OpenVpn в режиме Remote Access ssl/tls+user auth (AD)



  • Добрый день!

    Есть pfsense 2.4.4-RELEASE (amd64) на нем настроен OpenVpn в режиме Remote Access (user auth) , пользователи AD. Все работает хорошо! Возникла потребность перевести OpenVpn в режиме Remote Access ssl/tls+user auth (AD), то есть помимо авторизации должен быть еще сертификат у каждого удаленного пользователя , подключающегося по OpenVpn. Переведя OpenVpn в режиме Remote Access ssl/tls+user auth во вкладке OpenVPN/Client Export Utility не появляются клиенты из AD (см. во вложении) . Как изготавливать доменным пользователям сертификаты для подключений по OpenVPN? Подскажите, пожалуйста, буду рад!
    a4bc4b3f-524c-4494-b034-20ebf9c1c277-image.png



  • @lexsnork
    Здр
    1.Вам надо через меню /System/Certificate Manager/CAs
    создать или импортировать сертификат CA
    ea8d95ef-1672-49a2-a662-6fa1df697dcc-image.png
    2 . в меню /System/Certificate Manager/Certificates Вам надо создать или импортировать сертификаты для клиентов и для OpenVpn сервера

    bbee1ea8-5166-472c-b99f-cc077e4e67dd-image.png

    1. В настройках Openvpn сервера выбрать нужный CA-сертификат и сертификат сервера

    8a225d7a-465b-4916-957d-a8b21855f5b6-image.png

    После всего этого у Вас должны появиться в Client Export все клиентские сертификаты для нужного OpenVPN сервера , подписанные этим сертификатом CA

    65320a0b-e63e-4e83-9fb2-88d96d28e130-image.png

    0d86b3ad-c77e-4c8c-8b53-4f1bfabd4aec-image.png



  • Добрый день, Константин!

    То что вы описали, это уже сделано было, вот скриншоты

    5e9e79ab-2904-490c-9105-b3e1aff766ee-image.png
    7720dde1-367b-418d-b33e-bfaf85c12cd7-image.png
    48fccf2d-5d5c-48d2-81ce-10029b02922b-image.png

    Вот весь вопрос, как импортировать из Active Directory пользователей и создавать для них сертификаты???
    Создавать в домене MS сервер сертификатов и оттуда импортировать? Очень нужно, подскажите как?



  • @lexsnork Здр
    Утилита "Client Export Utility" использует сертификаты , которые "зашиты" в PFSense. Каким образом они туда попадут , будут импортированы или созданы, неважно .
    Можно идти 3-мя путями

    1. Это создать один сертификат на всех пользователей, на его базе создать файл конфигурации и эту конфигурацию установить всем клиентам (имя пользователя и пароль остаются для каждого пользователя свои)
    2. Это создать n-ое количество клиентов на PF и для каждого создать/импортировать сертификаты , в этом случае утилита сгенерирует конфиг для каждого пользователя .
    3. Создать тестового пользователя в PF , сгенерировать для него ovpn файл, и потом уже для каждого пользователя создавать на базе этого файла свой конфиг , меняя только сертификат, tls ключ вручную


  • @Konstanti приветствую!

    У нас на данный момент 250 доменных пользователей на удаленке работает, хотелось бы безболезненно для них, просто добавить свой сертификат к ним в конфигурацию и они дальше работали, после переподключения.
    1 вариант не пойдет, не вижу смысла в нем, один на всех. 2 -й вариант, как я понимаю, создаются локальные пользователи, создается сертификат для них, это понятно, но тогда будет двойная аутентификация для пользователя, сейчас у них один логин\пароль для подключения OpenVPN (LDAP) и доменная учетка (AD) .
    3-й вариант я не понял, по моему это сложно, можете объяснить по подробнее?
    Других вариантов, как я понял нет в нашем случае? Импортировать из Active Directory пользователей и создавать для них сертификаты не получится?



  • @lexsnork
    3-й вариант для того , что создать один базовый конфиг на базе утилиты
    А потом уже , не заводя пользователей в PF, генерить где-то для каждого сертификат и уже ручками на базе этого файла поменять там сертификат пользователя и ключи .
    Связка серт+ имя пользователя и пароль - тоже двойная аутентификация . Сначала проверяется сертификат , а потом уже авторизация в AD.

    В сети есть много скриптов для генерации конфига клиента и создания сертификатов



  • @Konstanti добрый день!

    Все оказалось довольно просто, без танцев с бубном. Учетки из домена подтянулись , если прописать точное название доменного логина в поле Common Name. Странно, что нигде нет упоминания в документации и на форумах.
    5a368a00-d2db-4a1f-af33-3659cfdb45ac-image.png



  • @lexsnork

    Странно, что нигде нет упоминания в документации и на форумах.

    AD + Radius есть в оф. доке https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/authenticating-openvpn-users-with-radius-via-active-directory.html
    Причем с импортом серт-ов прямо в Хранилище серт-ов Windows.
    Основа в оф. доке, видимо, отсюда vorkbaard.nl/set-up-openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/

    если прописать точное название доменного логина в поле Common Name.

    В каком формате из?

    CORP\user
    CORP\user@corp.firma.loc
    user@corp
    user@corp.firma.loc
    user



  • @werter Добрый день, уважаемый @werter !

    Значит не там смотрел, надо было носом ткнуть меня....спасибо!

    В каком формате из?

    user


Log in to reply