSense, ale nemyslím si, že konfigurace OpenVPN (nebo jakákoli) na pfSense to umožňuje. Myslím si, že captive portal může využít radius, ale nikdy jsem to nepotřeboval.
Na mé předchozí práci jsem měl přesně tyto požadavky a tuto myšlenku realizoval pomocí OpenVPN přístupového serveru. Byl to skvělý zážitek. Měl jsem RBAC nastavené v AD a bezpečnostní skupiny AD mapované na skupiny OpenVPN přes RADIUS. Každá skupina byla mapována na unikátní podsíť a pro každou existovala pravidla brány firewall. Takže bylo na DMZ VLAN několik podsítí, které hostily VPN server. Pokud je faktorem SIP, je to tím správným způsobem.
Musel jsem nastavit statické směry na bráně firewall pro každou podsíť OpenVPN a statické směry na serveru OpenVPN pro naše vnitřní sítě serverů. Manuální NAT záznamy outbound byl vytvořen pro každou podsíť, protože byl implementován režim plného tunelu.
Dokonce jsem měl ve Windows definované statické IP adresy pro adminy za účelem přesného přístupu ke správám zařízením. Využití radius tímto způsobem nám také umožnilo integrovat dvojfaktorové ověřování přes DUO.
Existuje poplatek za uživatele za přístup k OpenVPN serveru, ale nepamatuji si, že by byl příliš drahý.