Перейти к основному содержимому

Настройка двухфакторной аутентификации pfSense OpenVPN

В статье описывается настройка pfSense для подключения к OpenVPN.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Схема работы

  1. Пользователь подключается к pfSense OpenVPN, вводит логин и пароль в OpenVPN Connect;
  2. pfSense по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый OpenVPN сервер;
  2. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
  3. Загрузите и установите MultiFactor Radius Adapter.

Настройка pfSense

Откройте консоль управления pfSense.

Настройка RADIUS сервера

В разделе System > User Manager > Authentication Servers нажмите Add и добавьте новый сервер аутентификации:

  • Descriptive Name: Radius Server
  • Type: RADIUS
  • Protocol: PAP
  • Hostname or IP address: адрес компонента MultiFactor Radius Adapter
  • Shared Secret: Shared Secret из настроек компонента
  • Services offered: Authentication
  • Authentication port: 1812
  • Accounting port: n/a
  • Authentication timeout: 40
  • RADIUS NAS IP Attribute: выберите интерфейс LAN или WAN интерфейс для передачи в RADIUS атрибуте NAS-IP-Address

Нажмите Save.

Если вы хотите использовать RADIUS сервер аутентификации для входа в консоль управления pfSense и подключения к ssh, на вкладке Settings выберите сервер аутентификации по поставьте галочку напротив "Use Authentication Server for Shell Authentication".

Настройка правил Firewall

В разделе Firewall > Rules нажмите Add, чтобы добавить новове правило Firewall.

В секции Edit Firewall Rule

  • Action: Pass
  • Interface: WAN
  • Address Family: IPv4
  • Protocol: UDP

В секции Destination

Нажмите Save

Настройка OpenVPN

В разделе VPN > OpenVPN > Servers выберите ваш сервер OpenVPN и кликните Edit Server.

В секции Mode Configuration

  • Backend for authentication: Radius Server

Нажмите Save

Проверка

В разделе Diagnostics > Authentication

  • Authentication Server: Ваш RADIUS сервер
  • Username: логин
  • Password: пароль

Нажмите Test

В случае правильной настройки на телефон поступит push-запрос доступа или звонок согласно настроенному фактору доступа.

Смотрите также: