Versions Compared

Old Version 13

changes.mady.by.user Johnny

Saved on

compared with

New Version Current

changes.mady.by.user Johnny

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Rétabli à partir de v. 47


UI Steps
UI Text Box
colorlight-green
sizemedium
icontip

LDAPS avec CERTIFICAT AD CS sur opnsense et LDAPS

UI Step

...

Expand
titleCertificats VPN

CERTIFICAT AD CS 

Note

la procédure ci-dessous est seulement à suivre si vous avez ADCS sinon il faut crée une autorité interne / certificat serveur interne à OPNSENSE

Importer le certificat ROOT de l'active DIRECTORY (DC01 => C:\comptaplus\CA-ROOT.cer ) dans opnsense


Code Block
certutil -encode CA-ROOT-Comptaplus.cer ca.cer

Permet de coder le certificat en  Base-64 et donc il sera lisible avec le bloc et permet de copier le certificat dans opnsense



Pour que LDAPS fonctionne  

effectivement, si on utilise le fdqn pour la liason LDAPS , le nom n'est pas reconnu par opnsense

c'est indiquer sur l'aide de OPNSense 

Info
When using SSL, this hostname MUST match the Common Name (CN) of the LDAP server's SSL Certificate. 

Il faut passer par :

Services: Unbound DNS:

Override

Override 

Image Modified



Configuration LDAPS 

Bind credentials

Code Block
CN=svc_opnsense,OU=Comptes de Service,OU=Utilisateurs,OU=COMPTAPLUS,DC=comptaplus,DC=loc


Code Block
OU=COMPTAPLUS,DC=comptaplus,DC=loc



Image Modified


il faut absolument vérifier que la connexion LDAPS fonctionne sinon le vpn ne fonctionnera pas (permet de faire déjà l'escalade du problème si présent)

Image Added

Crée une demande C.S.R (Certificat Signed Request)


Copier le CSR en bas de la demande,  se rendre sur http://dc01.comptaplus.loc/certsrv/

générer comme un serveur web un cer en base 64 et l'ouvrir avec le bloc note et le coller dans la partie DATA du certificat serveur

Image Modified


UI Text Box
colorlight-green
icontip

Crée une instance 

UI Step

Expand
titleCrée le serveur VPN

l'ip de mon VPN est une adresse ip VIRTUEL au cas si le master tombe, le vpn est toujours accessible 

Image ModifiedImage Modified


Se rendre dans client export et télécharger le fichier *.ovpn correspondant à votre certificat crée auparavant, soit le déposer sur un partage réseau ou déploiement par GPO

Image Added




Warning
Crée une règle WAN

Image Removed

sur la parefeu autorisant le port défini sur le réglage de l'instance


Image Added


UI Text Box
colorlight-green
sizemedium
icontip

Installation du vpn sur le poste utilisateur

UI Step

Expand
titleInstallation sur le poste utilisateur

 Sur le poste utilisateur : 


Installer le client OPenVPN COMMUNITY :  https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.14-I001-amd64.msi

Importer le fichier (ou double cliquer dessus) et clic droit sur la connexion => se connecter 

Une demande d'identification sera demander (ldaps) , mettre les identifiants et le logiciel se fermera

un icone (en forme de tv) sera coloré en vert et confirmer la connexion

il suffira de se connecter (rds par ex) (ou ping) vers votre réseau interne pour se connecter