Neste tutorial apresentamos como configurar a OpenVPN Community, com autenticação em dois fatores (2FA), utilizando o servidor OPNsense.
1. Configurar autenticação em dois fatores (2FA)
OPNsense suporta os seguintes servidores de backend para autenticação de usuários:
*LDAP
*LDAP + OTP
*Local
*Local + OTP
*Radius
Neste tutorial iremos abordar a configuração de usuários locais com 2FA. Navegue até System → Access → Servers → +Add
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-1.png)
Descriptive name: insira um nome para o servidor
Type selecione: Local + Timebased One Time Password
Token Length: 6
Time window: deixar em branco
Grace period: deixar em branco
Reverse token order: Não marcar
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-2.png)
Salvar
2. Configurar OpenVPN
Navegue até VPN → OpenVPN → Servers, utilize o botão wizard para iniciar a configuração:
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-3.png)
Type of Server selecione Local User Access
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-4.png)
No Próximo passo será solicitado para criar uma autoridade certificadora, essa autoridade será utilizada para criar os certificados dos usuários que irão se conectar a VPN e pelo servidor.
Preencha os campos conforme a sua entidade.
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-5.png)
Ao finalizar, clique em Add new CA
Na sequência, clique em Add new Certificate para adicionar o certificado do servidor
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-6.png)
Novamente preencha os campos conforme sua entidade e clique em Create new Certificate
O passo seguinte se refere às configurações do servidor OpenVPN, iremos alterar as seguintes:
Interface: selecione a interface WAN
Protocol: UDP
Local Port: a porta que o OpenVPN escutará as conexões, deixar em branco usará a padrão 1194, caso deseje usar outra porta, consulte a nossa lista de portas liberadas por padrão para os cloud servers: Quais as portas de rede liberadas por padrão para os cloud servers?
Description: insira um nome para sua instância OpenVPN
Encryption algorithm: AES-256-GCM
Auth Digest Algorithm: SHA256 (256-bit)
IPv4 Tunnel Network: Rede IPv4 usando notação CIDR para comunicação entre o servidor e os clientes OpenVPN. Não utilize uma rede que já exista em sua infraestrutura. Ex:
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-7.png)
IPv4 Local Network: Informe a rede IPv4 usando notação CIDR que você deseja ter acesso através da VPN (servidor de banco de dados, aplicações intranet). Os endereços devem ser separados por vírgula. Ex:
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-8.png)
As configurações restantes devem ficar padrão. Ao avançar, será solicitado se deseja criar regras de firewall para o serviço da OpenVPN. Deve-se marcar as 2 opções a avançar.
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-9.png)
Agora o serviço do OpenVPN está configurado e ativo.
3. Associar o servidor de autenticação em dois fatores (2FA) ao OpenVPN
Nesse passo iremos associar o servidor de autenticação criado no passo 1 deste tutorial com o servidor OpenVPN.
Navegue até VPN → OpenVPN → Servers, clique no botão edit sobre o servidor recém criado.
Em Backend for authentication, deixe selecionado somente o servidor de autenticação criado no passo 1:
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-12.png)
*Clique sobre Local Database para remover o servidor da lista de autenticação.
Devido ao fato de utilizar a autenticação em 2 fatores, devemos alterar o campo Renegotiate time, este campo refere quantos segundos o servidor irá renegociar a senha de autenticação, e com isso a conexão cairá automaticamente porque a senha não é mais válida. O valor padrão é 3600 (1 hora), recomenda-se um valor alto, ex: 36000 (10 horas) ou definir 0 para desabilitar (neste modo, a conexão sempre ficará ativa).
![](https://www.centralserver.com/wp-content/uploads/2023/08/word-image-6880-13.png)
Salvar as configurações.
O próximo passo é adicionar usuários seguindo este tutorial: 3 – Como adicionar usuário de VPN no OPNsense?
AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.