Я ищу способ установить безопасные соединения удаленных пользователей с внутренней закрытой локальной сетью. Я уже могу подключить удаленную машину к контроллеру домена samba через клиент openvpn 2.x до входа в систему с помощью запланированной задачи, поэтому удаленное подключение к домену решено.
Теперь мне нужно знать, есть ли способ, чтобы контроллер домена сообщал брандмауэру, что тот или иной компьютер принадлежит домену, и чтобы брандмауэр использовал эту информацию, чтобы различать, может ли хост получить доступ к другой внутренней сети. Например, я бы хотел, чтобы сервер openvpn (10.0.0.2) давал каждому пользователю зарезервированный IP-адрес в диапазоне 10.0.0.x, чтобы они могли видеть контроллер домена (10.0.0.3). Затем контроллер домена сообщает брандмауэру (10.0.0.1, шлюз), присоединены ли машины, подключенные с использованием этих IP-адресов, к домену и, следовательно, безопасно ли впускать их во внутреннюю сеть через другой интерфейс, к которому подключен брандмауэр, например 10.0.1. .Икс. Пока это условие не будет выполнено, пользователи будут иметь доступ только к «лобби» 10.0.0.x.
Идея состоит в том, чтобы запретить удаленному пользователю просто использовать учетные данные и сертификат vpn на любой машине (потенциально небезопасных машинах, на которых работает бог знает что) для доступа к защищенной внутренней сети. Я уже знаю об аутентификации LDAP для openvpn, но, насколько я знаю, она только спрашивает контроллер домена, в порядке ли учетные данные x, и не проверяет, действительно ли машина находится в домене.
Это существует? Это вообще возможно? Это вообще необходимо, или я смотрю на это неправильно, и есть гораздо более простая альтернатива?
Заранее спасибо.
