O objetivo deste post é mostrar como configurar o OpenVPN autenticado no Active Directory no PFsense.
Criando Certificado Digital para Conexão com o Active Directory e OpenVPN.
Primeiro, vamos criar uma autoridade certificadora (do inglês Certificate Authority, CA) para emitir os certificados do servidor e do cliente.
Acesse o menu System, Cert. Manager, aba CAs e clique no botão Add. Preencha o cadastro com as informações a seguir:
- Descriptive name: OPENVPN_CA
- Method: Create an internal Certificate Authority
- Country Code: BR
- State or Province:Santa Catarina
- City: Joinville
- Organization: RMITSolucoes
- Email Address: suporte@rmitsolucoes.com.br
- Common Name: openvpn-ca
Segundo, vamos criar um certificado para o servidor. Na tela Certificate Manager, clique na aba Certificates e clique no botão Add. Preencha o cadastro com as informações a seguir:
- Method: Create an internal Certificate
- Descriptive name: Cert OpenVPN
- Certificate authority: OPENVPN_CA
- Certificate Type: Server Certificate
- Country Code: BR
- State or Province: Santa Catarina
- City: Joinville
- Organization: RMITSolucoes
- Email Address: suporte@rmitsolucoes.com.br
- Common Name: cert_server
Para que os usuários possam se autenticar na VPN fazendo uso do seu login/senha do Active Directory, precisamos configurar o PFsense para ler os usuários do Active Directory. Para isso seguir os seguintes passos:
Primeiro acesse System -> User Manager -> Authentication Servers e clique em Add e preencha as informações abaixo:
- Descriptive name: Active Directory - OpenVPN
- Type: LDAP
- Hostname or IP address: IP_do_seu_AD
- Port value: 389
- Transport: TCP Standard
- Peer Certificate Authority: OPENVPN_CA
- Protocol version: 3
- Server Timeout: 25
- Search scope: Entire Subtree
- Base DN: DC=rmitsolucoes,DC=local
- Authentication containers: memberOf=CN=OpenVPN,OU=Grupos,OU=Joinville,DC=rmitsolucoes,DC=local
- Bind credentials: pfsense@rmitsolucoes.local
- User naming attribute: samAccountName
- Group naming attribute: cn
- Group member attribute: memberOf
- Group Object Class: posixGroup
Importante: Os campos Base DN e Authentication containers, ajuste conforme seu ambiente do Active Directory. No campo Bind credentials, crie um usuário no seu Active Directory. Ele não precisa ser administrador
Acesse o menu VPN, OpenVPN e clique na aba Wizards. Será iniciado o OpenVPN Remote Access Server Setup.
Na primeira tela, Select an Authentication Backend Type, escolha LDAP, e clique em Next:
Na segunda tela, Choose a Certificate Authority (CA), selecione a autoridade cerficadora que foi criada anteriormente (OPENVPN_CA) e clique em Next:
Na terceira tela, Choose a Server Certificate, selecione o certificado de servidor que foi criado anteriormente (Cert OpenVPN) e clique em Next:
Na próxima tela, Server Setup, iremos configurar o servidor da VPN. Aqui, você deve preencher de acordo com as configurações da rede do seu servidor (a rede da sua empresa). Abaixo um exemplo de configuração:
- Interface: WAN
- Placa de rede na qual o servidor vai ouvir a conexão. Essa deve ser sua placa de rede da Internet - WAN - Local Port: 1194
- Description: VPN Server
- Apenas uma descrição do Tunnel - Tunnel Network: 192.168.26.0/24
- Endereço e máscara da rede que será usada no seu tunnel VPN. - Local Network: 192.168.25.0/24
- Endereço e máscara da rede da sua rede interna que os clientes conectados a VPN vão acessar.
Alguns outros campos deve ser configurado conforme seu ambiente. Basta preencher cada campo. Os principais a serem preenchidos são os campos abaixo: - DNS Server 1 e 2
- DNS Default Domain
- NTP Server e NTP Server 2
Na penúltima tela do assistente, Firewall Rule Configuration, deixe marcado as opções Firewall Rule e OpenVPN rule. Com isso, o pfSense criará automaticamente as rules necessárias para que a VPN funcione e clique em Next.
A última tela informa que a VPN foi criada com sucesso. Clique em Finish para finalizar a criação.
Concluído. OpenVPN autenticada no Active Directory configurada.
