Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVpn в режиме Remote Access ssl/tls+user auth (AD)

    Scheduled Pinned Locked Moved Russian
    9 Posts 3 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lexsnork
      last edited by lexsnork

      Добрый день!

      Есть pfsense 2.4.4-RELEASE (amd64) на нем настроен OpenVpn в режиме Remote Access (user auth) , пользователи AD. Все работает хорошо! Возникла потребность перевести OpenVpn в режиме Remote Access ssl/tls+user auth (AD), то есть помимо авторизации должен быть еще сертификат у каждого удаленного пользователя , подключающегося по OpenVpn. Переведя OpenVpn в режиме Remote Access ssl/tls+user auth во вкладке OpenVPN/Client Export Utility не появляются клиенты из AD (см. во вложении) . Как изготавливать доменным пользователям сертификаты для подключений по OpenVPN? Подскажите, пожалуйста, буду рад!
      a4bc4b3f-524c-4494-b034-20ebf9c1c277-image.png

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @lexsnork
        last edited by Konstanti

        @lexsnork
        Здр
        1.Вам надо через меню /System/Certificate Manager/CAs
        создать или импортировать сертификат CA
        ea8d95ef-1672-49a2-a662-6fa1df697dcc-image.png
        2 . в меню /System/Certificate Manager/Certificates Вам надо создать или импортировать сертификаты для клиентов и для OpenVpn сервера

        bbee1ea8-5166-472c-b99f-cc077e4e67dd-image.png

        1. В настройках Openvpn сервера выбрать нужный CA-сертификат и сертификат сервера

        8a225d7a-465b-4916-957d-a8b21855f5b6-image.png

        После всего этого у Вас должны появиться в Client Export все клиентские сертификаты для нужного OpenVPN сервера , подписанные этим сертификатом CA

        65320a0b-e63e-4e83-9fb2-88d96d28e130-image.png

        0d86b3ad-c77e-4c8c-8b53-4f1bfabd4aec-image.png

        1 Reply Last reply Reply Quote 0
        • L
          lexsnork
          last edited by

          Добрый день, Константин!

          То что вы описали, это уже сделано было, вот скриншоты

          5e9e79ab-2904-490c-9105-b3e1aff766ee-image.png
          7720dde1-367b-418d-b33e-bfaf85c12cd7-image.png
          48fccf2d-5d5c-48d2-81ce-10029b02922b-image.png

          Вот весь вопрос, как импортировать из Active Directory пользователей и создавать для них сертификаты???
          Создавать в домене MS сервер сертификатов и оттуда импортировать? Очень нужно, подскажите как?

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @lexsnork
            last edited by Konstanti

            @lexsnork Здр
            Утилита "Client Export Utility" использует сертификаты , которые "зашиты" в PFSense. Каким образом они туда попадут , будут импортированы или созданы, неважно .
            Можно идти 3-мя путями

            1. Это создать один сертификат на всех пользователей, на его базе создать файл конфигурации и эту конфигурацию установить всем клиентам (имя пользователя и пароль остаются для каждого пользователя свои)
            2. Это создать n-ое количество клиентов на PF и для каждого создать/импортировать сертификаты , в этом случае утилита сгенерирует конфиг для каждого пользователя .
            3. Создать тестового пользователя в PF , сгенерировать для него ovpn файл, и потом уже для каждого пользователя создавать на базе этого файла свой конфиг , меняя только сертификат, tls ключ вручную
            L 1 Reply Last reply Reply Quote 0
            • L
              lexsnork @Konstanti
              last edited by

              @Konstanti приветствую!

              У нас на данный момент 250 доменных пользователей на удаленке работает, хотелось бы безболезненно для них, просто добавить свой сертификат к ним в конфигурацию и они дальше работали, после переподключения.
              1 вариант не пойдет, не вижу смысла в нем, один на всех. 2 -й вариант, как я понимаю, создаются локальные пользователи, создается сертификат для них, это понятно, но тогда будет двойная аутентификация для пользователя, сейчас у них один логин\пароль для подключения OpenVPN (LDAP) и доменная учетка (AD) .
              3-й вариант я не понял, по моему это сложно, можете объяснить по подробнее?
              Других вариантов, как я понял нет в нашем случае? Импортировать из Active Directory пользователей и создавать для них сертификаты не получится?

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @lexsnork
                last edited by Konstanti

                @lexsnork
                3-й вариант для того , что создать один базовый конфиг на базе утилиты
                А потом уже , не заводя пользователей в PF, генерить где-то для каждого сертификат и уже ручками на базе этого файла поменять там сертификат пользователя и ключи .
                Связка серт+ имя пользователя и пароль - тоже двойная аутентификация . Сначала проверяется сертификат , а потом уже авторизация в AD.

                В сети есть много скриптов для генерации конфига клиента и создания сертификатов

                L 1 Reply Last reply Reply Quote 0
                • L
                  lexsnork @Konstanti
                  last edited by lexsnork

                  @Konstanti добрый день!

                  Все оказалось довольно просто, без танцев с бубном. Учетки из домена подтянулись , если прописать точное название доменного логина в поле Common Name. Странно, что нигде нет упоминания в документации и на форумах.
                  5a368a00-d2db-4a1f-af33-3659cfdb45ac-image.png

                  werterW 1 Reply Last reply Reply Quote 1
                  • werterW
                    werter @lexsnork
                    last edited by werter

                    @lexsnork

                    Странно, что нигде нет упоминания в документации и на форумах.

                    AD + Radius есть в оф. доке https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/authenticating-openvpn-users-with-radius-via-active-directory.html
                    Причем с импортом серт-ов прямо в Хранилище серт-ов Windows.
                    Основа в оф. доке, видимо, отсюда vorkbaard.nl/set-up-openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/

                    если прописать точное название доменного логина в поле Common Name.

                    В каком формате из?

                    CORP\user
                    CORP\user@corp.firma.loc
                    user@corp
                    user@corp.firma.loc
                    user

                    L 1 Reply Last reply Reply Quote 0
                    • L
                      lexsnork @werter
                      last edited by

                      @werter Добрый день, уважаемый @werter !

                      Значит не там смотрел, надо было носом ткнуть меня....спасибо!

                      В каком формате из?

                      user

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.