Comment mettre en place l'authentification LDAP + TOTP pour la connexion à OpenVPN sur OPNSense.
Ne pas oublier de créer des certificat individuel pour les utilisateurs si souhaité.
Autre lien : https://docs.opnsense.org/manual/how-tos/two_factor.html#step-1-add-new-authentication-server
Site-to-site VPN IPsec. Les avantages d'IPsec sont sa simplicité de mise en place et sa fiabilité.
La version embedded peut être intéressante sur des configs HW un peu plus restreintes. J'ai pu l'installer sur un ALIX.
Pour rappel, la vitesse est à 115200. Donc si la vitesse est différente au boot pendant la séquence BIOS, ne pas oublier de changer.
Site-to-site avec du client specific override.
Plus d'explication sur le client override et iroute dans OpenVPN :
https://mnt-tech.fr/blog/openvpn-et-loption-iroute/
Et pour le debug :
https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn.html
Liaison LDAP pour connexion VPN sur OpenVPN dans OPNSense.
Pour le faire avec un Radius : https://vorkbaard.nl/set-up-openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/
doc OPNSense, dans laquelle il est expliqué comment se baser sur un groupe de sécurité : https://wiki.opnsense.org/manual/how-tos/user-ldap.html#prerequisites
Quelques rappels pour l'utilisation de TCPDump. Ca m'a été utile pour de la capture de paquet sous OPNSense. Attention toutefois à garder en tête que lors de tests de ping, OPNSense semble utiliser de l'IP Spoofing, ce qui signifie que les paquets ne seront pas forcément visibles par l'interface que l'on est en train d'analyser.
Logiciel simple d'utilisation qui permet de créer des clés USB bootables avec des images, par exemple OPNSense. Très pratique pour préparer une image intègre.
Configuration de CARP, XMLRPC et de pfSync. Ça marche très bien !
Un peu plus complet :
https://vorkbaard.nl/how-to-set-up-pfsense-high-availability-hardware-redundancy/
Bonne pistes pour le debug :
https://docs.netgate.com/pfsense/en/latest/highavailability/troubleshooting-xmlrpc-configuration-synchronization.html
Aussi :
http://ghanima.net/doku.php?id=wiki:ghanima:gateway:carp
Mise en place d'un tunnel G2G basé sur OpenVPN en utilisant certificats (PKI). Il y a aussi la méthode plus facile, mais moins secure de la clé partagée, qui cependant, ça n'a jamais fonctionné avec mes OPNsense, malgré de nombreuses heures de debug, lecture de logs, et recherches intensives.
Pourtant, ça avait l'air simple :
https://openvpn.net/community-resources/static-key-mini-howto/
https://wiki.opnsense.org/manual/how-tos/sslvpn_s2s.html
Mais une fois la méthode PKI utilisée, tout fonctionne parfaitement !
https://openmaniak.com/openvpn_tutorial.php#static
Tuto intéressant qui inclut la redirection d'une partir du traffic via une interface désignée dans OPNSense.
Je confirme avoir aussi eu pas mal de souci avec OPNSense (basé sur FreeBSD) avec une VM de génération 2 sous Hyper-V. Elle finissait pas freezer totalement et des messages au sujet des accès disques apparaissaient dans les logs.
OPNSense notion IP virtuelle.
Quelques conseils pour la qualité du WiFi sous OPNSense.
Résumé de l'installation d'OPNSense sur un APU
Comment optimiser l'installation pour un SSD.
Prérequis pour OPNSense, important pour dimensionner le HW.
Instructions et images pour les installations APU de PC Engines.
http://pcengines.ch/howto.htm#OS_installation
OPNSense :
https://zedt.eu/tech/linux/installing-opnsense-on-pcengines-apu2/
https://opnsense.org/users/get-started/