Архив метки: openvpn

Инструкции, ИТшное

Linux и OpenVPN с 2FA (openvpn3)

OpenVPN, который мы бесплатно знаем и любим, на самом деле очень не плохо продаёт свой OpenVPN Access Server — коммерческую версию, которая, в том числе, поддерживает двухфакторную авторизацию при помощи Google Auth или Яндекс.Ключ.

Чтобы подключаться к таким серверам из Linux, пакетов из комплекта операционки недостаточно, и, придётся забыть про ползунок в Network Manager.

Итак, что же делать, чтобы подключиться.

  1. Получить профиль по инструкции или от системного администратора сервера.
  2. Установить openvpn3-cli в свой линукс
    Для этого, читать и выполнять статью в вики openvpn
  3. Подключиться и работать.

Для подключения выполнить команду

openvpn3 session-start --config %путь_к_файлу_профиля%

Ввести логин, пароль, 2FA

Для отключения, выполнить команду

openvpn3 session-manage -D -c %путь_к_файлу_профиля%

Подробнее про управление подключениями тут

ИТшное

pfSense OpenVPN + Active Directory, тонкости

В целом, на сайте Netgate есть очень качественный пример настройки, который можно использовать «один в один», но сначала надо подготовить авторизацию через LDAP (из Active Directory).

В Windows для этого ничего делать не надо, кроме создания пользователя для связи, а в pfSense настроить связку с LDAP по вот этой инструкции

Чтобы не морочиться с тем, почему не работает, важно правильно ввести имя пользователя в поле «Bind credentials».

Инструкция рекомендует использовать либо короткую %username%, либо каноническую «CN=username,CN=Users,DC=domain,DC=suffix»

В реальной жизни, работает нотация username@domain.suffx (bob@example.local)

Ещё один важный момент — авторизация в LDAP в актуальном pfSense управляет доступом не на основе групп пользователей, а на основе контейнеров (CN, OU) в вашей доменной структуре, так что доступ получат все пользователи указанного в конфигурации LDAP подразделения (контейнера, CN, OU)

ИТшное

За что я люблю OpenVPN, и чем он плох :)

Я люблю OpenVPN за массу возможностей и простоту настройки

  • Хочешь L2 туннель? А пожалуйста.
  • Хочешь L3? А пожалуйста.
  • Надо работать через прокси? А пожалуйста.
  • Надо отправлять клиентам маршруты и свои DNS? Да вообще нивопрос
  • Windows? Mac? Linux? Плевать. Работает везде.
  • Хочешь авторизацию по сертификатам? Нет, надо по логину? Хочешь тащить логин из домена windows? Да без проблем, любой вариант на выбор

Плюсом к этому отсутствие геммороя с PKI клиентских операционок: просто добавь свой CA в конфигурацию, и всё будет работать.
Не надо импортировть CA в хранилище клиента.
Это просто прекрасно — дал конфиг, работает. Все настройки там

А вот чем плох OpenVPN, это производительность. Он медленный. Просто ужас, какой медленный, в сравнении с ikev2 и wireguard. Но это значит ровно одно — если вам нужен производительный впн: site-to-site какой-нибудь, или просто гонять 1С в тонком клиенте с большими отчётами — выбирайте не openvpn, а если задача быстро развернуть ВПН для доступа в офис, или ещё куда-то — это ваш выбор 🙂