Настройка двухфакторной аутентификации pfSense OpenVPN

В статье описывается настройка pfSense для подключения к OpenVPN.

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Схема работы

1. Пользователь подключается к pfSense OpenVPN, вводит логин и пароль в OpenVPN Connect;
2. pfSense по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
3. Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
4. Пользователь подтверждает запрос доступа в телефоне.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый OpenVPN сервер;
2. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
3. Загрузите и установите MultiFactor Radius Adapter.

Настройка pfSense

Откройте консоль управления pfSense.

Настройка RADIUS сервера

В разделе System > User Manager > Authentication Servers нажмите Add и добавьте новый сервер аутентификации:

• Descriptive Name: Radius Server
• Type: RADIUS
• Protocol: PAP
• Hostname or IP address: адрес компонента MultiFactor Radius Adapter
• Shared Secret: Shared Secret из настроек компонента
• Services offered: Authentication
• Authentication port: 1812
• Accounting port: n/a
• Authentication timeout: 40
• RADIUS NAS IP Attribute: выберите интерфейс LAN или WAN интерфейс для передачи в RADIUS атрибуте NAS-IP-Address

Нажмите Save.

Если вы хотите использовать RADIUS сервер аутентификации для входа в консоль управления pfSense и подключения к ssh, на вкладке Settings выберите сервер аутентификации по поставьте галочку напротив "Use Authentication Server for Shell Authentication".

Настройка правил Firewall

В разделе Firewall > Rules нажмите Add, чтобы добавить новове правило Firewall.

В секции Edit Firewall Rule

• Action: Pass
• Interface: WAN
• Address Family: IPv4
• Protocol: UDP

В секции Destination

• Destination: Any
• Destination Port Range: From 1812 (порт компонента MultiFactor Radius Adapter)

Нажмите Save

Настройка OpenVPN

В разделе VPN > OpenVPN > Servers выберите ваш сервер OpenVPN и кликните Edit Server.

В секции Mode Configuration

• Backend for authentication: Radius Server

Нажмите Save

Проверка

В разделе Diagnostics > Authentication

• Authentication Server: Ваш RADIUS сервер
• Username: логин
• Password: пароль

Нажмите Test

В случае правильной настройки на телефон поступит push-запрос доступа или звонок согласно настроенному фактору доступа.

Смотрите также:

• Настройка удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией;
• Портал для самостоятельной регистрации 2fa.