Я недавно купил SG-4860 pfSense Security Gateway Appliance, и я пытаюсь перенести все наши настройки с нашего SonicWall. В моей лабораторной среде по большей части все было отлично, но я застрял на переносе настроек NetExtender из SonicWall.
В основном на SonicWall я мог определять пользователей, а также группы. Затем я мог назначить группам список маршрутов, которые будут загружаться при подключении. Итак, для простоты у меня есть пример с 3 группами с разрешениями на следующие подсети:
В устройстве pfSense я создал конечную точку OpenVPN и 1 пользователя-разработчика. В настройках туннеля я перечислил 3 локальные сети, и когда я подключаюсь к Visidity, я могу достичь всех желаемых подсетей. У меня такой вопрос: как сделать динамическое назначение сетей для каждого пользователя / группы, чтобы мои разработчики и конечные пользователи видели только те сети, которые им разрешено видеть?
В pfsense вы можете легко создать несколько экземпляров openvpn. Самый простой путь - это ограниченный набор комбинаций маршрутов.
Вы также можете использовать специфичные для клиента переопределения.
С точки зрения безопасности лучше использовать экземпляры - вы можете сопоставить каждый экземпляр как отдельный интерфейс и определить там правила брандмауэра. Интерфейс / мост на pfsense можно примерно сравнить с зоной на sonicwall или другими межсетевыми экранами на основе зон.