Pierre Porcheret




Voir la liste des articles



16 12 2015


OpenVPN avec Active Directory sur Pfsense

Création d'une autorité de certification

Allez dans System > Cert Manager > CAs

Ajouter un certificat  (+)

Descriptive name : Nom du certificat (exemple CA_Openvpn)

Method : Create an internal Certificat Authority Key

Key length : Taille de la clé (conseil >= 2048)

Digest Algorithm : taille Algorithm (conseil >= SHA256 minimum)

Lifetime : durée de l'autorité de certification en jours (exemple 3650 days)

 

Country Code : Nom du pays (exemple FR)

State or Province : Nom département (exemple Savoie)

City : ville (exemple Chambéry)

Organization : (exemple Google2)

Email Address : adresse mail (exemple : admin@mycompany.com)

Common Name : nom commun (exemple: internal-ca)

 

Création Certificat

 

Allez dans System > Cert Manager > Certificates

Method : Create an Internal Certificate

Descriptive name : nom (exemple Cert_OpenVPN)

Certificate authority : choisit l'autorité (exemple : CA_Openvpn)

Key length : Taille de la clé (conseil >= 2048)

Digest Algorithm : taille Algorithm (conseil SHA256 minimum)

Certificate Type : Server Certificat

Lifetime : durée de l'authorité de certification en jours (exemple 3650)

Country Code : nom du pays (exemple FR)

State or Province : nom département (exemple Savoie)

City : ville (exemple Chambéry)

Organization : (exemple Google2)

Email Address : adresse mail (exemple : admin@mycompany.com)

Common Name : nom commun (exemple: internal-ca)

Ajout de l'AD dans PFsense

Coté Active directory, je vous conseil de faire un groupe spécifique pour les utilisateurs afin de gérer plus facilement les personnes mais aussi être sur qu'il n'y ai pas d'impact avec le reste de votre infrastructure.

Allez dans System > User Manager > Server

Ajouter un nouveau server (+)

Descriptive name : nom de votre server (exemple : AD_VPN)

Type : LDAP

Hostname or IP address : adresse IP du serveur

Port value : 389

Transport : TCP-standart

Peer Certificate Authority : votre CA (exemple comme ci dessus : CA_Openvpn)

Protocol version : 3

Server Timeout  : 25

Search scope : Entire Subtree

Base DN: votre domaine AD (exemple DC=domaine,DC=local pour un domaine en domaine.local)

Ensuite, il faut configurer la connexion avec l'administrateur du domaine pour remplir le reste.

Décocher la case "Use anonymous binds to resolve distinguished names" dans Bind credential et remplir avec les informations de l'administrateur :

User DN: utilisateur admin (exemple : DOMAINEAdministrateur)

Password : votre mot de passe admin

On peut ensuite chercher le CN du groupe VPN,

Dans "Authentification containers", cliquez sur "Select", vous devriez voir les différents groupes utilisateurs de votre AD, reste à choisir le bon groupe (exemple OU=VPN,OU=Users,DC=domaine,DC=local)

Initial Template : Microsoft AD

Laisser le reste par défaut.

Configuration OpenVPN

Lancer le Wizard : VPN > OpenVPN > Wizard

Type of Server:  LDAP

LDAP servers: votre AD VPN (exemple AD_VPN)

Certificate Authority: votre autorité de certification (exemple CA_Openvpn)

Certificate: votre certificat (exemple Cert_OpenVPN)

Interface: WAN

Protocol: je vous conseil TCP pour éviter de lancer des requêtes dans tous le réseau de votre client

Local Port: par défaut 1194, à adapter selon l'infrastructure sur le poste distant (firewall)

Tunnel Network: le VLAN de vos client VPN (exemple : 10.0.8.0/24)

Local Network: votre VLAN réseau interne (exemple : 192.168.0.0/24)

Concurrent Connections: nombre maximum de connexions simultanées.

Inter-Client Communication : cochez si vous voulez que les clients puissent communiquer entre eux

Duplicate Connections: si plusieurs connexions sont permise avec le même login.

DNS Default Domain:   

DNS Server 1:   

DNS Server 2:   

...

Entrer les paramètres DNS si vous voulez prendre en compte les DNS interne

Firewall Rule: Pour ajouter la règle automatiquement dans le firewall

OpenVPN rule: Pour ajouter la règle dans les configurations du VPN

Configuration pour le client

Installez le paquet OpenVPN Client Export Utility

System > Packages > Available package > OpenVPN Client Export Utility

Vous devriez maintenant facilement exporter les fichiers de configuration client.

Allez dans VPN > OpenVPN > Client Export

Remote Access Server : votre configuration

Puis dans "Client Install Package" (plus bas dans la page) , dans la colonne de droite vous pouvez choisir le type de configuration à télécharger selon votre client :

- Standard Configurations:

   Archive   File Only

- Inline Configurations:

   Android   OpenVPN Connect (iOS/Android)   Others

- Windows Installers (2.3.8-Ix01):

   x86-xp   x64-xp   x86-win6   x64-win6

- Viscosity (Mac OS X and Windows):

   Viscosity Bundle   Viscosity Inline Config

Installez ensuite la configuration dans votre client OpenVPN sur le poste client.

 

 


categorie :VPN