Aleks30525 мар в 14:16

Организация удаленного доступа в защищенный контур на базе Openvpn + Keycloak

Средний

5 мин

6.8K

DevOps * Информационная безопасность * Системное администрирование * Сетевые технологии *

Туториал

Из песочницы

Комментарии 19

MrB4el 25 мар в 14:57

Спасибо за гайд! С 2FA не игрались?

gibson_dev 25 мар в 15:57

2FA тут должен отрабатывать на стороне Keycloak, так что не думаю что с этим проблемы будут

SmileyK 25 мар в 20:07

Там 2fa только либо через пуш либо OTP код, и то не знаю есть ли мобильное приложение у Keycloak, - не пользовали его, пока смотрим… но пока используем avanpost mfa

Aleks305 25 мар в 18:14

Спасибо за отклики! надеюсь будет полезно)
как написали выше, 2fa можно настроить на keycloack, но в данном проекте это пока не делали

SmileyK 25 мар в 20:06

Это что-то типа hotspot’a ? Соединение выполняется по сертификатам ? Не по учетным данным пользователей?

Aleks305 25 мар в 20:16

1) Нет,не думаю что это hotspot ,но не уверен,что мы одинаково понимаем этот термин.
2) Это впн для организации доступа во внутреннюю сеть облака
3) Аутентификация происходит по учетным записям пользователей в Keycloack, аутентификация по сертификатам не производится

SmileyK 25 мар в 20:20

Не пойму как подключатся VPN клиент, если вы в нем не указываете при подключении логин и парол. Увас в конфиге отсутствует auth-user-pass значит клиент не запрашивает у пользователя логин и парол

ArPi 25 мар в 21:35

Так клиент отправляет пользователя в браузер пройти авторизацию в keycloack. А он уже колбэком отправляет результат авторизации в openvpn, который по её результатам запускает сессию

AMiDEL вчера в 05:30

При запуске клиента OpenVPN запустится браузер с формой от KeyCloack c предложением ввести логин и пароль, все и вся магия. То что в конфигах указывается это связь самого keycloak плагина с openvpn сервера (сервисная учетка)

SmileyK вчера в 06:12

Но соединение то уже произошло , или оно дальше его не пускает пока не пройдешь авторизацию на этой странице ?

Aleks305 вчера в 07:14

верно,соединение прошло,но пока не пройдешь аутентификацию успешно, туннель не поднимается.

Aleks305 вчера в 07:13

При подключении клиента без auth-user-pass openvpn-сервер вызывает страницу keycloack в браузере и вы там вводите логин/пароль . при положительной аутентификации keycloack сообщает openvpn ,что аутентификация прошла и впн-канал поднимается между клиентом и сервером

SmileyK вчера в 07:58

А тайм-аут на эту операцию какой ? Пользователь долго же может вводить и сессия будет висеть

Aleks305 19 часов назад

вопрос хороший, специально проверил
‘AUTH_PENDING,timeout 180’ (status=1)

3 минуты

SmileyK 19 часов назад

о круто, спасибо за обратную связь, это прям замечательно. так как при работе с radius таймаут намного меньше, но это по крайней мере у OpenVPN который в mikrotik …

Abyss777 вчера в 03:25

Стоить заметить, что такое умеют OpenVPN клиенты с поддержкой IV_SSO=openurl,webauth А значит лесом идут линуксы с пакетами 2.6 и 2.7, и остаются только openvpn3. И значит лесом идёт настройка через GUI NetworkManager, а останется только консоль.

Хотя нет, похоже что-то появилось месяц назад https://github.com/pegasusheavy/network-manager-openvpn-sso

Aleks305 вчера в 07:14

все верно,с консольными клиентами,особенно со старыми версиями, не все так просто и это я указывал в статье.

Densen 1 час назад

Спасибо за статью, данная тема самого уже давно интересовала. Подскажите, а можно ли при помощи этого решения производить гранулярный доступ пользователей к подсетям через роль в keycloak? Допустим в моей корпоративной сети три типа подсетей, являющиеся подмножеством друг друга: гостевые, общие и куда хотелось бы доступ только админам давать, которые можно замапить на роли guest, user и admin. Возможно ли через keycloak динамически их менять для существующих юзеров с применением доступных маршрутов?

karvadimru 1 час назад

Простите, не очень понятно, клок должен быть опубликован за пределы КСПД для этого варианта?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий