Это цитата из фейкового API, которое в целом я стараюсь не упоминать, дабы уважать чувства человека, который самостоятельно написал весь Pritunl и опубликовал для нас исходный код, не продавая закрыто подписки. Как я описывал в прошлом комментарии, для функционала SSO используется публичный сервер, организующий мост между VPN клиентом, сервером, и SSO провайдером. При этом, для использования Radius или DUO он не нужен. Для OTP в такой схеме необходимости так же нет - пользователь получает токен, на основе которого генерятся коды, а сервер сверяет эти коды, сгенерив их на основе этого же токена.
Из-за этих проблем в России сейчас не проводят проверки - можно покапаться в исходном коде и жить так, пока не появится возможность оплатить. Соглашусь, что сумма небольшая для таких усложнений, но это вынужденная мера в текущей ситуации.
Если работает в вебке - должен работать и при подключении. Может быть у вас два радиуса или контроллера, которые отвечают по-разному, или проблема в группах/втором факторе
Централизованный сервер используется, чтобы: * Проверить лицензию (и скачивать каждый раз css стили, которые раскрывают расширенный функционал в админке на стороне клиента) * Выполнить авторизацию через SSO (подумываю переписать этот кусок на локальный Keycloak, чтобы прикрутить что-то вроде opswat) * Узнать публичные ip - дополнительный функционал, чтобы не указывать руками
Все остальное - OTP, Radius, сам VPN работают без сервера.
DUO работает через свой сервер - мы используем его только как дополнительный уровень для админов, без него все и дальше будет работать.
Спасибо за наводку на headscale - с виду тоже выглядит заманчиво, будет что порекомендовать коллегам, не решившимся на пританул)
@OneManStudioБесплатный Pritunl из коробки не позволяет использовать кластер и авторизацию через сторонний сервис - вы будете ограничены одной зоной доступности и пином в 8 цифр. Сертификат как способ в этом случае не считаю, т.к. он хранится и передается слишком открыто.
@aborouhin Для нас это была как раз та причина, по которой пришлось изучить исходный код через месяц после развертывания) Про Tailscale поищу - не встретился при поиске решения
Это цитата из фейкового API, которое в целом я стараюсь не упоминать, дабы уважать чувства человека, который самостоятельно написал весь Pritunl и опубликовал для нас исходный код, не продавая закрыто подписки.
Как я описывал в прошлом комментарии, для функционала SSO используется публичный сервер, организующий мост между VPN клиентом, сервером, и SSO провайдером. При этом, для использования Radius или DUO он не нужен.
Для OTP в такой схеме необходимости так же нет - пользователь получает токен, на основе которого генерятся коды, а сервер сверяет эти коды, сгенерив их на основе этого же токена.
Из-за этих проблем в России сейчас не проводят проверки - можно покапаться в исходном коде и жить так, пока не появится возможность оплатить. Соглашусь, что сумма небольшая для таких усложнений, но это вынужденная мера в текущей ситуации.
Если работает в вебке - должен работать и при подключении. Может быть у вас два радиуса или контроллера, которые отвечают по-разному, или проблема в группах/втором факторе
Централизованный сервер используется, чтобы:
* Проверить лицензию (и скачивать каждый раз css стили, которые раскрывают расширенный функционал в админке на стороне клиента)
* Выполнить авторизацию через SSO (подумываю переписать этот кусок на локальный Keycloak, чтобы прикрутить что-то вроде opswat)
* Узнать публичные ip - дополнительный функционал, чтобы не указывать руками
Все остальное - OTP, Radius, сам VPN работают без сервера.
DUO работает через свой сервер - мы используем его только как дополнительный уровень для админов, без него все и дальше будет работать.
Спасибо за наводку на headscale - с виду тоже выглядит заманчиво, будет что порекомендовать коллегам, не решившимся на пританул)
Тут приходится ограничиваться и путаться из-за NDA, да и кому интересно что хотели от нас разные отделы?)
Большинство из них точно были в плюсах.
@OneManStudio Бесплатный Pritunl из коробки не позволяет использовать кластер и авторизацию через сторонний сервис - вы будете ограничены одной зоной доступности и пином в 8 цифр. Сертификат как способ в этом случае не считаю, т.к. он хранится и передается слишком открыто.
@aborouhin Для нас это была как раз та причина, по которой пришлось изучить исходный код через месяц после развертывания)
Про Tailscale поищу - не встретился при поиске решения