Verbindung nur mit Computer-Client-Zertifikat

[vpnuser]

Hallo,
ich möchte die Nutzung von OPNSense Verbindungen / Dienste (Exchange ActiveSync, IPsec VPN) auf berechtigte Geräte begrenzen. Realisierung nicht über Pre-Auth mit Passwort, sondern über ein Zertifikat. D.h. jeder Client bekommt ein eigenes Zertifikat und authentifiziert sich damit an der OPNSense. Ist dies möglich und welche Komponenten benötige ich hierzu. Gerne auch einen Link auf eine Anleitung.

[fabian]

Die Frage wie sie gestellt ist, ist erst mal unklar. Es gibt hier zwei mögliche Interpretationen:

a) Du willst auth auf Netzwerkebene und dem User darauf hin ein anderes VLAN zuweisen -> Radius Plugin

b) Du willst auth auf Serviceebene machen -> Du brauchst nen Proxy, der das unterstützt (kann über das nginx plugin zum Beispiel umgesetzt werden, das HAProxy plugin kann das meines wissens nach etwas komplizierter auch). In dem Fall arbeitest du dann aber nicht mit Computerzertifikaten sondern mit Benutzerzertifikaten. In dem Fall einfach ne CA dafür beim HTTP-Server auswählen.

[vpnuser]

Ich arbeite bereits mit User Zertifikaten - sowohl für VPN als auch ActiveSync. Allerdings werden diese erst an einem Windows Radius Server in der Domain authentifiziert. Ich schaue mal, ob ich mit Deinem Hinweis b) diese Zertfiikate bereits auf der OPNSense prüfen kann. Danke für den Tipp.

[fabian]

Falls du das auf Basis den nginx-plugins machst:

Das ist definitiv ein Advanced-Feature. Dürfte relative einfach sein. Einfach Das CA-Zertifikat angeben und angeben, dass das Client Zertifikat auf der OPNsense verifiziert werden soll.

[vpnuser]

Danke für den Tipp.