In questo articolo si descrive come realizzare un server OpenVpn con autenticazione
SSL/TLS + Auth con PfSense Release 2.4.3.p1.
Creare 3 certificati
Certificato CA: System –> Cert.Manager premiano il pulsante verde “ADD” in basso per creare il certificato CA e compiliamo i campi come mostrato in figura:
Method: Create an Internal Certificate Authority
Key Length: 2048
Digest Algorithm: sha256
Lifetime: 3650
Country Code: IT
State or Province: <Provincia>
City: <Città>
Organization:<Azienda>
Email Address: <email> – la vostra email
Common Name: <opzionale>
Cliccare su Save.
Certificato per il server: System –> Cert.Manager à certificates, cliccare anche qui sul pulsante verde Add, la videata è la stessa della precedente ma seguite questa linee guida riportate su questa immagine:
Certificato utente: come sopra ma selezionare Client certificate al posto di server.
VPN–>Openvon–>Wizard: nella prima maschera che appare selezionate local user access
Cliccare su “Next”
Selezionare il certificato CA creato, cliccare “Next” selezionare il certificato server, cliccare “Next” selezionare l’interfaccia WAN, il protocollo UDP (o TCP) e la porta 1194 (questa è quella di default ma potete mettere quella che preferite), e in ultimo una descrizione del server.
Cliccare su fine e andare avanti: per la configurazione del server vi lasciamo alle immagini seguenti.
IPv4 Tunnel network: la rete virtuale che userà OpenVPN. IPv4 local network: la rete LAN del firewall ad esempio “192.168.0.0/24”. Potete cliccare, se volete, su force all client generated trafic throught the tunnel. Lasciate tutto di default come nelle immagini che seguono e poi salvate tutto.
Per esportare l’utente: VPN –> Openvpn –> client export
Nella finestra Nome host dovrai inserire l’IP pubblico della WAN; scendendo, apparirà l’elenco degli utenti creati con un certificato valido. Premendo i pulsanti blu ci permetterà di scaricare l’applicazione più adatta per il nostro dispositivo.
Per esportare i certificati utente, consigliamo di installare openvpn-client-export da System –> package Manager e selezioniamo Available package.
Per creare l’utente: System —> User Manager creare l’utente inserendo i valori per nome, una password, full name, cliccare la spunta su certifacte per creare il certificato per l’utente, in certificate autority, selezionate il certificato CA.
E’ possibile creare un gruppo chiamato VpnUsers e poi confinare tutti gli utenti vpn in esso.
Non dimenticare di:
- Aprire la porta sulla rete WAN
- Enable traffic on the OpenVPN interface
LUG
2018