💬 Foros
Redes

❓

¿Hay vida más allá de Forticlient VPN?

vukits ayer 16:47

⋮

Buenas.

Pues eso: pregunta abierta.

El año pasado pude implementar una VPN SSL conectada a un OIDC(identidad de usuario y contraseña), gracias a un señor muy generoso y a la gente de Openvpn3:

Y la verdad, no funciona mal en clientes Windows y Mac. Interesantemente, fueron los usuarios de GNU/Linux los que estaban descontentos porque Openvpn3 aún no está integrado con NetworkManager.

Ahora bien, he mudado a WireGuard que está pelao de absolutamente cualquier tipo de tema de autenticación… Y otra vez tengo la duda existencial,(que no necesidad).

¿Recomiendan una VPN que funcione con usuario y contraseña y que pueda conectar a un proveedor de identidad? (para empresa pequeña)

un saludo

Comparte

Agron2k08 ayer 16:54

⋮

Según Fortinet el SSL-VPN está muerto. A partir de ya, todo ha de ser IPSec-VPN… estamos renovando todos los equipos (más de 25) y hemos tenido que coger modelos superiores (+4GB RAM, 8 cores) para las sedes que tienen mucho usuario en movilidad. Los vamos a migrar todos en un par de meses. En nuestro caso usamos AD(LDAPS) + 2FA (que esperamos poder seguir usando sin tener que tragar con Fortitoken).

sergioam ayer 17:13

⋮

En su día usé openfortivpn, ya no funciona?

✖

sergioam ayer 17:20

⋮

Ok, vale, no he dicho na, que quieres algo precisamente que no tenga que ver con esto y multiplataforma. Me voy, adios.

vukits ayer 17:23

⋮

En su día usé openfortivpn, ya no funciona?

ya que preguntas, te cuento qué me pasó :

Desde hace más de un año, Forticlient VPN recomienda habilitar el plugin "Zero-Trust": eso dejó el cliente openfortivpn inútil y hay que usar el cliente oficial del fabricante (hasta donde yo sé).

PezDeRedes ayer 19:28

⋮

Un poco offtopic, pero a mi lo que más me toca los bemoles del Forti es su app de 2FA. Más cutre imposible, ni backup ni absolutamente nada. Pierdo el móvil y ya puedo ir buscando a los de sistemas para que me den una solución.

✖

vukits ayer 19:58

⋮

Nosotros usabamos el SSO y el 2FA del proveedor de identidad, no el de Forticlient.

Agron2k08 ayer 23:21

⋮

Nosotros, de momento, habilitamos por CLI (los muy cabritos lo tienen bien escondido) la capacidad de enviar un token numérico por email, pero este email se envía a un sistema que lo convierte en un SMS que recibe el usuario en su número de empresa… no es lo mejor ni lo más recomendable, pero nosotros no pasamos por la piedra del Fortitoken de los coj… (hasta que renovemos los equipos, vaya).

✖

rbetancor hoy 00:29

⋮

Sino quieres pasar por el aro de fotitoken, que es el siguiente objetivo de forti en su plan de robo continuo, perdón, "mejora de servicios". Tienes 2 opciones:

1- Dejar de usar equipos FortiMierda, que es lo que son una soberana MIERDA.

2- Usar una solución de VPN que no dependa de Forti. Tengo clientes que han terminado montando una VM en DMZ con WireGuard, que actue de tunel-broker. SSO LDAP + 2FA propio, asignan ips estáticas en el tunel, por vinculación IP-usuario desde el LDAP y en el FortiMierda tienen creadas esas IP como objetos con el nombre del usuario, script en python que actualiza esos objetos a partir del LDAP, y a correr, que son 2 días.

✖

Agron2k08 hoy 07:01

⋮

Ah, ¿pero al final ese cliente sigue teniendo un FortiMierda? 🤷‍♂️

Por todo el montaje que describes pensaba que tendrían Palo Alto(en la cabeza) como poco. Tanta potencia detrás de un FortiMierda 🫣 con su SD-WAN de juguete…

Cuando les entren hasta la cocina, que pasará, ¿quién se comerá el marrón? Es súper fino usar WireGuard, es la moda y una religión como los crossfiteros o los veganos.

Pero no hablemos de que todas las IPs se tienen que meter a manubrio, los routing loops o que hay que jugársela con oscuros scripts de Python cuál malabarista de circo, queda feo sacarle las vergüenzas al sistema de moda.

✖

rbetancor hoy 09:10

⋮

✖

Agron2k08 hoy 13:43

⋮

✖

rbetancor hoy 14:00

⋮

✖

Agron2k08 hoy 14:20

⋮

✖

rbetancor hoy 16:25

⋮

vukits hoy 09:00

⋮

por cierto, acabo de ver de que pfSense tiene soporte para OpenVPN con usuario+contraseña.

pero se alimenta de una DDBB local de usuarios, hmm…

(y a saber cómo funciona con clientes gnu/Linux y qué tal va de velocidad.

Cucalister hoy 11:50

⋮

Hola, yo estoy encantado con netmaker, facil de administrar por web, basado en WireGuard, mesh, etc etc…

www.netmaker.io

github.com/gravitl/netmaker

espero que os sirva.

✖

Agron2k08 hoy 13:49

⋮

Tiene muy buena pinta, tomo nota. Yo uso Tailscale, pero no está de más darle un vistazo a otras soluciones.

✖

Cucalister hoy 14:15

⋮

si estas contento con tailscale sigue usandolo. No puedo hablar de taislcale porque no lo he probado, netmaker varios años y no puedo estar mas contento.

Lo unico que parece es que es mas rapdio netmaker (WireGuard) que tailscale, a nivel de uso cpu para encriptar el tunel. Parece la unica pega de tailscale. Pero lo dicho, si te va bien y te da suficiente ancho de banda en el tunnel, no lo toques.

✖

Agron2k08 hoy 17:47

⋮

Lo tengo en el VPS más baratillo que puede haber (2 vCPU) y me saca los 400Mb/s que tiene asignados sin problema. Eso sí, las CPUs al 100% cuando le paso el iperf3 desde mi casa. El nodo que tengo en casa es una VM con 4 vCPU (es un Proliant G8 con dos Xeon 2690 del año de la polka) y no sufre tanto cuando le pido algo desde fuera, llegando a casi 800Mb/s si tiro el test desde otra fibra de 1Gb.

También tengo desplegadas ahí dos JetKVM, que como la implementación que hay solo es de Tailscale, pues me parecía la opción a usar más adecuada.

Sin saber que cifrado usa el túnel es difícil valorar si es más eficiente en CPU, piensa que esos JetKVM llevan un SoC súper sencillo (Rockchip RV1106G3) y sacan entre 10-20Mb/s con Tailscale, lo que es todo un logro ya que a la vez tiene que codificar el video y gestionar el servidor KVM.