Comment configurer une machine virtuelle pfSense avec OpenVPN et l'authentification LDAP

TABLE DES MATIÈRES

• Description
• Prérequis
• Procédures
  • Créer un utilisateur et un groupe dans Active Directory
  • Ajouter un serveur d'authentification
  • Créer des certificats d'autorité de certification homologue et d'auto-signature de serveur
  • Configurer le serveur RVP (ou « VPN »)
  • Ajouter des règles de pare-feu 
  • Générer et installer le fichier d’installation OpenVPN

Description

Pour permettre aux utilisateurs distants d'utiliser leurs informations d'identification du réseau Active Directory, OpenVPN peut être intégré au protocole LDAP pour l'authentification des utilisateurs pour l'accès VPN.

Prérequis

Ayez une machine virtuelle pfSense fonctionnelle dans votre centre de données virtuel. Si ce n'est pas déjà fait, veuillez suivre cet article pour déployer une machine virtuelle pfSense dans Performance Cloud VMware (NSX-T).

Procédures

Créer un utilisateur et un groupe dans Active Directory

1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.

2. Créez un utilisateur de domaine nommé vpnservice avec un mot de passe fort dans Active Directory

3. Créez un groupe de sécurité dans Active Directory sous Utilisateurs nommé Utilisateurs VPN

Ajouter un serveur d'authentification

4. Connectez-vous à l’interface web de votre machine virtuelle pfSense

5. Accédez à « System », « User Manager » et cliquez sur « Authentication Server ».

6. Cliquez sur « Add »

7. Pour le champ « Descriptive name », saisissez le nom de domaine (Exemple : ndr.local)

8. Pour le champ « Hostname or IP address », entrez l'adresse IP interne du contrôleur de domaine. (Exemple: 192.168.10.10)




9. Pour le champ « Transport », choisir « TCP – Standard ». Vous pouvez sélectionner « SSL-Encrypted » mais vous devez ajouter un certificat SSL au contrôleur de domaine avec son nom. Cela offrira une communication sécurisée.

10. Pour le champ « Search scope », choisir « Entire Subtree ».
 

11. Pour le champ « Base DN », inscrire « DC=[domain],DC=[com] » (Exemple: DC=ndr,DC=local)




12. Décochez la case « Bind anonymous » et inscrire les informations d’identification créées à l’étape #2.

13. Pour le champ « User naming attribute », inscrire « samAccountName ».

14. Pour le champ « Group member attribute », inscrire « memberOf ».




15. Retournez à « Authentication containers »

16. Choisir « Authentication containers » pour « CN=Users » ensuite cliquez sur le bouton « Select a container ».

17. Cochez les conteneurs que vous souhaitez utiliser et qui contiennent vos utilisateurs, puis cliquez sur « Save ».  Assurez-vous de sélectionner tous les conteneurs contenant des utilisateurs auxquels vous souhaitez donner accès.  Vous pouvez filtrer par groupe de sécurité si nécessaire à l'étape suivante (les informations d'identification doivent être enregistrées pour que cela fonctionne)

18. Cochez « Enable extended query » et spécifiez un groupe de sécurité (Utilisateurs VPN est le nom du groupe de sécurité que vous avez créé à l’étape #3)

Exemple: memberOf=CN= Utilisateurs VPN,CN=Users,DC=ndr,DC=local

Notes:

Il est possible de spécifier plus d’un (1) groupe de sécurité sous « Users »
Exemple: |(memberOf=CN=Groupe1,CN=Users,DC=ndr,DC=local)(memberOf=CN=Groupe2,CN=Users,DC=ndr,DC=local)

Créer des certificats d'autorité de certification homologue et d'auto-signature de serveur

20. Accédez à « System, Certificates / Cert. Manager ».

21. Cliquez sur « Add » pour créer un certificat « Peer CA »

22. Inscrire une description

23. Définir le champ « Method » à « Create an internal Certificate Authority »

24. Inscrire les informations d’adresse
 
25. Cliquez sur « Save ».

27. Cliquez sur « Add »

28. Définir le champ « Method » sur « Create an internal Certificate »

29. Pour le champ « Descriptive name », saisissez « MyOpenVPN-Server-Cert »

30. Définissez « Common Name » sur « OpenVPN_Cert »

31. Définissez « Certificate Type » sur « Server Certificate »

32. Cliquez sur « Save ».

 

Configurer le serveur RVP (ou « VPN »)

33. Accédez à « VPN » puis « OpenVPN »

34. Cliquez sur « Add/Sign »

35. Définir le champ « Server mode » à « Remote Access (User Auth) »

36. Définir le champ « Peer Certificate Authority » avec l'autorité de certification homologue que vous avez créée.

37. Définir le champ « Server certificate » avec le certificat de serveur que vous avez créé.

38. Définir le champ « DH Parameter length (bits) » à 2048

39. Définir le champ « Encryption Algorithm » à “AES-256-CBC (256 bit key, 128 bit block) »

40. Définir le champ « IPv4 Tunnel Network » avec un réseau inutilisé dans votre environnement (Exemple: 10.3.8.0/24)

41. Définir le champ « IPv4 Local network(s) » avec le réseau à autoriser (Exemple: 192.168.10.0/24)

42. Cochez « Dynamic IP »

43. Cochez « DNS Default Domain »

44. Définir le champ « DNS Default Domain » avec le domaine Active Directory (Exemple : ndr.local)

45. Cochez « DNS Server enable »

46. Définir le champ « DNS Server 1” avec l'adresse IP interne du contrôleur de domaine

47. Cliquez sur « Save ».

Ajouter des règles de pare-feu
 

48. Allez dans « Firewall », « Rules » (sous « WAN »)

49. Cliquez sur « Add »

50. Choisir « UDP » pour le champ « Protocol »

51. Définissez la « Destination Port Range » sur 1194.

52. Cliquez sur « Save », puis sur « Apply Changes »

53. Cliquez sur « OpenVPN »

54. Cliquez sur « Add »

55. Choisir « Any » pour le champ « Protocol »

56. Cliquez sur « Save », puis sur « Apply Changes »

Générer et installer le fichier d’installation OpenVPN

57. Allez dans « System », puis dans « Package Manager » et « Packages disponibles ».

58. Recherchez « OpenVPN » et installez « openvpn-client-export ».

59. Allez dans « VPN », puis dans « OpenVPN », « Client Export ».

60. Remplacez la « Host Name Resolution » par « Other » et dans le champ « Host Name », saisissez l'adresse IP publique publique. (de votre environnement Performance Cloud VMware).

Cela garantit que l'adresse IP publique est utilisée pour se connecter au client OpenVPN et non l'adresse IP privée attribuée à l'interface « WAN » de la machine virtuelle pfSense.

61. Allez au bas de la page dans la section « OpenVPN Clients ».

62. Cliquez sur le fichier d'installation à télécharger pour votre ordinateur.