Wireguard + fido

[doys]

Bonjour à tous,

Je ne pense pas avoir vu un sujet similaire.

Je me penche doucement sur le remplacement de mon bon vieux OpenVPN.

J'aimerais mettre en place un Wireguard dans mon infra pour mes utilisateurs en télétravail.

Mais j'aimerais ajouter un couche de sécurité complémentaire, j'ai pensé a fido.

Mon premier soucis est que j'ai pas trouvé de support fido pour Wireguard (peut être une solution équivante).

J'aimerais au moins avoir un second facteur.

Auriez-vous des idées ?

Merci d'avance,

[ashlol]

le principe de wireguard est de rester simple et efficace et n'a pas de base de double authentification car est basé sur clef privée. Après tu peux faire un script qui viens renouveler les clefs régulièrement

Il y a une boite qui a flairer la piste et a donc ajouter une surcouche a wireguard permettant cela c'est https://github.com/tailscale/tailscale

gratuit pour un user seulement.

sinon tu ne t’embêtes pas tu installes une box dédié genre fortigate et ça gères tout pour toi et il y a la 2FA on utilises ça au boulot et ça marche bien.

[doys]

J'avais pensé a fortigate et autre.

J'ai vu une démo pour le boulot par Forti de tous l'écosystem. C'est vraiment pas mal dutout.

Le soucis, c'est que je n'ai plus aucun budget disponible avant un moment.

Je te remercie, je vais continuer mes recherches et peut être exploiter un script

[Aloyse57]

On utilise FortiSSL VPN à mon boulot : ça fonctionne bien, mais sa configuration côté client est une usine à gaz. Il est où le bon vieux temps du VPN client Microsoft intégré à Windows 😭 ? Aujourd'hui chacun y va de sa cyber-solution quitte a générer des incompatibilités avec les autres programmes et bouffer des ressources à la pelle.

[doys]

C'est en effet, un des points qui m'attire sur Wireguard, ca simplicité.

Si nous n'avons pas rencontré de difficulté avec le télétravail, les utilisateurs ne savent pas faire la différence entre le VPN et le Remote.

La plupart de nos interventions sont de vérifier qu'ils ont bien lancer le VPN 🤣

Donc un teamviewer + un client vpn + un racourçis sur le bureau, c'est trop compliqué pour les utilisateurs (du moins chez nous).

J'aurais bien aimer une interface web avec identification double facteur, qui permet de lancer le client vpn avec identification et un petit bouton pour lancer le remote.

et peut être un autre bouton pour lancer le teamviewer

 

[ashlol]

Il y a 3 heures, Aloyse57 a dit :

On utilise FortiSSL VPN à mon boulot : ça fonctionne bien, mais sa configuration côté client est une usine à gaz.

clairement je suis surpris car de notre coté t'install forticlient tu charges le fichier de config et roule ça marches. Idem pour configurer le 2fa tu copie colle le lien donné par le fortigate dans l'appli sur le play store et hop 2fa actif. honnètement coté client c'est vraiment tranquil c'est plus coté fortigate que c'est plus compliqué as tout bien configurer et encore ça va.