PFSENSE OPENVPN

LDAP İLE OPENVPN YAZILIMI OLUŞTURMA

                 pFsense firewall ve active directory yapısında vpn bağlantısını gerçekleştirdik. Adım adım anlatacağım.

             AD üzerinde security group oluşturuyoruz ve o gruba dahil etmek üzere vpn yapacak kullanıcıları dahil ediyoruz. Bunu yapmamızın sebebi Attribute Editor  içindeki ayırt edici adı lazım. 

                          

PFSENSE ÜZERİNDE SERTİFİKA OLUŞTURMA ADIMLARI

Daha sonra certificates kısmından oluşturduğumuz Certificate Authorities (CA) yı tanımlıyoruz.

·                                   *** Common Name en son adımda vpn için .exe oluşturacağımız ismi belirler. Sonrasında değiştiremezsiniz!

     *** Burada dikkat etmemiz gereken nokta sertifika türünü server olarak belirlememizdir.

Save diyerek diğer adıma geçebiliriz.

Active Directory yi LDAP tipi ile bağlama adımları;

              Descriptive name ( Açıklayıcı İsim ) kısmını yazıp kaydettikten sonra değiştiremezsiniz.       ( İstediğiniz ismi verebilirsiniz, çok önemli değil. ) Ben Active Directory ismini verdim ve tipini LDAP olarak ayarladım. Kurduğunuz Domain ismini veya ip adresini doğru olarak girmeniz. Aksi halde iletişim kuramaz ve çalışmaz. LDAP protokülünün port numarası 389 olduğu için otomatik olarak getirecektir. İlk başta oluşturduğumuz CA sertifikasını tanıttıktan sonra scope türünü ( arama kapsamı ) entire subtree ( tüm alt ağaç ) olarak belirtiyoruz. İlk başta belirttiğim ayırt edici isimleri burada kullanıyoruz.

Base DN:

“DC=domainadı,DC=uzantısı”

Authentication Containers:

CN=Users,DC=domainadı,DC=uzantısı;CN=Users,CN=Builtin,DC=domainadı,DC=uzantısı;OU=Domain Controllers,DC=domainadı,DC=uzantısı

               Select a container dediğimiz zaman aşağıdaki bilgileri çekiyor olması gerekmektedir. Aksi halde bağlantı sağlanmaz.

               Burada ise query enable edip security groupun active directory üzerindeki açıklayıcı ismini yazıyoruz.

               Bind credentials kısmına ad üzerinde oluşturduğumuz ve security group içerisine dahil ettiğimiz vpn hesabının kullanıcı bilgilerini giriyoruz. “İletişim kurabilmesi için gerekli.” Kaydedip diğer adımlara geçebiliriz.

*OpenVPN için gerekli server ayarları;

               Server modunda bağlantı yapılacak türleri seçiyoruz. Biz Remote Access ( User Auth ) seçiyoruz. SSL/TLS + User Auth seçtiğimiz zaman vpn yapacak kullanıcıda TLS anlaşması başarısız oldu hatası verip bağlantı sağlanmıyor. Siz deneyin belki olacaktır.

               *** NCP de 128 default olarak geliyor. Biz AES-256-GCM seçip sağ tarafa ekliyoruz.

              Tunnel networkünde bizim reel ağımızdan bağımsız ip tanımlıyoruz. Vpn yapacak olan kullanıcılar bu belirlediğimiz ip adresinden ip alıp bağlanacaklar. Gatewayi işaretlemeyi unutmayalım.

               DNS Default Domain’e Domain Controllerin ip adresini/domain ismini girelim. Aksi halde kullanıcı bağlanamayıp hata alacaktır. Diğer DNS seçeneklerine istediğiniz DNS ip adreslerine girebilirsiniz. Ben Google ‘ın DNS ip adreslerini girdim. Tercihe bağlı. Kaydedip diğer adımlara geçebiliriz.

*Rule oluşturma;

               Bir rule oluşturmak zorundayız. Vpn ile bağlanacak olan kullanıcılar bağlandığında nelere erişsin?

               Biz Pass diyerek giriş izni verelim. Interface kısmına da OpenVPN diyelim.

              “VPN yapacak olan kullanıcılar internete çıkmasını istemiyorum diyorsanız Interface kısmını LAN olarak seçebilirsiniz.”

              Source ve Destination kısmında nerelere erişebileceklerini ayarlayabiliriz. Ben any diyerek her yere erişebilsin dedim. Bütün bu ayarlardan sonra diğer önemli olan kullanıcı sertifikasını oluşturmaktır.

 *** Sertifika tipi User olarak belirlenmelidir.

*Kullanıcıların bağlanacağı vpn için .exe üretme;.

              Uygun olan versiyonları indirip kullanıcı bilgisayarlarına kurulmaya hazır durumdadır.

              Yapmanız gereken son şey bir rule daha oluşturmaktır. Biz ilk önce OpenVPN sekmesinde rule oluşturmuştuk. Şimdi ise WAN sekmesinde rule oluşturuyoruz. Tek farkı destination kısmını This firewall olarak seçmek olacak. Ayırt etmek isterseniz aşağıda bulunan Description kısmına farklı bir isim girebilirsiniz.

Son hali:

Test ettiğinizde eğer hata alır ve bağlanamazsanız;

•               Güvenlik duvarından openvpn-gui.exe uygulamasına izin vermeniz gerekir.
•         Kurulum yolu: C:\Program Files\OpenVPN\bin
•         Pfsense üzerinde oluşturduğumuz kullanıcı sertifikasını DC bilgisayarı üzerine yüklemektir.

VPN YAPACAK OLAN KULLANICILARIN BAĞLANMASI

openvpn-gui.exe yi çalıştırdığımız zaman Windows defender tarafından aşağıdaki şekilde uyarı verecektir. Her Windows cihazında olmuyor karşınıza çıkarsa diye ekliyorum.

“Windows Defender SmartScreen tanınmayan bir uygulamanın başlatılmasını engelledi. Bu uygulamayı çalıştırmak PC'nizi riske sokabilir.“ şeklinde uyarı verdi. Biz “More info” (Daha fazla bilgi) diyerek alttaki seçeneklerden Run anyway diyerek yükleme işlemine başlayalabilirsiniz.

*** İlk iki resmi aldığım site adresini buraya bırakıyorum. Buradaki makaleyide inceleyebilirsiniz. https://vorkbaard.nl/set-up-openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/

*Bu aşamada sertifikayı oluştururken belirlediğimiz parolayı girmeliyiz.

OpenVPN programı ve sertifika kurulumu tamamlandıktan sonra windows bildirim çubuğunda OpenVPN simgesine sağ tıklayıp bağlanmasını sağlıyoruz.

Vpn bağlantısı yapacak olan (Active Directory’ de oluşturduğumuz security group olan “vpnusers” grubuna ekli) bir kullanıcı adı ve şifresi giriyoruz.

Vpn bağlantısının başarılı bir şekilde gerçekleşti ve aldığı ip adresini de gösteren bir bildirim karşımıza çıkacaktır. Ayrıca openvpn programının simgesi bağlantı süresince yeşil renkte olacaktır.

*Bağlan dediğimiz andan itibaren arka planda gerçekleşen işlemlerin log’larını da görebiliriz.