Integraciones
      Volver al inicio
      1. Centro de ayuda
      2. Identity Platform
      3. Integraciones

      OpenVPN

      Esta guía le mostrará de manera detallada las diversas formas y metodologías para integrar soluciones de OpenVPN con Ironchip.

      Posibilidades:

      SAML

      En este manual encontraras los pasos a seguir para realizar una integración de SAML en OpenVPN Access Server.

      Requisitos:

      • Tener configurado OpenVPN Access Server

      • Tener acceso al panel de Ironchip

      Pasos a seguir:

       

       

      Creación de la aplicación en el Panel de Ironchip 

       

      Para realizar la integración de SAML en OpenVPN lo primero que haremos será generar un servicio de tipo SAML en el Panel de Ironchip.

       

      Para ello nos iremos al apartado de aplicaciones y le daremos a New Application.

       

      Una vez hecho nos aparecerá una ventana como esta y le pondremos un nombre descriptivo a la aplicación que vamos a generar y el tipo de integración seleccionaremos SAML.

       

       

      Al seleccionar el tipo de integración no aparecerá un botón en la parte de abaja que nos dejara descargarnos el metadata para poderselo proporciona a el SP en este caso OpenVPN.

       

      Configuración del protocolo SAML en OpenVPN

       

      Para realizar la configuración de SAML en OpenVPN tendremos que ir al apartado de Authentication e ir a SAML.

       

       

      A continuación, lo que haremos será activar SAML e introducir el metadata descargado en OpenVPN.

       

       

      Para introducir el metadata OpenVPN nos da dos opciones hacer mediante el archivo que nos hemos descargado o hacerlo de forma manual. En este caso lo haremos con el archivo descargado previamente, para ello nos iremos al apartado de Configure Identity Provider (IdP) Automatically via Metadata y le daremos a seleccionar archivo

       

       

      Una vez seleccionada la metadata le daremos a Upload. Para comprobar que se ha añadido correctamente si vamos al apartado de configuración manual los campos deben estar rellenados con los datos correspondientes.

       

       

      A continuación, tendremos que añadir la metadata del SP es decir de OpenVPN al panel de Ironchip. Para ello iremos al apartado Service Provider (SP) identity and URL y copiaremos la url donde pone SP Identity. Esta URL la añadiremos en el campo de metadata en la aplicación que estamos creando en el panel de Ironchip.

       

       

      Por último, en el apartado de Authentication iremos a Settings y seleccionamos SAML como método de autenticación por le daremos a Save Settings y a Update Running Server para aplicar los cambios.

       

      Dar acceso al servicio

       

      Para dar acceso al servicio que hemos creado, entraremos al servicio que hemos creado y seleccionaremos el botón verde que dice Add access

       

      Seleccionamos el usuario que hará la autenticación.

       

       

      Seguido, seleccionamos el usuario que usaremos para acceder al servicio.

       

       

       Y por último, las condiciones de acceso.

       

       

       Configuración del Cliente de OpenVPN

       

      Cuando vayamos a hacer una nueva conexión en el cliente nos redirigirá al portal de cliente de OpenVPN el cual nos dará a elegir si usar un usuario local o usar SAML.

       

      RADIUS

      En este manual encontraras los pasos a seguir para realizar una integración de RADIUS en OpenVPN Access Server

      Requisitos:

      • Tener instalado el rol de NPS instalado en un servidor
      • Acceso al panel de OpenVPN con permisos de administrador
      • Acceso a la plataforma de Ironchip con permisos de administrador

      Pasos a seguir:

      Configuración del servicio en Ironchip


      Para realizar la configuración del servicio en el panel de Ironchip iremos al apartado de Applications y seleccionaremos MFA Integrations.



      Hacemos click en ADD MFA y le ponemos un nombre descriptivo, en este caso será OpenVPN.


      En la siguiente ventana seleccionaremos copiar o descargar credenciales.



      Volvemos al apartado de aplicaciones y seleccionamos New Application, añadimos un nombre descriptivo, seleccionamos el método de integración que acabamos de crear y por último en el apartado que se nos ha habilitado añadiremos la política que crearemos más tarde el servidor.



      Configuración de NPS


      Para proceder con la configuración de NPS lo primero que vamos a hacer es crear dos grupos en el Directorio Activo, uno lo usaremos para realizar la autenticación con Ironchip y el otro lo usaremos para aquellos usuarios que no precisen de MFA. 


      Una vez creado los grupos y asignados los usuarios iremos al panel de administración de NPS y crearemos una política de red.



      En la siguiente ventana nos dejará añadir un grupo, le damos a Add > User Groups y añadimos uno de los grupos que hemos creado previamente.



      Le damos Next hasta llegar Configure Authentication Methods y seleccionamos las casillas Encrypted authentication (CHAP) y Unencrypted Authentication (PAP,SPAP) y le damos Next hasta finalizar. 



      A continuación, iremos al apartado de RADIUS Clients y crearemos un nuevo cliente RADIUS que apunte al OpenVPN Server. Le pondremos un nombre descriptivo en este caso el nombre al SP que está apuntando, la ip y por último el secreto compartido que lo podemos poner de forma manual o generarlo automáticamente.



      Por último iremos en el panel de Irochip y en el apartado de Plugins descargaremos el plugin de NPS en el servidor.



      Una vez descargado el plugin lo ejecutaremos, nos pedirá que aceptemos los términos y condiciones y luego nos pedirá que rellenemos unos parámetros.


      La API Key la tenemos en el archivo que nos hemos descargado cuando hemos creado el servicio.

      Y en NPS Policies añadiremos la política que queramos que sea protegida por Ironchip.




      Configuración OpenVPN Server


      Accedemos al panel de OpenVPN y en el apartado de Authentication seleccionamos RADIUS. Lo primero que haremos será activar RADIUS y los accounting reports. 



      A continuación, nos vamos al apartado de RADIUS Server y añadiremos la ip del servidor donde hemos configurado NPS y añadiremos el secreto que hayamos puesto en el cliente RADIUS.


      Configuración de Usuarios en Servicio 


      Para permitir el acceso de un usuario a la VPN aparte de estar en el grupo que hemos creado en el directorio activo, tendremos que generar un acceso en el servicio que hemos creado en el panel de Ironchip.


      Para ello iremos al servicio en el panel de Ironchip y le daremos a Add Access.


      A continuación, nos aparecerán los usuarios y grupos que estén en la plataforma, tendremos que seleccionar qué usuario hará la autenticación.


      En la siguiente ventana nos pedirá que añadamos un User Name, por defecto esta el email, eliminaremos el tag que está por defecto y pondremos el nombre del usuario, en caso de que tengamos sincronizado el directorio activo ya sea a través de Ad Connect en caso de un directorio On Premise o aplicación empresarial con Azure AD podemos usar el tag de samAccountName



      A continuación, nos pedirá que configuremos las condiciones de acceso.

       


      Por último, nos quedaría probar la autenticación, para ello iremos al cliente de OpenVPN y generaremos un nuevo perfil y usaremos las credenciales del dominio para conectarnos a la VPN.



      Al generar el perfil nos pedirá autenticarnos.