Hi.
Ich habe mich mit diesem Anliegen direkt an scope7 gewendet. Ich poste hier deren Antwort auf die Frage, da das für das zukünftige Setting sicher noch interessant wird:
Es gibt folgende zwei Lösungswege.
1.) Zwei OpenVPN Server aufsetzen mit getrennten Interfaces und Admins sowohl einen „normalen“ Zugriff geben, als auch einen „Admin“ VPN Einwahl geben (die ggf. dann auf einem anderen Port nach extern läuft). Hier kann dann sehr einfach zwischen „normalem User“ und „Admin“ getrennt werden, der Verwaltungsaufwand bzw. Einrichtungsaufwand ist aber etwas höher.
2.) Je nachdem, wie viele Benutzer es im VPN (gleichzeitig) gibt (meist weniger als 200) ist die folgende Variante die meistgenutzte:
a.) Normales VPN Roadwarrior Setup mit Userverwaltung via Freeradius und ggf. Zertifikaten als 2. Faktor
b.) Admins erhalten einen zusätzlichen Benutzer
c.) Zusatzbenutzer von Admins erhalten vorher via Radius festgelegte IP Adressen im Dial-In VPN Transfernetz
d.) Festgesetzte IPs bei der Einwahl erhalten via Regelsatz auf OpenVPN/OVPNx Interface dann Zugriff auf Mgmt Netz bzw. „alles“, normale User nur Zugriff auf notwendige Ressourcen
e.) Durch FreeRadius Paket auf der OPNSense sehr einfach zu verwalten und konfigurieren
f.) Regelsatz auf VPN Interface muss entsprechend „wasserdicht“ gestaltet sein
Wie geschrieben ist es meistens Variante 2 was man bei den Kunden einrichtet, weil es oftmals einfacher im Handling ist. Sofern aber der VPN Port bzw. das externe Interface nicht das Problem sind, kann man auch Variante 1 gut umsetzen. Ist an der Stelle eher Kundenwunsch. Sicher bekommt man beides hin und ggf. auch ohne Zertifikate.