OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • IPsec Road Warrior, Windows Clients und 2FA
« previous next »
  • Print
Pages: [1]

Author Topic: IPsec Road Warrior, Windows Clients und 2FA  (Read 927 times)

6502

  • Newbie
  • *
  • Posts: 5
  • Karma: 0
    • View Profile
IPsec Road Warrior, Windows Clients und 2FA
« on: November 17, 2022, 05:39:42 pm »
Hallo Leute,

ich habe ein Problem.  ;)

Momentan betreibe ich ein OPNsense 22.7.x, das primär für VPN-Clients genutzt wird. In der Hauptsache sind das Windows-Büchsen und einige Linux-Clients. Diese nutzen IKEv2 / EAP-MSCHAPv2. In OPNsense ist ein FreeRADIUS-Server eingetragen, der seinerseits die Authentifizierungsanfragen gegen ein AD durchführt und dabei zusätzlich eine Gruppenmitgliedschaft überprüft. Das sind die groben Eckdaten des bisherigen Setups, das so weit reibungslos funktioniert.

Warum frage ich also? Wir haben von einer übergeordneten Stelle die Forderung, dass diese Zugänge neben dem bisherigen Benutzername + Passwort nun zusätzlich einen zweiten Faktor zur Authentifizierung verwenden sollen.

Wenn ich nach vielem Suchen nicht komplett falsch liege, dürfte das mit dem bisherigen Konstrukt nicht wirklich möglich sein. Jedenfalls habe ich bisher keine Möglichkeit gefunden (z. B. über Sachen wir privacyIDEA, OpenOTP), an den aktuellen Authentifizierungsmechanismus zusätzlich die Abfrage eines (T)OTP, eines Client-Certs o. ä. anzuflanschen. Ich hoffe, ich habe da nix übersehen.

Eine zumindest technisch denkbare Alternative wäre m. E., in Phase 1 von "EAP-RADIUS" weg zu gehen und auf "Mutual RSA + EAP-MSCHAPv2" zu wechseln. Klar, die bequeme Authentifizierung gegen AD entfällt und es käme die Verwaltung (Administration) und Nutzung (Clients) eines zusätzlichen Accounts ins Spiel. Aber eben auch das Client-Cert als zweiter Faktor.

Da der native Windows-Client das nicht kann: Habt Ihr Erfahrungen, welche alternativen Clients für Windows das beherrschen? Ich wäre für jeden Hinweis sehr dankbar.

Und auch für Tipps, ob man diese 2FA-Anforderung ja vielleicht doch eleganter lösen könnte. Vielleicht hat ja z. B. jemand schon mal einen Auth-Server vom Typ "Local + Timebased One Time Password" in OPNsense verwendet und hat Erfahrung, ob das praktikabel wäre?

Einen generellen Wechsel der VPN-Technologie von IPsec zu OpenVPN, WireGuard oder sonst was möchte ich übrigens nach Möglichkeit vermeiden.

Vielen Dank fürs Lesen und viele Grüße
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6766
  • Karma: 494
    • View Profile
Re: IPsec Road Warrior, Windows Clients und 2FA
« Reply #1 on: November 17, 2022, 06:39:51 pm »
Wie wärs mit PrivacyIdea dazwischen, kann bisschen mehr wie die OPN
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • IPsec Road Warrior, Windows Clients und 2FA
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2