Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Openvpn roadwarrior >> Quelques questions (résolu)

    Français
    5
    9
    2.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jackos
      last edited by

      Bonjour,

      depuis 9 mois pfsense remplace ipcop, mais j'ai des incompréhension sur le fonctionnement des vpn en roadwarrior par rapport à IPCOP:
      En gros sous ipcop chaque utilisateur avais leur propre certificat et pouvais utiliser le même port de connexion, mais sous pfsense il suffit d'un certificat et de changer le nom/password sur le client

      ce que j'ai fait sous pfsense:

      1. Installer le package "OpenVPN Client Export Utility" (System/Packages/Available Packages/)

      2. Créer Certificats CAs (System/Cert Manager/CAs > add)

      3. Créer des Utilisateurs (System/User Manager/users/ add)
          en cochant option >> Click to create a user certificate.

      4. Configurer nouveau serveur OpenVPN (VPN / OPenVpn / Wizard)
          - Select an Authentication Backend Type >> Type of Server: Local User Access
          - Choose a Certificate Authority (CA) / Choose a Certificate Authority (CA) : le CA créer en étape 2
          - Choose a Server Certificate / Certificate: >> le certificat créer en étape 3

      5. exportation du certificat (Vpn/OpenVpn/Client Export >> User Configuration Archive)

      6. importation de la configuration sur le client et test >> OK

      Ce que je souhaiterais faire:

      • que chaque utilisateur ait un certificat unique
      • avoir un port de connexion unique (1194 ou autre)
      • filtrer les utilisateurs ( donc avoir une ip statique pour chaque clients ??)
          –1 utilisateur ayant accès à tous le réseau
          --un groupe d'utilisateur ayant accès à certaines ordi
          --un autre groupes encore plus limité

      les pistes auxquelles je pense :

      • créer d'autres certificat server (mais les ports de connexion doivents être unique, donc plusieurs ports)
      • forcer l'adresse vpn sur le client (mais cela n’empêche pas le client de mettre l'adresse IP de l'admin si il la connait)
      • d'autres trucs (mais c'est un peu le fouillis dans la tête)

      Voila, j’espère être assez  claire et pas trop mélangé les termes techniques (je suis pas technicien réseaux, juste autodidacte)
      Cordialement

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Vous faite s les choses dans le désordre. Réaliser l'étape 4 avant la 2. Signer les certificats clients avec la CA générée pour le serveur vpn (et non la CA Pfsense)

        • filtrer les utilisateurs ( donc avoir une ip statique pour chaque clients ??)

        Voir l'onglet client specific override.

        1 Reply Last reply Reply Quote 0
        • TataveT
          Tatave
          last edited by

          Salut salut

          J'avais lut votre poste de départ ce week end, j'ai préféré voir les réponses de nos éminents spécialiste en la matière, et faire une petite recherche sur le web pour apposer ma prose.
          Bien que je ne maitrise pas du tout cette fonction ou plutôt devras je dire cette application qu'est Openvpn.

          J'ai trouvé ceci sur le web
          https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense

          et via la partie des tuto du forum fr ceci
          http://www.osnet.eu/fr/content/pfsense-et-openvpn-pour-les-novices

          Les avez vous vu et lut avant de vous lancer avec Openvpn et Pfsense ?

          Cordialement.

          aider, bien sûre que oui
          assister, évidement non !!!

          donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
          apprendre à un homme comment cuisiner, il sera vivre.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Avant tout, il y a une grande incompréhension concernant les certificats.
            Dans l'interface des certificats System > Cert Manager, il y a lieu de

            • créer 1 (unique) CA : Certificate Autority
            • créer 1 certificat pour chaque serveur OpenVPN : 1 par pfsense suffit
            • créer 1 certificat par utilisateur : de préférence ne pas lui attribuer de mot de passe !

