Verständnisfragen zum VPN-Gateway der Pascom Cloud

Hallo,
ich habe 2 Verständnisfragen zum VPN-Gateway der Pascom Cloud. Die Einrichtung an sich und Einwahl funktioniert schon mal und ich kann die Cloud-Anlage über das VPN anpingen.

Gegeben sei beispielhaft:

  • Pascom Cloud Anlage – Transit-Netzwerk auf Standard 172.16.23.0/24
  • Lokales Netzwerk für Server – 10.0.0.0/24, Default Gateway 10.0.0.254
  • AD / DHCP Server auf 10.0.0.1
  • Lokales Netzwerk für Telefone – 10.1.0.0/24, Default Gateway 10.1.0.254
  • Router/Firewall, der zwischen den beiden Netzen routet
    Dort läuft auch ein DHCP-Relay, so dass die Clients/Telefone aus anderen Subnetzen, den DHCP Server erreichen und von dort eine Adresse erreichen können.

Ich möchte nun 2 Sachen erreichen, AD-Authentifizierung für die Anwender und automatische Provisionierung für die Telefone.

  1. Zur Ermöglichung der AD-Authentifizierung müsste ich ja eigentlich „nur“ den OpenVPN Client auf dem AD-Server installieren. Dann könnte dieser die Pascom Cloud Anlage unter der IP 172.16.23.1 erreichen und die Pascom den AD Server unter der IP, die der OpenVPN Client bei der Einwahl erreicht. Diese kann ich dann als LDAP host bei den Authentifizierungseinstellungen hinterlegen.
    Diese Umsetzung ist mir klar. Allerdings sehe ich das aus Sicherheitsüberlegungen kritisch. Durch die OpenVPN Einwahl wird ja ein praktisch unbeschränkter Tunnel zwischen der Cloudinstanz und dem lokalen Server etabliert, wo nur der LDAP-Port nötig wäre. Damit kann die Cloudinstanz im Falle eines Angriffs durchaus theoretisch mehr Schaden anrichten als nötig. Eine bessere Filterung wäre mir hier lieber. Gibt es dafür Ideen oder Umsetzungsvorschläge.

  2. Für eine funktionierende DHCP Provisionierung soll man laut Doku die IP http://[Ihre_VPN_IP]/provisioning/ verwenden. Allerding glaube ich nicht, dass da ohne weiteres funktioniert.
    Verwende ich als IP die 172.16.23.1 der Cloudinstanz, gehen die Telefone über Ihren Default Gateway, da die Adresse nicht im eigenen Subnetz ist. Dieser verwirft die Pakete, da er keine Route dafür hat. Ebenso verhält es sich mit der VPN-Client-IP des Servers 172.16.23.x. Auch da weiß das Default Gateway nicht wohin.
    Verwende ich die lokale IP des Servers 10.0.0.1 kommen die Pakete zwar beim Server an, der hat dort aber den Port 80 gar nicht offen und weiß mit den Paketen auch nichts anzufangen.
    Wenn ich es richtig sehe, würde man eigentlich einen Gatewayserver mit aktiviertem Routing benötigen. Dieser wählt sich per OpenVPN ein und bekommt eine VPN-IP 172.16.23.x. Im internen Netzwerk hat dieser dann z.B. die 10.0.0.2. Außerdem muss er die Pakete zwischen seinen beiden Interfaces (und damit den IPs) routen und ggf. sogar NATten. Bei den Telefonen gebe ich dann die 10.0.0.2 als Provisionierungs-IP an.
    Habe ich irgendwo einen groben Denkfehler gemacht? Ich sehe jedenfalls keine Möglichkeit das ohne Gatewayserver umzusetzen.

Vielen Dank für eure Unterstützung.

Grüße
Stephan

Hi Stephan,

wir haben die opnsense mit dem VPN Client an die Pascom Cloud angebunden. Dann kann ich per Firewallregeln den Zugriff auf den DC auf LDAP 389 beschränken und ich kann die Provisionierung für die Telefone nutzen.

Gruss

Flo