我最近购买了 SG-4860 pfSense 安全网关设备,并尝试将所有设置从 SonicWall 迁移出去。在我的实验室环境中,一切基本都很好,但我无法从 SonicWall 迁移我的 NetExtender 设置。
基本上,在 SonicWall 上,我能够定义用户和组。然后,我可以为组分配一个路由列表,这些路由在它们连接时会加载。因此,为了简单起见,我在这里举了一个例子,其中有 3 个组具有以下子网的权限:
- 系统工程师(192.168.1.0/24、192.168.2.0/24、192.168.3.0/24)
- 开发人员(192.168.2.0/24、192.168.3.0/24)
- 最终用户(192.168.3.0/24)
在 pfSense 设备中,我创建了一个 OpenVPN 端点和 1 个工程师用户。在隧道设置中,我列出了 3 个本地网络,当我使用 Viscosity 连接时,我能够访问所有所需的子网。我的问题是,如何使每个用户/组的网络分配动态化,以便我的开发人员和最终用户只能看到他们被允许看到的网络?
答案1
在 pfsense 上,您可以轻松创建多个 openvpn 实例。拥有一组有限的路由组合是最简单的方法。
您还可以使用客户端特定的覆盖。
从安全角度来看,最好使用实例 - 您可以将每个实例映射为单独的接口并在那里定义防火墙规则。 pfsense 上的接口/桥接大致可以与 sonicwall 或其他基于区域的防火墙上的区域进行比较。