0
OpenVPN: rutear vlan internas y perfiles de usuarios.

Open 3 Respuestas 1 Views
Quiero armar un OpenVPN en el cual pueda tener diferentes perfiles de usuarios.
Tenemos un ASA que hace de gw/firewall de toda la red.
Instalé el server con una interfaz pública y otra en una vlan interna por la cual forwardeo el tráfico del cliente. Esta vlan en el ASA tiene un security level alto por lo cual al hacer el forward tengo acceso todas las otras redes. Así me sirve para los sysadmins, pero no para los otros usuarios.

Mi consulta es la siguiente:
¿me conviene armar una nueva red en el ASA al cual le haga un forward en el OpenVPN y desde el ASA meter ACL que me vaya filtrando los permisos dependiendo la ip de origen de cada cliente?

Me sirve también si alguien tiene armado algo parecido que me cuenten el escenario y qué cosas recomiendan tener en cuenta. Todavía estoy terminando de entender cómo funciona esto de rutear vlan que están del lado del openvpn. Principalmente porque no quiero descuidar ningún aspecto de la seguridad.

3 Respuestas

0
Como va, tenes algun problema con hacer todo esto en el ASA que tenes que armar un OpenVPN ? no entiendo la necesidad de meter un OpenVPN con el Cisco ahi, podrias explicar mejor esta parte ? porque lo que queres hacer es directamente realizable en el ASA

Salduos
respondido por Leandro Reox Ago 30
1Comentarios
comentado por panoptic0 (2,180 puntos) Ago 30
Porque el ASA te pide una licencia para activar la función de vpn.
0
En mi caso, usamos openvpn (el pago), tengo una /24 y adentro de esa varias subnets por 'perfil de usuario'. Cuando un usuario se conecta, openvpn le pega al ldap para ver que grupo tiene y en funcion de eso le asigna una ip del segmento que le corresponda, en el firewall tengo las reglas estaticas por subnet con lo que pueden acceder.

Esta es una evolucion de un chino anterior donde habia un spaguethi code que miraba los logs de openvpn y aplicaba reglas dinamicamente en el firewall para cada usuario.

me sumaría a la pregunta de porque no podes resolverlo en el ASA primero antes de agregar otro componente en la red.
respondido por edux (11,020 puntos) Ago 30
1Comentarios
comentado por panoptic0 (2,180 puntos) Ago 30
Porque el ASA te pide una licencia para activar la función de vpn.
0
Analizaria realmente si el OPEX de tener que administrar lo que queres armar supera al costo de la licencia de VPN para el ASA.

Pero respondiendo la pregunta, yo armaria una dmz nueva para esta vpn, e integraria OpenVPN (o porque no un PFsense directamente) con Radius para hacer profiling, no solo basado en ACL sino tambien integrados a LDAP o AD

Saludos
respondido por Leandro Reox Sep 14
...