• RSS
  • Facebook
  • Twitter
  • Linkedin
Imprimir Imprimir

pfSense 2.0 e OpenVPN e Autenticando no Windows 2008

Ano passado eu tentei me aventurar a configurar um servidor de VPN usando o OpenVPN. Minha primeira tentativa foi diretamente com Linux, apanhei feio mas consegui fazer o trem conectar, porem ele só se comunicava com o servidor Linux e não com o resto da rede, como tinha um firewall pfSense no meio da comunicação dos dois eu imaginei que o pfSense precisava de alguns ajustes para que esta conexão ocorresse sem problemas.

Não consegui resolver o tal do problema, então aí tentei usar o OpenVPN do pfSense 1.2.3, levei uma surra maior ainda do que com o Linux, e no final desisti.

Ontem então eu migrei o pfSense para a nova versão 2.0 e agora por uma questão de honra e também porque eu precisava com urgência fazer um servidor VPN na empresa funcionar eu resolvi encarar a fera novamente, mas para a minha surpresa o OpenVPN ficou tão fácil de configurar no novo pfSense que perdeu a graça do desafio.

A missão aqui é configurar um servidor de VPN onde os clientes vão baixar o cliente em um site, conectar usando o mesmo login e senha usado para logar em sua maquina windows, no caso o usuário e senha do AD.

1. Configurando o OpenVPN
2. Testando o Cliente
3. Configurando a autenticação com o AD.

1)  Configurando o OpenVPN

Vou deduzir que você já tem um servidor pfSense configurado e funcionando, então vamos direto para a VPN.

  • A primeira etapa é baixar o pacote “OpenVPN Client Export Utility”, vá em System -> Packages procure por este pacote e instale.
  • Agora vamos criar um certificado de autoridade, CA (Certificate Authority). Coloque seus dados de acordo com a imagem abaixo, altere de acordo com suas necessidades.
  • Vamos criar agora um usuário que será usado para testar a VPN, vá em System > User Management e preencha os dados de acordo com a imagem abaixo, lembre-se de marcar a opção “Click to create a user certificate”. Ou então você terá que criar um certificado para este usuário depois.
  • Agora vamos criar a VPN, vá em VPN > OpenVPN e escolha a aba Wizard.
  • Na primeira opção Select an Authetication Backend Type, escolha Local User Access, e clique em Next.
  • Na segunda opção Choose a Certificate Authority (CA), escolha o cerficado que foi criado anteriormente, e em seguida Next.
  • Na terceira opção Choose a Server Certificate, clique no botão Add New Certificate, e preencha os dados da mesma forma que foi preenchida no certificado, mudando apenas a descrição, veja a imagem abaixo.
  • Ultima opção e para colocar os dados da VPN veja abaixo um exemplo e altere conforme suas configurações de rede. Lembrando que Tunnel Network vai ser a rede usada pela VPN e Local Network e sua rede local, exemplo se você tem uma rede local 192.168.0.0/24 você pode criar uma rede nova para a vpn 192.168.1.0/24.
  • Agora para finalizar vá em VPN > OpenVPN  e clique na aba Client Export, onde tiver abaixo no usuário você pode clicar no link Windows Instaler que ele baixa o cliente do OpenVPN já com suas configurações. Nota para a parte  Host Name Resolution, eu recomendo que você coloque o endereço externo que será usado para conectar a sua vpn, exemplo vpn.dominio.com.br.

Finalizamos a etapa de configuração do VPN Server.

2) Testando o Cliente

  • Depois de baixar o cliente em uma maquina Windows, instale e o execute. Ele já vem com as configurações, se caso ele não vir, vá no pfSense na sessão VPN > OpenVPN na aba Client Export, altere o Host  e clique para baixar Configuration Archive. E jogue os arquivos na pasta config que fica dentro da pasta de instalação do seu OpenVPN Client.
  • Quando executar clique em conectar, e use o login e senha que foram criados na etapa anterior.
  • Lembrando que Windows Vista e Windows 7 precisa que o aplicativo seja executado como administrador, clique com o botão direito e escolha executar como administrador, você pode deixar isso permanente editando o as propriedades do atalho do client.
  • Faça um teste dando um ping para um servidor da sua rede interna.

