PKI en VPN authenticatie

[Mike1974]

Nieuwe gebruiker, en heb flink op het NL en US forum gezocht, maar kon hier niets over vinden.

Ik heb een 10-tal gebruikers welke elke dag op basis van Active Directory username/password een X.509 client certificaat geautomatiseerd ontvangen onder mijn eigen LibreSSL gebaseerde CA. Mijn gebruikers zijn Windows 8/10 en MacOSX gebruikers
De certificaten zijn slechts 12 uur geldig en hebben elke keer een andere private-public key-pair, maar het Subject blijft hetzelfde, ie zelfde CN O en OUetc.

Om met mijn Syno NAS te kunnen kunnen verbinden heb ik het standaard VPN pakket geinstalleerd.
Op dit moment wordt PPTP gebruikt, maar OpenVPN zou net zo goed kunnen.

Ipv username/password voor authenticatie tot de VPN zou ik het liefst mijn uitgerolde client certificaten gebruiken ipv Ad gebaseerde username/password.
Client certificaten zou OpenVPN en PPTP default ondersteunen, maar de interface van de Syno VPN stelt je niet in staat dit te configureren.


Weet iemand hoe ik certificate based authentication op basis van X.509 client certificate subject mapping (dus niet public key verification) mogelijk kan maken op de Syno VPN, desnoods via SSH gebaseerde config aanpassingen?


Tevens zou ik het liefste de drive mapping ook op basis van certificaten willen doen nadat de VPN tot stand is gekomen.
Is dit mogelijk en zo ja weet iemand hoe?

Alvast enorm bedankt!

[Pippin]

Hallo Mike,
Als reactie op je post en PM.

Ik heb een 10-tal gebruikers welke elke dag op basis van Active Directory username/password een X.509 client certificaat geautomatiseerd ontvangen onder mijn eigen LibreSSL gebaseerde CA. Mijn gebruikers zijn Windows 8/10 en MacOSX gebruikers
De certificaten zijn slechts 12 uur geldig en hebben elke keer een andere private-public key-pair, maar het Subject blijft hetzelfde, ie zelfde CN O en OUetc.

Dat loopt nu op een andere machine zoals ik begrijp en je wilt dat op de NAS hebben?
Dan houd er vast rekening mee dat Synology hun eigen "sausje" eraan gegeven hebben waardoor voor allerlei problemen die vrijwel zeker gaan ontstaan een specifieke oplossing gezocht moet worden.
Zo gezien kun je misschien beter overwegen die machine te houden en eens in de OpenVPN documentatie kijken hoe je je wens omzet.
Zoekwoord: Policy routing
Dat zal ook al een klusje zijn maar minder dan op een DS vanwege het "sausje" en dus het reverse engineering.
Dan hebben we het ook nog niet over DSM/VPN Server updates die roet in het eten gooien.

PPTP heb ik geen ervaring mee maar OpenVPN zou altijd mijn voorkeur hebben, gezien mijn vermoeden dat dit bedrijfsmatig is.
Redenen zijn alom op het net te vinden. Slechts ter info, L2TP op de NAS kun je wegstrepen, dat ondersteund slechts één client.

Op de NAS of toch niet?