Questa guida spiega come abilitare l’autenticazione multifattore (MFA / 2FA) per le connessioni OpenVPN “Server per PC” sui Firewall FSYS (Serie S).
L’MFA è implementato a livello di appliance FSYS e utilizza OTP TOTP a 6 cifre tramite app Authenticator.

Prerequisiti

• Firewall FSYS Serie S con modulo Server VPN OpenVPN abilitato.
• Profilo OpenVPN “Server per PC” già creato (o da creare).
• App Authenticator TOTP (Google Authenticator, Microsoft Authenticator o equivalenti).
• (Opzionale) Integrazione LDAP/Active Directory configurata se si vogliono usare utenze di dominio.

1) Abilitare MFA nel profilo OpenVPN

1. Accedere alla GUI del Firewall FSYS.
2. Aprire Server VPN OpenVPN e selezionare il profilo “Server per PC”.
3. Nella sezione Autenticazione / “Utilizza Utente e Password (optional)” selezionare una delle opzioni:
   • Utenti Locali + 2FA
   • Usa Active Directory + 2FA (o LDAP/AD + 2FA, in base alla nomenclatura presente)
4. Salvare la configurazione (Salva).

2) Creare/associare l’MFA agli utenti (QR Code / Secret)

Una volta abilitato il 2FA nel profilo, è necessario associare l’OTP agli utenti del profilo VPN.

1. Aprire la sezione Gestione Utenti del profilo OpenVPN.
2. Creare l’utente (o selezionarlo) e generare/visualizzare:
   • Secret (chiave per app Authenticator)
   • QR Code
3. Sull’app Authenticator dell’utente: scansionare il QR Code (o inserire il Secret manualmente).

3) Come deve autenticarsi l’utente (Password + OTP)

In fase di connessione OpenVPN, l’utente utilizza le credenziali previste dal profilo (Locali o AD/LDAP) e inserisce:

• Username
• Password concatenata con OTP a 6 cifre

Esempio: se la password è Password e l’OTP mostrato dall’app è 123456, il campo password diventa:

Password123456

Problemi comuni

Non riesco ad autenticarmi: “AUTH_FAILED” / credenziali errate

• Verificare che il profilo VPN sia impostato su “+ 2FA” (Local +2FA o AD/LDAP +2FA).
• Verificare che l’utente sia presente nella Gestione Utenti del profilo e che il 2FA sia stato associato (QR/Secret).
• Controllare che l’utente stia inserendo Password+OTP senza spazi.
• Se si usa AD/LDAP: verificare connettività e correttezza dei parametri di directory (utente, DN/UPN, policy, ecc.).

L’OTP non viene accettato (codice corretto ma login fallisce)

• Verificare data/ora del firewall e del dispositivo mobile: TOTP è sensibile al time drift.
• Assicurarsi che l’app Authenticator sia configurata correttamente e che il token sia quello dell’utente giusto.
• Rigenerare/riassociare il Secret (se previsto dalla procedura) e ripetere l’onboarding dell’utente.

L’utente ha cambiato telefono

• Rimuovere/rigenerare l’associazione 2FA per l’utente in Gestione Utenti.
• Scansionare il nuovo QR Code sul nuovo dispositivo.

Best practice (consigliate)

• Abilitare MFA come default per accessi remoti e utenze privilegiate.
• Offuscare sempre nelle schermate condivise: IP, reti, username, Secret e QR Code.
• Abilitare logging della connessione dove necessario per audit e troubleshooting.

Link utili

• Guida operativa (Serie S – OpenVPN “Server per PC”):
  
  Quick Guide Serie S – OpenVPN Server per PC
  

Nota: Questa FAQ descrive la procedura lato Firewall FSYS. Le voci di menu possono variare leggermente in base alla versione/skin della GUI, ma i passaggi e la logica MFA (TOTP + password concatenata) restano invariati.