Versions Compared

Old Version 46

changes.mady.by.user Johnny

Saved on

compared with

New Version 47

changes.mady.by.user Johnny

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Rétabli à partir de v. 45


UI Steps
UI Text Box
colorlight-green
sizemedium
icontip

LDAPS avec CERTIFICAT AD CS sur opnsense et LDAPS

UI Step
Expand
titleCertificats VPN

CERTIFICAT AD CS 

Note

la procédure ci-dessous est seulement à suivre si vous avez ADCS sinon il faut crée une autorité interne / certificat serveur interne à OPNSENSE

Importer le certificat ROOT de l'active DIRECTORY (DC01 => C:\comptaplus\CA-ROOT.cer ) dans opnsense


Code Block
certutil -encode CA-ROOT-Comptaplus.cer ca.cer

Permet de coder le certificat en  Base-64 et donc il sera lisible avec le bloc et permet de copier le certificat dans opnsense



Pour que LDAPS fonctionne  

effectivement, si on utilise le fdqn pour la liason LDAPS , le nom n'est pas reconnu par opnsense

c'est indiquer sur l'aide de OPNSense 

Info
When using SSL, this hostname MUST match the Common Name (CN) of the LDAP server's SSL Certificate. 

Il faut passer par :

Services: Unbound DNS: Override 

Image Added



Configuration LDAPS 

Bind credentials

Code Block
CN=svc_opnsense,OU=Comptes de Service,OU=Utilisateurs,OU=COMPTAPLUS,DC=comptaplus,DC=loc


Code Block
OU=COMPTAPLUS,DC=comptaplus,DC=loc



Image Added


il faut absolument vérifier que la connexion LDAPS fonctionne sinon le vpn ne fonctionnera pas (permet de faire déjà l'escalade du problème si présent)

Image Added

Crée une demande C.S.R (Certificat Signed Request)


Copier le CSR en bas de la demande,  se rendre sur http://dc01.comptaplus.loc/certsrv/

générer comme un serveur web un cer en base 64 et l'ouvrir avec le bloc note et le coller dans la partie DATA du certificat serveur

Image Added


UI Text Box
colorlight-green
icontip

Crée une instance 

UI Step

Expand
titleCrée le serveur VPN

l'ip de mon VPN est une adresse ip VIRTUEL au cas si le master tombe, le vpn est toujours accessible 

Image AddedImage Added


Se rendre dans client export et télécharger le fichier *.ovpn correspondant à votre certificat crée auparavant, soit le déposer sur un partage réseau ou déploiement par GPO

Image Added




Warning
Crée une règle WAN sur la parefeu autorisant le port défini sur le réglage de l'instance


Image Added


UI Text Box
colorlight-green
sizemedium
icontip

Installation du vpn sur le poste utilisateur

UI Step

Expand
titleInstallation sur le poste utilisateur

 Sur le poste utilisateur : 


Installer le client OPenVPN COMMUNITY :  https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.14-I001-amd64.msi

Importer le fichier (ou double cliquer dessus) et clic droit sur la connexion => se connecter 

Une demande d'identification sera demander (ldaps) , mettre les identifiants et le logiciel se fermera

un icone (en forme de tv) sera coloré en vert et confirmer la connexion

il suffira de se connecter (rds par ex) (ou ping) vers votre réseau interne pour se connecter

 

Récapitulatif des flux GLPI attendus

SourceDestinationPort(s)ProtocoleRôle
LAN (192.168.10.x)GLPI (DMZ)443TCPAccès Web interne
Internet (WAN)GLPI (DMZ)443 (via NAT)TCPAccès Web externe
GLPI (DMZ)AD (SRV)636TCPAuthentification LDAPS
Admin (192.168.10.1)GLPI (DMZ)80, 443TCPAccès Admin HTTP/S
GLPIInternet53, 443TCP/UDPMajs, DNS si nécessaire

🛠 Règles à mettre en place dans OPNsense

🔸Interface LAN (192.168.10.0/24)

ActionSourceDestinationPort(s)Description
PassLAN netGLPI_DMZ (192.168.X.X)443Accès GLPI Web
Pass192.168.10.1GLPI_DMZ80, 443Admin (optionnel)

🔸Interface DMZ (où sera GLPI)

ActionSourceDestinationPort(s)Description
PassGLPI_DMZAD (192.168.20.1)636Authentification LDAPS
PassGLPI_DMZWAN (ou Internet)53, 443Majs + DNS ext
BlockDMZ netLAN net*Sécurité : interdire tout sauf exceptions

🔸Interface WAN (NAT)

ActionSourceDestinationPort(s)Description
NAT + Pass*WAN IP → GLPI_DMZ443Accès Web depuis Internet
PassWAN netGLPI_DMZ443(Si pas auto-créée par le NAT)

🔁 Règles NAT (Firewall > NAT > Port Forward)

InterfaceDestinationPortRedirect toDescription
WANWAN address443192.168.X.X:443NAT HTTP(S) vers GLPI
WANWAN address80 (optionnel)192.168.X.X:80Redirection HTTP vers HTTPS

🚦 Exemple : IP GLPI en DMZ

...