Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    FpSense + OpenVPN + OTP (Google Authenticator)

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 945 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      astartusfi
      last edited by

      Moin zusammen,
      als pfSense "Neuling" suche ich nach einer Möglichkeit im OpenVPN-Server oder auch im RADIUS-Modul den Google Authenticator einzubinden. Leider gibt's dazu meist nur unvollständige oder nicht wirklich sinnvolle Posts im Netz, weshalb ich einfach mal hier fragen wollte, ob das einer von euch bereits mal zum Laufen bekommen hat.

      Ich habe derzeit ein pfSense + OpenVPN + Microsoft AD Konstrukt am laufen, jedoch ist mir Zertifikat-und-Benutzername/Passwort zu wenig Sicherheit. Gibt es überhaupt konkrete Ansätze um pfSense + OpenVPN + Microsoft AD mit "OTP" zu erweitern?

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo astartusfi,

        zuerst einmal: das wird sehr wahrscheinlich nicht funktionieren. Google Authenticator nutzt TOTP als Verfahren, Radius o.ä. mit OpenVPN verwendet aber M-OTP als Verfahren für Einmalpasswörter. Du bräuchtest also eine andere App dafür bzw. einen anderen Generator.

        Zum anderen:

        jedoch ist mir Zertifikat-und-Benutzername/Passwort zu wenig Sicherheit

        Das überrascht mich dann doch, denn wieviel Sicherheit möchtest du denn bei einer VPN Einwahl noch!? Du hast mit der maximalen Stufe von OpenVPN unter pfSense ja bereits 3(!) Faktoren (nicht nur 2) die alle getrennt voneinander gegeben sein müssen:

        1. Session Key
        2. User + Passwort
        3. Zertifikat des Users (sinnvollerweise mit CN=username matching)

        Alle 3 Faktoren müssen vorhanden sein, um die Einwahl vorzunehmen. Und selbst dann - sollte jemand aus doofen Gründen komplett das gesamte Paket verlieren - ist es noch möglich, problemlos das Zertifikat per CRL zurückzuziehen und den User zu disablen (im Radius). Da frage ich mich schon, wieviel Sicherheit du noch erkaufen möchtest mit wieviel zusätzlichen Faktoren? Denn wenn du davon ausgehst, dass alle einzelnen Daten wie Konfiguration, TLS Key, Zertifikat, Username + Passwort jemand anderem in die Hände fallen können, was hält den dann davon ab, dein OTP zu klauen (sprich die App oder die Einstellungen)?

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.