3) Configurando a autenticação com o AD

  • Se sua VPN estiver funcionando normalmente, então agora vamos aprimora-la, adicionando um novo servidor de autenticação que vai ser comunicar com o seu AD.
  • Vá em System > User Manager e clique na aba Servers. Coloque as configurações do seu AD conforme a imagem abaixo.
  • Vá agora em Diagnostics > Authentication  e teste se seu AD está funcionando, lembre-se que na opção Authentication containers da configuração do AD, você deve colocar a ideal para o grupo que vai ter acesso, e deve testar com um usuário desse grupo.
  • Agora teste conectar na VPN usando seu usuário do AD.

Caso ocorra erros, verifique se as DN está corretas utilize o ADSI Edit do windows para verificar.
No Client Export tem a opção de exportar o client para MAC também, mas eu não testei, já que não tenho MAC.

É só :D.

19 Responses so far.

  1. Junior Firefox 9.0.1 Windows XP says:

    Boa tarde, muito bom seu, artigo. usei na prática e testei a autenticação do AD funcionou bem, mas a VPN não conecta. Tenho conexão ADSl SPEEDY, será que preciso fazer alguma coisa no modem? O modem está fazendo a conexão PPOE. Pode me ajudar….Obrigado

  2. Junior Firefox 9.0.1 Windows XP says:

    Acresecntando, o acesso precisa ser externo pelo IP do SPEEDY 200….. OK!

  3. Hugo Firefox 8.0.1 Windows 7 says:

    Amigão, ótimo tutorial, muito bom mesmo!

    Por favor uma dica, consigo fechar a VPN, estou usando no-ip para acessar meu server remotamente.

    Mas não consigo acessar nenhum dos computadores da minha rede interna.

    A falxa de rede da vpn que coloquei foi 10.10.10.0/24 e minha Rede interna LAN: 192.168.0.0/24.

    Minha estação pegou ip: 10.10.10.6/24 mas não consigo siquer pingar meu servidor 192.168.0.10.

    Onde que deve adicionada uma rota ou regra para que eu consiga trafegar todos os tipos de pacotes e portas entre clientes de vpn e LAN ?

    Desde já te agradeço!

    Abs,

    Hugo Golembiewski

    • A rota da sua lan interna já e adicionada, porém veja um detalhe, o OpenVPN precisa adicionar essa rota no seu computador, se você estiver usando Windows Vista ou Seven você só vai conseguir adicionar a rota se executar o OpenVPN como administrador, como user normal ele vai receber um forbidden ao tentar adicionar a rota.

      • Hugo Firefox 10.0.2 Windows 7 says:

        Valeu Thiago, era esse detalhe mesmo!

        Agora consigo pingar meu servidor só não consigo acessá-lo via TS (RDP 3389). Tenho que liberar alguma regra para isso?

        Desde já te agradeço!

        Abraço

        Hugo

        • Acredito que não pois se vc já esta recebendo um IP da rede de onde esta o Servidor VPN não seria necessario liberar nada no pfSense para que a conexão via porta 3389 funcionasse não. Verifique se dando um tracert (-d para não resolver nome, no Rwindows) vc da apenas dois saltos ate chegar no server TS?

      • William Chrome 30.0.1599.101 Windows says:

        Boa tarde Thigo,

        Muito bom tutorial mas só consigo pingar no próprio PfSense, vc disse que terá que criar uma rota no ‘cliente” como faço isso pois nao esta dando certo.

  4. Wellington Martins Firefox 17.0 Windows says:

    tenho problemas como eu add estas rotas no pfsense
    $ IPT = Iptables no fedora ou debian :-)

    #$IPT -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
    #$IPT -A POSTROUTING -t nat -s 192.168.2.0/24 -j MASQUERADE
    #$IPT -A PREROUTING -t nat -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
    #$IPT -A PREROUTING -t nat -d 192.168.0.0/24 -s 192.168.1.0/24 -j ACCEPT
    #$IPT -A PREROUTING -t nat -s 192.168.1.0/24 -d 172.16.111.0/24 -j ACCEPT
    #$IPT -A PREROUTING -t nat -d 192.168.1.0/24 -s 172.16.111.0/24 -j ACCEPT
    #$IPT -A PREROUTING -t nat -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT
    #$IPT -A PREROUTING -t nat -d 192.168.2.0/24 -s 192.168.1.0/24 -j ACCEPT

