Le but de ce tutoriel est d’installer un serveur VPN sur Pfsense.
L’identification de l’utilisateur passe par un serveur Active Directory (supinfo.local)
Nous devons aussi configurer Pfsense afin que l’utilisateur puisse se connecter à une interface graphique pour qu’il puisse télécharger le logiciel OpenVPN.
1 – Configuration du serveur Active Directory
- Dans notre cas le domaine est supinfo.local
- Nous avons créer l’arborescence suivante : UO : Pfsense > Users
- Dans l’UO Users, nous avons créé 3 objets :
- Un utilisateur autorisant l’accès à Pfsense (OpenVPN) : accesvpn
- Un utilisateur “test”
- Un groupe permettant de donner des droits d’accès (exemple : télécharger le logiciel)
2 – Création d’un certificat :
- Cliquer sur le + afin de créer un nouveau certificat
- Remplir les champs comme ci-dessous puis cliquer sur SAVE :
3 – Gestion des utilisateurs du domaine
Afin de connaitre le chemin exact de l’utilisateur :
- Sur votre Contrôleur de Domaine
- Lancer une mmc
- Ajouter le composant “Utilisateurs & ordinateurs”
- Dans Affichage sélectionner “fonctionnalités avancées”
- Recherche votre utilisateur et faîtes un clique droit puis“Propriété”
- Afficher l’onglet “Editeur d’attributs”
- Rechercher la variable “distinguishedName” et noter ses paramètres
- Cliquer sur le + afin d’ajouter un nouveau moyen d’authentification
- Remplir les champs :
- IP : celle de votre serveur Active Directory
- Port : celui par défaut 389
- Certificat : Celui créer précédemment (CA_access_VPN)
- Search Scope :
- Sélectionner : Level : “Subtree”
- Base Name : supinfo.local : DC=supinfo,DC=local
- User DN : la valeur de distinguishedName trouvé dans la manipulation sur le DC
- Entrer le mot de passe de l’utilisateur
- Valider
- Dans le User Manager, sélectionner le DC (Supinfo)
- Installer le package OpenVPN Client Export Utility
- System > Packages > Available Packages
- Dans le User Manager, Créer un nouveau Groupe
- Le nouveau groupe sur Pfsense doit-être identique au groupe sur le DC
- Ajouter le droit de pouvoir télécharger le package d’installation d’OpenVPN avec la configuration du client
- Cliquer sur le + de Assigned Privileges et selectionner “OpenVPN : Client Export Utility”
4 – Création du serveur OpenVPN :
- Lancer VPN > OpenVPN > Wizard
- Sélectionner le serveur DC (Supinfo)
- Sélectionner le certificat (CA_access_VPN)
- Créer le certificat du serveur (les informations sont pré-remplies)
- Choisir comme Encryption Algorithm : BF-CBC (128 bit)
- DNS Default : Celui de votre DC, DNS 1 : L’adresse IP de votre DC
5- Configuration du Firewall
- Dans Interfaces > WAN
- Vérifier que la case “Block private networks” est décochée
- Ajouter une règle sur votre Firewall afin que vos utilisateurs puissent accéder à l’interface web pour télécharger leurs configurations
6 – Installation d’OpenVPN sur le client :
- Lancer un navigateur web et entrer l’adresse de votre serveur Pfsense
- Descendre en bas de la page et télécharger votre Installeur en fonction de votre plateforme
- Lancer votre installation …
- Lancer OpenVPN et faire un clique droit sur l’icône de notification (fenêtre avec un cadenas)
- Cliquer sur connecter
- Identifiez-vous avec un utilisateur du domaine appartenant au groupe VPN
- Notre client est bien connecté avec l’IP 10.0.10.6
Vous avez correctement configuré Pfsense pour un serveur OpenVPN.