- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации pfSense OpenVPN
В статье описывается настройка pfSense для подключения к OpenVPN.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
Telegram
Звонок (нужно принять вызов и нажать #)
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Схема работы
- Пользователь подключается к pfSense OpenVPN, вводит логин и пароль в OpenVPN Connect;
- pfSense по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне.
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый OpenVPN сервер;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor Radius Adapter.
Настройка pfSense
Откройте консоль управления pfSense.
Настройка RADIUS сервера
В разделе System > User Manager > Authentication Servers нажмите Add и добавьте новый сервер аутентификации:
- Descriptive Name: Radius Server
- Type: RADIUS
- Protocol: PAP
- Hostname or IP address: адрес компонента MultiFactor Radius Adapter
- Shared Secret: Shared Secret из настроек компонента
- Services offered: Authentication
- Authentication port: 1812
- Accounting port: n/a
- Authentication timeout: 40
- RADIUS NAS IP Attribute: выберите интерфейс LAN или WAN интерфейс для передачи в RADIUS атрибуте NAS-IP-Address
Нажмите Save.
Если вы хотите использовать RADIUS сервер аутентификации для входа в консоль управления pfSense и подключения к ssh, на вкладке Settings выберите сервер аутентификации по поставьте галочку напротив "Use Authentication Server for Shell Authentication".
Настройка правил Firewall
В разделе Firewall > Rules нажмите Add, чтобы добавить новове правило Firewall.
В секции Edit Firewall Rule
- Action: Pass
- Interface: WAN
- Address Family: IPv4
- Protocol: UDP
В секции Destination
- Destination: Any
- Destination Port Range: From 1812 (порт компонента MultiFactor Radius Adapter)
Нажмите Save
Настройка OpenVPN
В разделе VPN > OpenVPN > Servers выберите ваш сервер OpenVPN и кликните Edit Server.
В секции Mode Configuration
- Backend for authentication: Radius Server
Нажмите Save
Проверка
В разделе Diagnostics > Authentication
- Authentication Server: Ваш RADIUS сервер
- Username: логин
- Password: пароль
Нажмите Test
В случае правильной настройки на телефон поступит push-запрос доступа или звонок согласно настроенному фактору доступа.
Смотрите также:
- Настройка удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией;
- Портал для самостоятельной регистрации 2fa.