CERTIFICAT AD CS 

Importer le certificat ROOT de l'active DIRECTORY (DC01 => C:\comptaplus\CA-ROOT.cer ) dans opnsense

certutil -encode CA-ROOT-Comptaplus.cer ca.cer

Permet de coder le certificat en  Base-64 et donc il sera lisible avec le bloc et permet de copier le certificat dans opnsense

Pour que LDAPS fonctionne  

effectivement, si on utilise le fdqn pour la liason LDAPS , le nom n'est pas reconnu par opnsense

c'est indiquer sur l'aide de OPNSense 

Il faut passer par :

Services: Unbound DNS: Override 

Configuration LDAPS 

Bind credentials

CN=svc_opnsense,OU=Comptes de Service,OU=Utilisateurs,OU=COMPTAPLUS,DC=comptaplus,DC=loc

OU=COMPTAPLUS,DC=comptaplus,DC=loc

il faut absolument vérifier que la connexion LDAPS fonctionne sinon le vpn ne fonctionnera pas (permet de faire déjà l'escalade du problème si présent)

Crée une demande C.S.R (Certificat Signed Request)

Copier le CSR en bas de la demande,  se rendre sur http://dc01.comptaplus.loc/certsrv/

générer comme un serveur web un cer en base 64 et l'ouvrir avec le bloc note et le coller dans la partie DATA du certificat serveur

l'ip de mon VPN est une adresse ip VIRTUEL au cas si le master tombe, le vpn est toujours accessible 

Se rendre dans client export et télécharger le fichier *.ovpn correspondant à votre certificat crée auparavant, soit le déposer sur un partage réseau ou déploiement par GPO

 Sur le poste utilisateur : 

Installer le client OPenVPN COMMUNITY :  https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.14-I001-amd64.msi

Importer le fichier (ou double cliquer dessus) et clic droit sur la connexion => se connecter 

Une demande d'identification sera demander (ldaps) , mettre les identifiants et le logiciel se fermera

un icone (en forme de tv) sera coloré en vert et confirmer la connexion

il suffira de se connecter (rds par ex) (ou ping) vers votre réseau interne pour se connecter