Premi Ctrl/Cmd + P per stampare
o per salvarlo in PDF

Aggiungere utenti ad OPNSense

Menu Utenti

Per aggiungere utenti al Firewall come prima cosa effettuiamo il login.
Andiamo poi sulla pagina utenti, nel menù sulla sinistra:
System -> Access -> Users

Ora nella lista utenti ci basterà cliccare sul tasto + in alto a destra.

Menu creazione utente

Ora che siamo nel nostro menu di creazione possiamo creare l’utente con tutte le informazioni necessarie.

  • Username: scegliamo un username per l’utente (senza spazi)
  • Password: Inseriamo la password (2 volte) per il nuovo utente, l’utente potrà sempre cambiarla successivamente dopo l’accesso.
  • Full name: Inserire il nome completo della persona per identificarla successivamente.
  • E-Mail: campo facoltativo
  • Comment: campo facoltativo
  • Expiration date: Se vogliamo dare una data di scadenza automatica alle credenziali clicchiamo e selezioniamo la data oltre cui le credenziali non funzioneranno più.
  • Group Memberships: Scegliamo il gruppo a cui dovrà appartenere l’utente (VPN, monitoraggio, manutenzione ecc.)
  • Certificate: da spuntare Click to create a user certificate solo nel caso di credenziali VPN.
  • OTP seed: da spuntare “Generate new secret” solo nel caso si vogliamo abilitare il 2FA per l’utente.

Dopo aver compilato tutto e messo le spunta di cui abbiamo bisogno facciamo Save per andare avanti.

Creazione certificato utente (in caso di VPN)

Compilare i campi del certificato in base all’impostazione del certificato principale:

  • Method: Create an internal Certificate
  • Description: nome dell’utente
  • Type: Client Certificate
  • Private key location: Save on this firewall
  • Key Type: Elliptic Curve secp521r1
  • Digest Algorithm: SHA512
  • Issuer: Selezionare l’authority (di solito è Firewall CA)
  • Lifetime: Inserire il numero di giorni dopo cui scade il certificato (365=1 anno, 3650=10 anni)

La sezione General name è precompilata con i dati dell’organizzazione.

Facciamo Save

Torneremo alla schermata dei certificati.

Torniamo alla schermata utenti e modifichiamo l’utente creato in precedenza

Troveremo in User Certificates il certificato creato in precedenza.


Ora possiamo fare Save ed abbiamo concluso la creazione.

Creazione OTP seed per 2FA (obbligatorio dal 2024)

Se abbiamo selezionato Generate new secret (160bit) non appena clicchiamo Save ci riporterà alla stessa schermata per trovarci compilato il campo OTP seed e OTP QR code.

Cliccando Click tu unhide possiamo vedere il QR code per configurarlo all’interno di una qualunque app di autenticazione sul telefono. Altrimenti possiamo copiarci OTP seed ed incollarlo nell’app di autenticazione.

Per disattivare il 2FA ad un utente basta aprire l’utente, cancellare la stringa OTP seed e cliccare Save.

NB: Tutte le nuove installazioni dal 2024 impostiamo obbligatoriamente il 2FA per l’accesso sia al pannello web sia alla VPN.
Se non s’imposta il seed non sarà possibile connettersi.

Download file configurazione VPN per l’utente

Aprire VPN -> OpenVPN -> Client Export

Ora in questa schermata troviamo precompilati tutti i campi e la lista degli utenti.
Di fianco all’utente avremo il tasto download per scaricare il file configurazione di OpenVPN.

Ora basterà installare un client OpenVPN ed importare la configurazione:
Windows -> https://openvpn.net/community-downloads/
MacOS -> https://tunnelblick.net/downloads.html
Android -> https://play.google.com/store/apps/details?id=de.blinkt.openvpn

PS. Se l’utente ha attivo il 2FA per collegarsi in VPN dovrà inserire nel campo password sia la password, sia il codice OTP.
Esempio:
Abbiamo la password -> PaSsW0rD
Abbiamo il codice OTP dell’app -> 123456
Inseriremo nel campo password di OpenVPN senza spazi -> PaSsW0rD123456