Никогда не забывать устанавливать Persistent Keepalive в настройках пира
Если на обоих сторонах туннеля не установить, они тупо не будут стартовать.
Mikrotik + Wireguard, напоминалка
Архив за месяц: Август 2023
Я обрёл клавиатуру без кнопки выключения, к которой привык
Первые дни было больно — я привык отправлять комп спать комбинацией клавиш, а тут такая засада:
Нету кнопки «выкл» и всё тут.
А потом, я подумал — яж в линукс, тут такая проблема должна решаться просто назначением клавиш.
Не тут-то было, в новом Gnome в комбинациях клавиш нет «сон» или «выкл»:
Вместо этого, можно «выбрать действие кнопки питания
Казалось бы, боль и страдания, но это ж линукс, так что надо просто создать новую комбинацию клавиш для команды
$ systemctl suspendЧто делать:
Перейти в «Параметры — Комбинации клавиш«
Нажать «+» внизу экрана
Добавить комбинацию клавиш по вашему выбору и сохранить
pfSense ikev2 c авторизацией Active Directory
Подготовка
Сертификаты
Для того, чтобы ikev2 без головной боли работал на клиентах, серверу всегда нужен валидный сертификат от реального центра сертификации. Использовать самоподписанные и импортировать CA на всех клиентах то ещё развлечение, по этому
- Добавьте запись в DNS, со ссылкой на внешний айпшиник pfsense. Типа vpn.example.com или ещё как-то
- Установите в pfSense расширение acme, которое автоматизирует получение бесплатных сертификатов от Let’sEncrypt. Там всё достаточно просто и очевидно.
- Получите бесплатный сертификат. Я делал это с проверкой через DNS, что требует добавления текстовой записи вида _acme-challenge.vpn.exmaple.com в DNS
- Запомните на будущее, что клиент должен обращаться к серверу только по созданному и указанному в сертификате доменному имени (то самое vpn.example.com)
Авторизация
Для авторизации логично использовать стандартный доменный пароль пользователей, это облегчает жизнь администратору :), но EAP-MSCHAPv2 авторизация не поддерживает прямое обращение к LDAP, т.к. шифрует логин и пароль. Зато шифрованные пароли хорошо поддерживает RADIUS, а Windows умеет в RADIUS, по этому:
- Создайте в AD группу, в которую будут входить пользователи VPN. В отличие от LDAP, в pfsense, RADIUS-метод управляет на основе групп, а не на основе контейнеров
- Настройте Microsoft NPS по инструкции от NetGate Не забудьте сохранить в блокнот «общий секрет» из мастера — он понадобится при настройке pfSense
- Дополните настройку NPS по вот этой инструкции от NetGate
- Настройте связь pfSense с RADIUS. Я опять же пользовался инструкцией от NetGate Протокол авторизации — MS-CHAPv2
ikev2
Просто настройте ikev2 по инструкции от NetGate, внеся изменения.
1. Выберите RADIUS-сервер в настройках Mobile Client
2. Выберите EAP-RADIUS протоколом аутентификации при настройках phase 1
pfSense OpenVPN + Active Directory, тонкости
В целом, на сайте Netgate есть очень качественный пример настройки, который можно использовать «один в один», но сначала надо подготовить авторизацию через LDAP (из Active Directory).
В Windows для этого ничего делать не надо, кроме создания пользователя для связи, а в pfSense настроить связку с LDAP по вот этой инструкции
Чтобы не морочиться с тем, почему не работает, важно правильно ввести имя пользователя в поле «Bind credentials».
Инструкция рекомендует использовать либо короткую %username%, либо каноническую «CN=username,CN=Users,DC=domain,DC=suffix»
В реальной жизни, работает нотация username@domain.suffx (bob@example.local)
Ещё один важный момент — авторизация в LDAP в актуальном pfSense управляет доступом не на основе групп пользователей, а на основе контейнеров (CN, OU) в вашей доменной структуре, так что доступ получат все пользователи указанного в конфигурации LDAP подразделения (контейнера, CN, OU)
