Tôi đang tìm cách thiết lập kết nối an toàn từ người dùng từ xa tới một mạng lan nội bộ đã đóng. Tôi đã có thể kết nối máy từ xa với bộ điều khiển miền samba thông qua ứng dụng khách openvpn 2.x trước khi đăng nhập bằng cách sử dụng tác vụ đã lên lịch, do đó, kết nối từ xa với miền đã được giải quyết.

Điều tôi cần bây giờ là biết liệu có cách nào để bộ điều khiển miền nói với tường lửa rằng máy này hoặc máy đó thuộc về miền và yêu cầu tường lửa sử dụng thông tin này để phân biệt xem máy chủ có thể truy cập vào một mạng nội bộ khác hay không. Ví dụ: tôi sẽ có máy chủ openvpn (10.0.0.2) cung cấp cho mỗi người dùng một IP dành riêng trong phạm vi 10.0.0.x để họ có thể thấy bộ điều khiển miền (10.0.0.3). Sau đó, bộ điều khiển miền thông báo cho tường lửa (10.0.0.1, cổng vào) liệu các máy được kết nối bằng IP đó có được tham gia vào miền hay không và do đó có an toàn để truy cập vào mạng nội bộ thông qua một giao diện khác mà tường lửa được kết nối hay không, ví dụ: 10.0.1 .x. Cho đến khi điều kiện đó được đáp ứng, người dùng sẽ chỉ có quyền truy cập vào "sảnh đợi" 10.0.0.x.

Ý tưởng là ngăn người dùng từ xa chỉ cần sử dụng thông tin xác thực và chứng chỉ vpn trên bất kỳ máy nào (các máy có khả năng không an toàn đang chạy có chúa mới biết được điều gì) để truy cập vào mạng nội bộ an toàn. Tôi đã biết về xác thực LDAP cho openvpn, nhưng theo tôi biết, điều đó chỉ hỏi bộ điều khiển miền xem thông tin xác thực x có ổn không và không kiểm tra xem máy có thực sự ở trên miền hay không.

Điều này có tồn tại không? Nó thậm chí có thể? Nó thậm chí còn cần thiết, hay tôi đang nhìn điều này một cách sai lầm và có một giải pháp thay thế dễ dàng hơn nhiều?

Cảm ơn trước.

no answer