Настройка двухфакторной аутентификации pfSense OpenVPN
В статье описывается настройка pfSense для подключения к OpenVPN.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
Telegram
Звонок (нужно принять вызов и нажать #)
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Схема работы
- Пользователь подключается к pfSense OpenVPN, вводит логин и пароль в OpenVPN Connect;
- pfSense по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне.
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый OpenVPN сервер;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor Radius Adapter.
Настройка pfSense
Откройте консоль управления pfSense.
Настройка RADIUS сервера
В разделе System > User Manager > Authentication Servers нажмите Add и добавьте новый сервер аутентификации:
- Descriptive Name: Radius Server
- Type: RADIUS
- Protocol: PAP
- Hostname or IP address: адрес компонента MultiFactor Radius Adapter
- Shared Secret: Shared Secret из настроек компонента
- Services offered: Authentication
- Authentication port: 1812
- Accounting port: n/a
- Authentication timeout: 40
- RADIUS NAS IP Attribute: выберите интерфейс LAN или WAN интерфейс для передачи в RADIUS атрибуте NAS-IP-Address
Нажмите Save.
Если вы хотите использовать RADIUS сервер аутентификации для входа в консоль управления pfSense и подключения к ssh, на вкладке Settings выберите сервер аутентификации по поставьте галочку напротив "Use Authentication Server for Shell Authentication".
Настройка правил Firewall
В разделе Firewall > Rules нажмите Add, чтобы добавить новове правило Firewall.
В секции Edit Firewall Rule
- Action: Pass
- Interface: WAN
- Address Family: IPv4
- Protocol: UDP
В секции Destination
- Destination: Any
- Destination Port Range: From 1812 (порт компонента MultiFactor Radius Adapter)
Нажмите Save
Настройка OpenVPN
В разделе VPN > OpenVPN > Servers выберите ваш сервер OpenVPN и кликните Edit Server.
В секции Mode Configuration
- Backend for authentication: Radius Server
Нажмите Save
Проверка
В разделе Diagnostics > Authentication
- Authentication Server: Ваш RADIUS сервер
- Username: логин
- Password: пароль
Нажмите Test
В случае правильной настройки на телефон поступит push-запрос доступа или звонок согласно настроенному фактору доступа.
Смотрите также: