Openvpn roadwarrior >> Quelques questions (résolu)


  • Bonjour,

    depuis 9 mois pfsense remplace ipcop, mais j'ai des incompréhension sur le fonctionnement des vpn en roadwarrior par rapport à IPCOP:
    En gros sous ipcop chaque utilisateur avais leur propre certificat et pouvais utiliser le même port de connexion, mais sous pfsense il suffit d'un certificat et de changer le nom/password sur le client

    ce que j'ai fait sous pfsense:

    1. Installer le package "OpenVPN Client Export Utility" (System/Packages/Available Packages/)

    2. Créer Certificats CAs (System/Cert Manager/CAs > add)

    3. Créer des Utilisateurs (System/User Manager/users/ add)
        en cochant option >> Click to create a user certificate.

    4. Configurer nouveau serveur OpenVPN (VPN / OPenVpn / Wizard)
        - Select an Authentication Backend Type >> Type of Server: Local User Access
        - Choose a Certificate Authority (CA) / Choose a Certificate Authority (CA) : le CA créer en étape 2
        - Choose a Server Certificate / Certificate: >> le certificat créer en étape 3

    5. exportation du certificat (Vpn/OpenVpn/Client Export >> User Configuration Archive)

    6. importation de la configuration sur le client et test >> OK

    Ce que je souhaiterais faire:

    • que chaque utilisateur ait un certificat unique
    • avoir un port de connexion unique (1194 ou autre)
    • filtrer les utilisateurs ( donc avoir une ip statique pour chaque clients ??)
        –1 utilisateur ayant accès à tous le réseau
        --un groupe d'utilisateur ayant accès à certaines ordi
        --un autre groupes encore plus limité

    les pistes auxquelles je pense :

    • créer d'autres certificat server (mais les ports de connexion doivents être unique, donc plusieurs ports)
    • forcer l'adresse vpn sur le client (mais cela n’empêche pas le client de mettre l'adresse IP de l'admin si il la connait)
    • d'autres trucs (mais c'est un peu le fouillis dans la tête)

    Voila, j’espère être assez  claire et pas trop mélangé les termes techniques (je suis pas technicien réseaux, juste autodidacte)
    Cordialement


  • Vous faite s les choses dans le désordre. Réaliser l'étape 4 avant la 2. Signer les certificats clients avec la CA générée pour le serveur vpn (et non la CA Pfsense)

    • filtrer les utilisateurs ( donc avoir une ip statique pour chaque clients ??)

    Voir l'onglet client specific override.


  • Salut salut

    J'avais lut votre poste de départ ce week end, j'ai préféré voir les réponses de nos éminents spécialiste en la matière, et faire une petite recherche sur le web pour apposer ma prose.
    Bien que je ne maitrise pas du tout cette fonction ou plutôt devras je dire cette application qu'est Openvpn.

    J'ai trouvé ceci sur le web
    https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense

    et via la partie des tuto du forum fr ceci
    http://www.osnet.eu/fr/content/pfsense-et-openvpn-pour-les-novices

    Les avez vous vu et lut avant de vous lancer avec Openvpn et Pfsense ?

    Cordialement.


  • Avant tout, il y a une grande incompréhension concernant les certificats.
    Dans l'interface des certificats System > Cert Manager, il y a lieu de

    • créer 1 (unique) CA : Certificate Autority
    • créer 1 certificat pour chaque serveur OpenVPN : 1 par pfsense suffit
    • créer 1 certificat par utilisateur : de préférence ne pas lui attribuer de mot de passe !

    Perso, je n'utilise pas le "Client Export Utility" : il n'a pas fonctionné la 1ère fois que je l'ai essayé.
    De toute façon, il est super simple de faire l'équivalent

    • install du pgm openvpn (depuis le site)
    • copie de la clé publique du CA
    • copie du pkcs12 de l'utilisateur (clé publique + clé privée
    • ajustement du fichier .conf (par rapport à un modèle = juste à changer le fichier .pkcs12)

  • @ JDH

    Je t'invite à re-tester le client; je l'utilise depuis la 2.0RC1 avec succès :)
    Même si ce n'est pas bien compliquer de le faire à la main, cet utilitaire fait gagner en simplicité et rapidité de déploiement ^^

    Surtout si l'utilisateur est loin, un coup de mail avec l'auto-installeur en PJ et le tour est jouer :)
    => 2 mn au tel pour lui dire : suivant, suivant et l'aider à configurer le raccourcie pour le client Rdp = 1 admin & 1 client satisfait :)


  • @baalserv : C'est probable


  • Bonjour à tous et merci des retours,
    pour éviter tout malentendu, je précise que j'arrive bien à créer et établir une connexion vpn.

    @ccnet:

    • filtrer les utilisateurs ( donc avoir une ip statique pour chaque clients ??)

    Voir l'onglet client specific override.

    Merci pour l'onglet client specific override. c'est exactement ce que je cherchais (ajouter par exemple ifconfig-push 192.168.2.151 192.168.2.100; pour attribuer une ip spécifique à un client)
    Pour l'ordre des étapes, si je fais directement le wizard, cela donne:
      a) Select an Authentication Backend Type >>  Local user Access
      b) Création du  Certificate Authority (CA)
      c) Création du Server Certificate
      d) Configuration générale de l'openvpn (Protocol / Local Port / Tunnel Network / …)ps: je laisse tous par défaut pour l'instant.
    Du coup il n'y pas besoin de faire l’étape 2, car elle est crée pendant le wizard à l'étape b. donc cela revient au même (dites moi si je me trompe)

    Maintenant ce que je ne comprends pas, c'est que tous les utilisateurs peuvent se connecter à partir du même fichier de configuration (il faut juste changer le nom  et le password):
    IL me suffit de télécharger l'archive d'un seul client à partir de "Client Export", qui donne 3 fichier :
      - pfSense-udp-1194-user1.ovpn
      - pfSense-udp-1194-user1.p12
      - pfSense-udp-1194-user1-tls.key
    Sous un ordi client ubuntu 14.04, j'ai juste à importer le fichier *.ovpn (il me met automatiquement les *.p12 et *.key) et renseigner le nom et password de l'user1 et ca fonctionne
    Mais cela fonctionne aussi en changeant juste user1 par user2 et le password!!!! C'est ici que je ne comprends pas.

    Je vais essayer d'exporter en manuel avec la méthode de jdh pour voir


  • vous pouvez cocher la petite case dans les config serveur :

    => Strict User/CN Matching
    When authenticating users, enforce a match between the common name of the client certificate and the username given at login.

    Cordialement


  • @baalserv:

    vous pouvez cocher la petite case dans les config serveur :

    => Strict User/CN Matching
    When authenticating users, enforce a match between the common name of the client certificate and the username given at login.

    Cordialement

    ah le boulet que je suis, je suis un winner sur ce coup…

    Merci baalserv (aux autres aussi ;))
    et ccnet pour  l'onglet client specific override.

    Résolu

    ps: le client export est vraiment simple . sous ubuntu on extrait l'archive,  importe le fichier ovpn, on rentre les user/password et c'est fini (pas testé sous win)