Hoy os traemos un pequeño manual para integrar pfSense y Active Directory de Wndows Server, y así poder usar los usuarios del directorio activo, para conectarnos a la red OpenVPN de nuestro pfSense.

Para configurar la integración de pfSense y Active Directory, tenemos que realizar los siguientes pasos:

Pfsense Y Active Directory

Preparar Directorio activo de Windows

Lo primero que debemos de hacer es preparar el Directorio Activo, para que podamos conectarnos mediante LDAP desde nuestro firewall pfSense, para asi, poder utilizar todos los usuarios que queramos para usar el OpenVPN del firewall con los usuarios del dominio, para ello, debemos de hacer lo siguiente:

  1. Crear un grupo de Seguridad «pfSense» para que agrupemos a los usuarios que van a poder logarse en nuestro PfSense, recordar crear dicho grupo, en la OU que luego vamos a definir en la query.
  2. Añadir los usuarios al nuevo grupo creado, para que puedan conectrse a la VPN de nuestro firewall pfSense.
  3. Creamos un nuevo usuario «pfsense-admin» con una contraseña segura.
  4. Creamos un usuario de pruebas, que se va a llamar pfsense.prueba le ponemos una ContraseñaSegura y le añadimos al grupo pfSense que acabamos de crear.

Configurar LDAP en pfSense

Ahora nos vamos a trabajar a nuestro PfSense, para configurar un nuevo servidor de autenticación para posteriormente poderlo usar en el OpenVPN, para ello tenemos que hacer lo siguiente:

Nos vamos a:

  • System
  • User Manager
  • Authentication Servers

Para empezar a trabajar, lo haremos con un Dominio ficticio que se llama empresa.local, para lo que hemos definido en el directorio activo lo siguiente:

  • Nombre del Dominio: empresa.local
  • Controlador de Dominio: servidordc.empresa.local
  • IP Controlador del Dominio: 192.168.1.2
  • Usuario: pfSense-admin
  • Password: ContraseñaSegura

Ahora vamos a configurar la conexión y estando ya en Authentication Servers, damos + Add y tenemos que definir los siguiente valores:

  • Desciptive name: Definimos el nombre de la Conexion, en nuestro caso pfSense-LDAP-empresa.local
  • Type: LDAP
  • Hostname or IP address: Aquí ponemos la IP de nuestro AD en nuestro caso 192.168.1.2
  • Port value: 389, recordad permitir este puerto en el tráfico entre el Firewall y el Directorio Activo.
  • Transport: TCP – Standard
  • Protocol version: 3
  • Search Scrope: Entire Subtree
  • Base DN: DC=empresa,DC=local
  • Authentication containers: CN=Users,DC=empresa,DC=local (si le das a select container, te saldrán todos los que esten disponibles)
  • Extended query: Enabled
  • Query: memberOf=CN=pfSense,CN=Users,DC=empresa,DC=local
  • Bind anonymous: Unchecked
  • Bind credentials: [email protected] y la ContraseñaSegura que hayáis definido anteriormente
  • Initial Templace: Microsoft AD
  • User naming attribute: samAccountName
  • Group naming attribute: cn
  • Group member attribute: memberOf
  • RFC 2307 Groups: Unchecked

Con esto ya tendríamos configurada la conexión entre nuestro PfSense y el Directorio Activo

Comprobar el funcionamiento de integrar pfSense y Active Directory con LDAP

Para comprobar el correcto funcionamiento de la integración, debemos de hacer lo siguiente:

  • Diagnostics
  • Authentication

Una vez que estemos, desplegamos Authentication Server y seleccionamos: pfSense-LDAP-empresa.local, en el usuario ponemos [email protected] y la ContraseñaSegura que hemos creado, le damos a test y nos deberá de dar OK.

Añadir LDAP a OpenVPN en pfSense

Ahora que ya tenemos configurado LDAP en nuestro firewall pfSense, vamos a agregarlo a nuestro servidor de OpenVPN, para ello, debemos de irnos a:

  • VPN
  • OpenVPN

Editamos el servidor que queremos configurar y en Backend for authentication debemos de seleccionar pfSense-LDAP-empresa.local, le damos a guardar y ya tenemos la posibilidad de conectar con los usuarios del dominio, para ello, debemos de crear los certificados.

Crear certificados de los usuarios después de integrar pfSense y Active Directory

Una vez que tenemos ya todo configurado, toca generar los certificados de usuarios del directorio activo, para ello, debemos de irnos a:

  • System
  • Cert. Manager
  • Certificates

Una vez que estamos aquí, debemos de dar a +Add/Sign y seguimos los siguientes pasos, los que no comentamos, es porque deberéis de ponerlos según vuestra configuración ya existente de OpenVPN:

  • Method: Create an intrenal Certificate
  • Descriptive name: Nombre que queráis darle
  • Common Name: Aquí debemos de poner el nombre del usuario del directorio activo, en nuestro caso: pfsense.prueba
  • Certificate Type: User Certificate

Una vez terminado le damos a guardar y ya podemos iniciar sesión en OpenVPN con nuestro usuario del dominio y contraseña, exportáis la configuración en:

  • VPN
  • OpenVPN
  • Client Export

¿Por qué confiar en DCSeguridad?

En conclusión, la seguridad es un aspecto fundamental en cualquier ámbito de nuestra vida, ya sea en el hogar, en el trabajo o en la calle. En DCSeguridad, nos especializamos en brindar soluciones integrales para la protección de tu patrimonio y la seguridad de tu familia y empleados. Si deseas obtener más información sobre nuestros servicios, no dudes en ponerte en contacto con nosotros. Además, te invitamos a unirte a nuestro canal de Telegram, donde compartimos consejos y recomendaciones para fortalecer la seguridad de tu hogar o negocio. ¡Tu tranquilidad es nuestra prioridad!