    #$IPT -A POSTROUTING -t nat -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
    #$IPT -A POSTROUTING -t nat -d 192.168.0.0/24 -s 192.168.1.0/24 -j ACCEPT
    #$IPT -A POSTROUTING -t nat -s 192.168.1.0/24 -d 172.16.111.0/24 -j ACCEPT
    #$IPT -A POSTROUTING -t nat -d 192.168.1.0/24 -s 172.16.111.0/24 -j ACCEPT
    #$IPT -A POSTROUTING -t nat -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT
    #$IPT -A POSTROUTING -t nat -d 192.168.2.0/24 -s 192.168.1.0/24 -j ACCEPT

    tenho uma intranet em bridge e não consigo add isso acima para funfar
    alguem pode me ajudar.

    meu servidor ja esta configurado Dansguardian+AD-Squid+Snort+Squidgard

    HELP

  5. Guilherme Chrome 24.0.1312.56 Windows 7 says:

    Meu caro, nuito bom esse tutorial seu. Vai me quebrar um puta galho daqui alguns dias. Só que minha dúvida é um pouco diferente. Tenho um OpenVPN funcionando linux-linux e gostaria de fazer o pfSense conectar nesse cara. Consegui conectar montando uma conf na mão, pois o conf gerado pelo pfsense tem muito mais opção e não conecta, mesmo eu tendo colocado todas as opções referentes. Você consegue me ajudar? Grato

    • algumas coisas no pfsense são um saco mesmo, o squid mesmo dele eu uso tudo na mão nada na interface, porém no fórum do pfsense já vários artigos de como ligar duas maquinas pfsense-pfsense pode ser que te ajude.

  6. Com exceção da integração com o AD, aqui funcionou perfeito.

    Aqui está dando erro ao configurar o servidor do AD: “Could not connect to the LDAP server. Please check your LDAP configuration.”. Já chequei as configurações e estão todas OK. Tem alguma idéia do que possa ser?

  7. Marcus Bueno Chrome 28.0.1500.72 Windows 7 says:

    Thiago, boa tarde.
    Estava com o mesmo problema que nosso amigo Rafael Puga, porém conseguir resolver…Mas na hora de realiza o teste de autenticação ele não funciona, pensei antes que era problema de senha ou até mesmo de User, mais fiz todos os testes possivel e não funciona. E na aba Setting do User maneger ele diz que estar tudo certinho…quando eu vou em diagnostics ele não funciona…Pode me ajudar?

    • use a ferramenta ldapsearch para testar se seus parâmetros estão corretos, eu fiz isso quando tive problemas.

    • Leandro Ferreira Chrome 32.0.1700.41 Windows 7 says:

      Marcus Bueno

      Olhe essa opção “Use anonymous binds to resolve distinguished names”

      Ele não aceita conexão anonima

  8. José F . Mar MSIE 10.0 Windows 7 says:

    Gostei do artigo.
    O Openvpn no pfsense esta funcionando, estou usando um cliente no Windows 7 com administrador.
    No pronpt do dos verifiquei a rota (route print) e esta correta, mas mesmo assim só consigo pingar o servidor do pfsense


pfSense 2.0 e...

1. Configurando o OpenVPN 2. Testando o Cliente 3. Configurando a autenticação ...

GVT TV ...

Os equipamentos PowerBox A Sagecom produziu para a GVT um roteador chamado ...

Novo Blog, quem...

Hoje resolvi voltar a postar no blog, aproveitei para trocar ...

FlashPlayer no Snep,...

Esses dias pediram para eu ouvir umas ligações, e era ...

VMware vCenter Converter...

Esses dias chegou um servidor novo aqui na empresa, um ...

Ultimo post de...

O Slackware64 é um linux que a principio só executa ...

Migração do Voip...

Bom quando terminou a migração eu fiquei direto na empresa ...

Asterisk com Snep...

Vamos agora para o processo de criação do servidor. Atualmente (hoje) ...

Implementações na Radiologia

Estou fazendo implementações de novos sistemas na Radiologia, o primeiro ...

FISL 11 –...

Opa dia 2 do FISL foi ontem lol. Mas não ...