¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

OpenVPN: rutear vlan internas y perfiles de usuarios.

Quiero armar un OpenVPN en el cual pueda tener diferentes perfiles de usuarios.
Tenemos un ASA que hace de gw/firewall de toda la red.
Instalé el server con una interfaz pública y otra en una vlan interna por la cual forwardeo el tráfico del cliente. Esta vlan en el ASA tiene un security level alto por lo cual al hacer el forward tengo acceso todas las otras redes. Así me sirve para los sysadmins, pero no para los otros usuarios.

Mi consulta es la siguiente:
¿me conviene armar una nueva red en el ASA al cual le haga un forward en el OpenVPN y desde el ASA meter ACL que me vaya filtrando los permisos dependiendo la ip de origen de cada cliente?

Me sirve también si alguien tiene armado algo parecido que me cuenten el escenario y qué cosas recomiendan tener en cuenta. Todavía estoy terminando de entender cómo funciona esto de rutear vlan que están del lado del openvpn. Principalmente porque no quiero descuidar ningún aspecto de la seguridad.

Respuestas

  • En mi caso, usamos openvpn (el pago), tengo una /24 y adentro de esa varias subnets por 'perfil de usuario'. Cuando un usuario se conecta, openvpn le pega al ldap para ver que grupo tiene y en funcion de eso le asigna una ip del segmento que le corresponda, en el firewall tengo las reglas estaticas por subnet con lo que pueden acceder.

    Esta es una evolucion de un chino anterior donde habia un spaguethi code que miraba los logs de openvpn y aplicaba reglas dinamicamente en el firewall para cada usuario.

    me sumaría a la pregunta de porque no podes resolverlo en el ASA primero antes de agregar otro componente en la red.
Este hilo ha sido cerrado.