Integrar pfSense y Active Directory con RADIUS

por | 5 May, 2023 | Soluciones problemas Ciberseguridad

Hoy os traemos un pequeño manual para integrar pfSense y Active Directory de Windows Server, y así poder usar los usuarios del directorio activo, para conectarnos a la red OpenVPN de nuestro pfSense.

Hace unos días, os contamos como hacerlo mediante LDAP, aquí dejamos el artículo, y hoy lo implementaremos mediante RADIUS.

Para configurar la integración de PfSense con Active Directory, tenemos que realizar los siguientes pasos:

pfSense y Active Directory

Preparar Directorio activo de Windows:

Lo primero que debemos de hacer es preparar el Windows Server, para que podamos conectarnos mediante RADIUS desde nuestro firewall pfSense, para así, poder utilizar todos los usuarios que queramos para usar el OpenVPN del firewall con los usuarios del dominio, para ello, debemos de hacer lo siguiente:

  1. Crear un grupo de Seguridad «pfSense» para que agrupemos a los usuarios que van a poder logarse en nuestro PfSense.
  2. Añadir los usuarios al nuevo grupo creado, para que puedan conectarse a la VPN de nuestro firewall pfSense.
  3. Nos dirigimos a Administración del Servidor y agregamos un nuevo ROL.
  4. Buscamos y marcamos Servicios de acceso y directivas de redes y damos a siguiente.
  5. Dejamos marcada la opción Incluid herramientas de administración (si es aplicable) y damos agregar características y siguiente, hasta que nos pida opción de Instalar que le daremos a instalar y esperaremos que termine.
  6. Una vez instalado, nos vamos a Herramientas y abrimos la herramienta recién instalada.
  7. Desplegamos clientes y servidores RADIUS y damos botón derecho sobre Clientes RADIUS y damos a nuevo.
  8. Habilitamos este cliente, le ponemos de nombre PfSense, en la dirección IP ponemos la IP de nuestro PfSense y Marcamos en el secreto compartido, Manual, copiamos y guardamos la clave que nos genera, ya que la usaremos mas adelante, y damos a aplicar y aceptar.
  9. Desplegamos directivas y Botón derecho sobre Directivas de Red y nueva.
  10. Nombre le ponemos Permitir Grupos PfSense, y tipo de servidor lo dejamos en No Especificado y Damos siguiente.
  11. Damos Agregar y decimos grupos de usuarios y agregamos el grupo generado anteriormente PfSense, aceptar y siguiente.
  12. Acceso concedido y siguiente.
  13. Directamente damos a siguiente.
  14. Nuevamente a Siguiente.
  15. Nuevamente Siguiente y finalizar.

Configurar RADIUS en pfSense

Ahora nos vamos a trabajar a nuestro PfSense, para configurar un nuevo servidor de autenticación para posteriormente poderlo usar en el OpenVPN, para ello tenemos que hacer lo siguiente:

Nos vamos a:

  • System
  • User Manager
  • Authentication Servers

Ahora vamos a configurar la conexión y estando ya en Authentication Servers, damos + Add y tenemos que definir los siguientes valores:

  • Desciptive name: Definimos el nombre de la Conexión, en nuestro caso pfSense-RADIUS-empresa.local
  • Type: RADIUS
  • Protocol: MS-CHAPv2
  • Hostname or IP adress: La ip de nuestro controlador de dominio en el que hemos configurado RADIUS
  • Shared Secret: pegamos la clave del paso 8 de la preparación de Windows Server
  • Services Offered: Authentication and Accounting
  • Authentication Port: 1812
  • Accounting Port: 1813
  • Authentication Timeout: Lo dejamos en blanco
  • Damos a guardar

Con esto ya tendríamos configurada la conexión entre nuestro PfSense y el Directorio Activo

Comprobar el funcionamiento de integrar pfSense y Active Directory con RADIUS

Para comprobar el correcto funcionamiento de la integración, debemos de hacer lo siguiente:

  • Diagnostics
  • Authentication

Una vez que estemos, desplegamos Authentication Server y seleccionamos: pfSense-RADIUS-empresa.local, en el usuario ponemos [email protected] y la ContraseñaSegura que hemos creado, le damos a test y nos deberá de dar OK.

Añadir LDAP a OpenVPN en pfSense

Ahora que ya tenemos configurado RADIUS en nuestro firewall pfSense, vamos a agregarlo a nuestro servidor de OpenVPN, para ello, debemos de irnos a:

  • VPN
  • OpenVPN

Editamos el servidor que queremos configurar y en Backend for authentication debemos de seleccionar pfSense-RADIUS-empresa.local, le damos a guardar y ya tenemos la posibilidad de conectar con los usuarios del dominio, para ello, debemos de crear los certificados.

Crear certificados de los usuarios después de integrar pfSense y Active Directory

Una vez que tenemos ya todo configurado, toca generar los certificados de usuarios del directorio activo, para ello, debemos de irnos a:

  • System
  • Cert. Manager
  • Certificates

Una vez que estamos aquí, debemos de dar a +Add/Sign y seguimos los siguientes pasos, los que no comentamos, es porque deberéis de ponerlos según vuestra configuración ya existente de OpenVPN:

  • Method: Create an internal Certificate
  • Descriptive name: Nombre que queráis darle
  • Common Name: Aquí debemos de poner el nombre del usuario del directorio activo, en nuestro caso: pfsense.prueba
  • Certificate Type: User Certificate

Una vez terminado le damos a guardar y ya podemos iniciar sesión en OpenVPN con nuestro usuario del dominio y contraseña, exportáis la configuración en:

  • VPN
  • OpenVPN
  • Client Export

¿Por qué confiar en DCSeguridad?

En conclusión, la seguridad es un aspecto fundamental en cualquier ámbito de nuestra vida, ya sea en el hogar, en el trabajo o en la calle. En DCSeguridad, nos especializamos en brindar soluciones integrales para la protección de tu patrimonio y la seguridad de tu familia y empleados. Si deseas obtener más información sobre nuestros servicios, no dudes en ponerte en contacto con nosotros. Además, te invitamos a unirte a nuestro canal de Telegram, donde compartimos consejos y recomendaciones para fortalecer la seguridad de tu hogar o negocio. ¡Tu tranquilidad es nuestra prioridad!