OpenVPN permet à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. C'est VPN SSL client-to-site sous pfSense pour permettre à vos PCs d'accéder à distance aux ressources de l'entreprise.

Afin de pouvoir générer puis vérifier les certificats utilisé pour le serveur ainsi que les utilisateurs, il faut créer une autorité de certification.

Cliquer sur Système > Certificats.

Dans Autorités puis AJOUTER.

Nommer la nouvelle autorité de certification.

Remplir les champs géographiques et le nom du client comme ci-dessous et enfin Sauvegarder.

La nouvelle autorité est désormais visible.

Il faut désormais créer le certificat serveur pour OpenVPN

Cliquer dans l'onglet certificat puis Ajouter

Assigner une description, l'autorité de certification précédemment créer et le nom du certificat (doit être explicitement nommer comme serveur pour différencier plus facilement avec les autres certificats)

Désigner le certificat comme certificat serveur.

Un FQDN généralement pour ne pas poser de conflit “vpn.nomduclient.local” et enfin Sauvegarder

Le nouveau certificat serveur est désormais visible.

Voici l'étape pour créer un utilisateur + son certificat

Cliquer sur Système > Gestion des utilisateurs.

Dans l'onglet Utilisareurs cliquer sur Ajouter.

Assigner un nom et un mot de passe.

Cocher créer un certificat utilisateur puis nommer le explicitement avec le nom de l'utilisateur et sélectionner l'autorité de certification.

A la fin, cliquer sur Sauvegarder

Le nouvel utilisateur ainsi que son certificat sont désormais visibles.

Le serveur OpenVPN et ces caractéristiques sont désigné dans cette partie.

Cliquer sur VPN > OpenVPN.

Dans l'onglet Serveurs cliquer sur Ajouter.

Assigner une description, la méthode d'authentification, ici certificat + mot de passe et enfin le mode.

Changer le port du VPN ( par défaut le port est 1194 ).

Sélectionner la bonne autorité de certification et le bon certificat serveur tous les deux précédemment configurer

Définir le réseau du Tunnel en 10.10.10.0/24 ainsi que le réseau local on veut se connecter (réseau lan du client)

Activer la case IP Dynamique et sélectionner la topologie net30

Renseigner les informations DNS souhaiter (dans le cas d'un environnement AD, renseigner l'ip du serveur l'AD)

Renseigner auth-nocache dans les options custom, ette option offre une protection supplémentaire contre le vol des identifiants en refusant la mise en cache.

A la fin, cliquer sur Sauvegarder

Le nouveau serveur est désormais visible.

Désormais installer sur le pfSense l'extension qui permettra de générer et d'exporter des exécutables/configs OpenVPN GUI.

Cliquer sur Système > Gestionnaire de paquet.

Slectionner l'onglet paquets disponible, rechercher openvpn et installer le paquet openvpn-client-exporter.

Confirmer l'installation du paquet.

Le paquet est désormais installé

Cliquer sur VPN > OpenVPN.

Cliquer sur l'onglet Client Export et définir les options d'exportation.

sélectionner le serveur OpenVPN.

Sélectionner autres dans Hosted Named Resolution afin de pouvoir renseigner ensuite l'IP publique du client.

A la fin renseigner auth-nocache dans options additionnels puis cliquer sur Sauvegarder par défaut pour définir ces options pour toutes les prochains exports.

Toujours dans l'onglet Client Export, sélectionner la version 64-bits de Current Windows Installers afin de télécharger l’exécutable avec la conf de l'utilisateur intégrer.

Il sera à exécuté sur le poste Windows du client.

Une interface OpenVPN à été créer, aux même titre que le LAN ou le WAN on peut créer des règles de pare-feu qui s'appliquera au réseau VPN.

Cliquer sur Pare-feu > Règles.

Cliquer sur l'onglet OpenVPN puis Ajouter pour créer la règle.

Configurer la règle et la logger (traces).

A la fin, cliquer sur Sauvegarder

La règle est désormais visible mais n'est pas encore appliquer. Pour cela cliquer sur Appliquer les changements.