Sziasztok!
Ki milyen teljesen open source / free megoldást tud vpn szerverhez két faktoros hitelesítéshez, ami képes SAML-el vagy máskép MS Entra ID-t hitelesíteni (Saml / MS Auth App)?
Lehet, OpenVPN/Wireguard vagy bármilyen szerver...
Amit eddig néztem, "pritunl" jó lenne de fizetős, ahogy az openvpn access szerver is.
PacketFence is elvileg tudna radiussal ingyen, de azt nem sikerült doksi hiányába megoldani.
500+ user-t kéne kiszolgálni.
Megoldás:
Tökéletesen működik:
openvpn -> browser -> entra id -> access granted
https://github.com/jkroepke/openvpn-auth-oauth2
Fontos, hogy openvpn 2.6+ -os verziós szerver kell hozzá, ami jelenleg alapból Ubuntu 24.04-et takar.
- 770 megtekintés
Hozzászólások
https://github.com/jkroepke/openvpn-auth-oauth2
Nem próbáltam.
- A hozzászóláshoz be kell jelentkezni
több megoldás is létezik, de ezeknek van költségvonzata:
- ha rendelkezel megfelelő MS licencel (E3, E5), akkor már be lehet állítani NPS-t is, amihez lehet RADIUS-sal authentikálni. Ehhez földi AD is kell
- amit Én jelenleg használok az egy RCDev-s OpenOTP (RADIUS) amihez OPNSENSE alapú OpenVPN authentikál be. A cél az volt, hogy push notifaction alapján menjen az auth és ne kódokat kelljen beírogatni.
Kipróbáltam több alternatívat is mint VPN szervert, de nem találtam olyat, amit a felhasználó egyszerűn tud használni (HEADSCALE, netbird)
(nem kell minden hitelesítésnél a jelszóval és a kód beírásával szenvedni, hanem minél egyszerűbb legyen)
- A hozzászóláshoz be kell jelentkezni
E3-as MS licensz van.
- A hozzászóláshoz be kell jelentkezni
és földi AD van-e?
RADIUS authentication with Microsoft Entra ID - Microsoft Entra | Microsoft Learn
- A hozzászóláshoz be kell jelentkezni
Van.
- A hozzászóláshoz be kell jelentkezni
RCDevs Security - Products Licenses and features: Editions & Pricing
Ez alapján ez 25 főig ingyenes csak, ez nekem kevés nagyon.
- A hozzászóláshoz be kell jelentkezni
van.
- A hozzászóláshoz be kell jelentkezni
Siman openvpn is jo. Raadasul mar tamogat delayed authot + keress ra IV_SSO openurl es crtext.
- A hozzászóláshoz be kell jelentkezni
Ez az olcsón, gyorsat, jót. 3-ból kettőt lehet választani.
500+ user kezelése OpenVPN-nel elég húzósnak hangzik. Egyrészt nagy sávszélesség kell ilyen méretnél, másrészt ezt adminisztrálni jól nem lehet, például ez kitöltheti 1-2 ember napi munkáját. A hardver igényről még szó sem esett.
Amit a mérlegelni kéne egy ilyen döntésnél:
- Sávszélesség igény az adott VPN technológiához
- Plusz munkaórák száma (adminisztráció, automatizáció, üzemeltetés stb.)
- Redundancia
- Skálázási lehetőségek
- Szolgáltatás kiesés esetén, milyen gyorsan lehet megfelelően helyreállítani a szolgáltatást. (DR)
- Aktuális és a közeljövőben is megfeleljen a security elvárásoknak.
- Integrálási lehetőségek más rendszerekkel.
- Rendelkezésre állás (mennyi kiesés férhet bele egy év alatt, ami még nem fáj a cégnek jelentős mértékben?)
- Külső támogatás lehetősége (fizetős support) attól függően, hogy milyen rendelkezésre állás kell a VPN szolgáltatásra.
Ha az ember leül matekozni a fenti dolgokon, akkor nem mindig győz az ingyenes megoldás a végére.
- A hozzászóláshoz be kell jelentkezni
Megoldás:
Tökéletesen működik:
openvpn -> browser -> entra id -> access granted
https://github.com/jkroepke/openvpn-auth-oauth2
Fontos, hogy openvpn 2.6+ -os verziós szerver kell hozzá, ami jelenleg alapból Ubuntu 24.04-et takar.
- A hozzászóláshoz be kell jelentkezni