VPN: IPsec: Mobile Clients - Active Directory

[NDregger]

Hallo Freunde der OPNsense,

mir geht es vermutlich wie so vielen Nutzern der OPNsense: Je länger man mit ihr Arbeit, desto mehr Ideen kommen einem in den Sinn.

Nachdem ich unsere OPNsense bereits erfolgreich für die Administration verbinden konnte würde ich das jetzt gerne auch für die IPSec Client Verbindungen nutzen die per IKEv2 laufen. Unter den Einstellungen kann man ja unter Backend for authentication nicht nur die lokalen Benutzer sondern auch das Active Diretory auswählen was in Kombination mit der Option Enforce local group genau das ist was ich suche, denn damit könnte ich über eine simple Active Directory Gruppe steuern wer ein VPN aufbauen darf und mehr nicht - traumhafter Ansatz, nur leider denke ich wohl falsch....

Wie befürchtet steht im Log: no EAP key found for hosts 'gw-01.local' - 'User'.

Hat das schon jemand so wie ich es mir erträume umgesetzt und hat mir einen schlauen Rat?


Gruß
Norbert

[juere]

Ganz kurz gefasst:

Im AD einen NPS (Microsoft Radius) Server aufsetzen und entsprechend konfigurieren (nicht ganz easy).
In der OPNSense diesen als Authentication Backend einrichten und in der Phase1 des Mobile-Users mit Typ "EAP-Radius" eintragen.

Bei richtiger Wahl der Phase1 und Phase2 Settings klappt das dann mit Windows10, Apple und Android (StrongSwan) Clients problemlos.
Wir verwenden

Phase1 AES256, SHA256, DH 2+14, Lifetime 57600
Phase2 AES256, SHA1, PFS off, Lifetime 7200

Die Phase1 Lifetime ist absichtlich doppelt so groß, wie die von Windows10 verwendeten 28800s.
Damit erfolgt das Rekeying immer zuerst vom Client und die Verbindungen laufen auch länger als 8 Stunden

[NDregger]

Danke für die Tips, ich werde versuchen das mal in den Sommerferien nachzubauen, aktuell komme ich zu gar nichts, wir haben gefühlt ein Seuchenjahr mit lauter Krankheitsfällen...


Norbert