Estoy buscando una forma de establecer conexiones seguras desde usuarios remotos a una LAN cerrada interna. Ya puedo conectar la máquina remota a un controlador de dominio samba a través de un cliente openvpn 2.x antes de iniciar sesión mediante una tarea programada, por lo que se resuelve la conexión remota al dominio.

Lo que necesitaría ahora es saber si hay una manera de que el controlador de dominio le diga a un firewall que esta o aquella máquina pertenece al dominio y que el firewall use esta información para discriminar si el host puede acceder a una red interna diferente. Por ejemplo, haría que el servidor openvpn (10.0.0.2) le diera a cada usuario una IP reservada en el rango 10.0.0.x, para que puedan ver el controlador de dominio (10.0.0.3). Luego, el controlador de dominio le dice al firewall (10.0.0.1, puerta de enlace) si las máquinas conectadas usando esas IP están unidas al dominio y, por lo tanto, es seguro dejar entrar a una red interna a través de otra interfaz a la que está conectado el firewall, por ejemplo 10.0.1 .X. Hasta que se cumpla esa condición, los usuarios solo tendrían acceso al "lobby" 10.0.0.x.

La idea es evitar que el usuario remoto simplemente use las credenciales vpn y el certificado en cualquier máquina (máquinas potencialmente inseguras que están ejecutando Dios sabe qué) para acceder a la red interna segura. Ya conozco la autenticación LDAP para openvpn, pero hasta donde yo sé, solo le pregunta al controlador de dominio si las credenciales x están bien, y no verifica si la máquina está realmente en el dominio.

¿Existe esto? ¿Es siquiera posible? ¿Es incluso necesario, o lo estoy viendo de manera incorrecta y hay una alternativa mucho más fácil?

Gracias por adelantado.

no answer