quote:
Op zondag 22 oktober 2017 17:35 schreef L95 het volgende:Hallo!
Binnen een virtuele omgeving met twee pfSense routers (via een Site-to-Site OpenVPN connectie verbonden) wil ik:
• Vaste servers en vaste workstations beide toevoegen aan een eigen VLAN binnen pfSense.
Dit kan, indien je hardware VLANs ondersteund. Hangt een beetje af van je netwerk design.
quote:
• De connectie met de Active Directory server voor workstations kunnen behouden zodra deze in VLAN's zijn opgesplitst.
Kan ook met pfsense. Gewoon een goede rule set bouwen met de benodigde porten tussen de VLANs.
quote:
• Verschillende gebruikersgroepen binnen het AD toegang tot verschillende servers geven. Sommige servers dienen benaderd te kunnen worden door meerdere groepen.
Wow.... Nu begon het complex te worden. Dit zou kunnen met IPSEC, maar dat heeft als nadeel, dat je de porten niet meer kan regelen aangezien alles via IPSEC loopt. Alternatief.... NAC en daar ben je eigenlijk naar opzoek.
quote:
• Daarbij ook gebruikers op laptops (die geen lid zijn van het AD domein) laten authenticeren met een gebruikersnaam en wachtwoord, en op basis hiervan laten indelen in het juiste VLAN. Ook moeten de juiste server restricties worden gegeven die horen bij de groep waar de gebruiker lid van is.
Dit is heel complex en niet even te bouwen. Zou kunnen net NAC, maar dit is niet even gedaan. Je hebt het nu over een hele complexe oplossing.
Jou er rekening mee dat bepaalde services altijd nodig zijn tijdens het inloggen, denk hierbij aan ADS, home/profile directory servers, print servers, DFS, drive mapping locaties.
quote:
Hierbij moet Network Port Security worden ingezet, maar hoe weet ik nog niet.
Dit is een onderdeel van een NAC oplossing.
quote:
Een uitgebreid beschreven handleiding is niet persé waar ik om vraag. Ik zit alleen vast en ben op zoek naar een zetje in de juiste richting. Ik heb nu even geen idee waar ik op moet zoeken en niets dat ik heb gevonden voldoet aan deze punten. Een nuttig zoekwoord of functie per punt zou bijvoorbeeld ook al heel fijn zijn.
Handleidingen zijn hier eigenlijk ook niet direct voor. Wat je wilt is niet standaard, maar veel is mogelijk met NAC. Zoek eens op
packetfence Eventueel Cisco ISE.
Maar deze oplossingen hebben een sterke afhankelijkheid van je switches. En NAC is heel complex om in te richten en kost erg veel tijd en onderhoud en is meestal erg gebruikers onvriendelijk.
Nu klinkt het redelijk als een huis werk, zo niet en wil je dit werkelijk implementeren. Begin er dan niet aan. Je mist veel te veel kennis in de basis, en NAC is erg complex om te implementeren.