            Perso, je n'utilise pas le "Client Export Utility" : il n'a pas fonctionné la 1ère fois que je l'ai essayé.
            De toute façon, il est super simple de faire l'équivalent

            • install du pgm openvpn (depuis le site)
            • copie de la clé publique du CA
            • copie du pkcs12 de l'utilisateur (clé publique + clé privée
            • ajustement du fichier .conf (par rapport à un modèle = juste à changer le fichier .pkcs12)

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • B
              baalserv
              last edited by

              @ JDH

              Je t'invite à re-tester le client; je l'utilise depuis la 2.0RC1 avec succès :)
              Même si ce n'est pas bien compliquer de le faire à la main, cet utilitaire fait gagner en simplicité et rapidité de déploiement ^^

              Surtout si l'utilisateur est loin, un coup de mail avec l'auto-installeur en PJ et le tour est jouer :)
              => 2 mn au tel pour lui dire : suivant, suivant et l'aider à configurer le raccourcie pour le client Rdp = 1 admin & 1 client satisfait :)

              Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                @baalserv : C'est probable

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • J
                  jackos
                  last edited by

                  Bonjour à tous et merci des retours,
                  pour éviter tout malentendu, je précise que j'arrive bien à créer et établir une connexion vpn.

                  @ccnet:

                  • filtrer les utilisateurs ( donc avoir une ip statique pour chaque clients ??)

                  Voir l'onglet client specific override.

                  Merci pour l'onglet client specific override. c'est exactement ce que je cherchais (ajouter par exemple ifconfig-push 192.168.2.151 192.168.2.100; pour attribuer une ip spécifique à un client)
                  Pour l'ordre des étapes, si je fais directement le wizard, cela donne:
                    a) Select an Authentication Backend Type >>  Local user Access
                    b) Création du  Certificate Authority (CA)
                    c) Création du Server Certificate
                    d) Configuration générale de l'openvpn (Protocol / Local Port / Tunnel Network / …)ps: je laisse tous par défaut pour l'instant.
                  Du coup il n'y pas besoin de faire l’étape 2, car elle est crée pendant le wizard à l'étape b. donc cela revient au même (dites moi si je me trompe)

                  Maintenant ce que je ne comprends pas, c'est que tous les utilisateurs peuvent se connecter à partir du même fichier de configuration (il faut juste changer le nom  et le password):
                  IL me suffit de télécharger l'archive d'un seul client à partir de "Client Export", qui donne 3 fichier :
                    - pfSense-udp-1194-user1.ovpn
                    - pfSense-udp-1194-user1.p12
                    - pfSense-udp-1194-user1-tls.key
                  Sous un ordi client ubuntu 14.04, j'ai juste à importer le fichier *.ovpn (il me met automatiquement les *.p12 et *.key) et renseigner le nom et password de l'user1 et ca fonctionne
                  Mais cela fonctionne aussi en changeant juste user1 par user2 et le password!!!! C'est ici que je ne comprends pas.

                  Je vais essayer d'exporter en manuel avec la méthode de jdh pour voir

                  1 Reply Last reply Reply Quote 0
                  • B
                    baalserv
                    last edited by

                    vous pouvez cocher la petite case dans les config serveur :

                    => Strict User/CN Matching
                    When authenticating users, enforce a match between the common name of the client certificate and the username given at login.

                    Cordialement

                    Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                    1 Reply Last reply Reply Quote 0
                    • J
                      jackos
                      last edited by

                      @baalserv:

                      vous pouvez cocher la petite case dans les config serveur :

                      => Strict User/CN Matching
                      When authenticating users, enforce a match between the common name of the client certificate and the username given at login.

                      Cordialement

                      ah le boulet que je suis, je suis un winner sur ce coup…

                      Merci baalserv (aux autres aussi ;))
                      et ccnet pour  l'onglet client specific override.

                      Résolu

                      ps: le client export est vraiment simple . sous ubuntu on extrait l'archive,  importe le fichier ovpn, on rentre les user/password et c'est fini (pas testé sous win)

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.