{"id":4753,"date":"2026-05-15T10:38:59","date_gmt":"2026-05-15T08:38:59","guid":{"rendered":"https:\/\/www.gigasys.it\/support\/?post_type=manual_kb&#038;p=4753"},"modified":"2026-05-15T10:38:59","modified_gmt":"2026-05-15T08:38:59","slug":"come-configuro-la-openvpn-con-mfa-2fa-otp","status":"publish","type":"manual_kb","link":"https:\/\/www.gigasys.it\/support\/knowledgebase\/come-configuro-la-openvpn-con-mfa-2fa-otp\/","title":{"rendered":"Come configuro la OpenVPN con MFA (2FA\/OTP)?"},"content":{"rendered":"<p>Questa guida spiega come abilitare l\u2019<strong>autenticazione multifattore (MFA \/ 2FA)<\/strong> per le connessioni <strong>OpenVPN \u201cServer per PC\u201d<\/strong> sui <strong>Firewall FSYS (Serie S)<\/strong>.<br \/>\nL\u2019MFA \u00e8 implementato a livello di appliance FSYS e utilizza OTP <strong>TOTP<\/strong> a 6 cifre tramite app Authenticator.<\/p>\n<hr \/>\n<h1>Prerequisiti<\/h1>\n<ul>\n<li>Firewall FSYS Serie S con modulo <strong>Server VPN OpenVPN<\/strong> abilitato.<\/li>\n<li>Profilo OpenVPN \u201c<strong>Server per PC<\/strong>\u201d gi\u00e0 creato (o da creare).<\/li>\n<li>App Authenticator TOTP (Google Authenticator, Microsoft Authenticator o equivalenti).<\/li>\n<li>(Opzionale) Integrazione <strong>LDAP\/Active Directory<\/strong> configurata se si vogliono usare utenze di dominio.<\/li>\n<\/ul>\n<hr \/>\n<h1>1) Abilitare MFA nel profilo OpenVPN<\/h1>\n<ol>\n<li>Accedere alla GUI del Firewall FSYS.<\/li>\n<li>Aprire <strong>Server VPN OpenVPN<\/strong> e selezionare il profilo \u201cServer per PC\u201d.<\/li>\n<li>Nella sezione <strong>Autenticazione<\/strong> \/ <strong>\u201cUtilizza Utente e Password (optional)\u201d<\/strong> selezionare una delle opzioni:\n<ul>\n<li><strong>Utenti Locali + 2FA<\/strong><\/li>\n<li><strong>Usa Active Directory + 2FA<\/strong> (o LDAP\/AD + 2FA, in base alla nomenclatura presente)<\/li>\n<\/ul>\n<\/li>\n<li>Salvare la configurazione (<strong>Salva<\/strong>).<\/li>\n<\/ol>\n<p><!-- (Opzionale) screenshot --><\/p>\n<hr \/>\n<h1>2) Creare\/associare l\u2019MFA agli utenti (QR Code \/ Secret)<\/h1>\n<p>Una volta abilitato il 2FA nel profilo, \u00e8 necessario associare l\u2019OTP agli utenti del profilo VPN.<\/p>\n<ol>\n<li>Aprire la sezione <strong>Gestione Utenti<\/strong> del profilo OpenVPN.<\/li>\n<li>Creare l\u2019utente (o selezionarlo) e generare\/visualizzare:\n<ul>\n<li><strong>Secret<\/strong> (chiave per app Authenticator)<\/li>\n<li><strong>QR Code<\/strong><\/li>\n<\/ul>\n<\/li>\n<li>Sull\u2019app Authenticator dell\u2019utente: scansionare il <strong>QR Code<\/strong> (o inserire il Secret manualmente).<\/li>\n<\/ol>\n<p><!-- (Opzionale) screenshot --><\/p>\n<hr \/>\n<h1>3) Come deve autenticarsi l\u2019utente (Password + OTP)<\/h1>\n<p>In fase di connessione OpenVPN, l\u2019utente utilizza le credenziali previste dal profilo (Locali o AD\/LDAP) e inserisce:<\/p>\n<ul>\n<li><strong>Username<\/strong><\/li>\n<li><strong>Password concatenata con OTP a 6 cifre<\/strong><\/li>\n<\/ul>\n<p>Esempio: se la password \u00e8 <code>Password<\/code> e l\u2019OTP mostrato dall\u2019app \u00e8 <code>123456<\/code>, il campo password diventa:<\/p>\n<p><code>Password123456<\/code><\/p>\n<hr \/>\n<h1>Problemi comuni<\/h1>\n<h3>Non riesco ad autenticarmi: \u201cAUTH_FAILED\u201d \/ credenziali errate<\/h3>\n<ul>\n<li>Verificare che il profilo VPN sia impostato su <strong>\u201c+ 2FA\u201d<\/strong> (Local +2FA o AD\/LDAP +2FA).<\/li>\n<li>Verificare che l\u2019utente sia presente nella <strong>Gestione Utenti<\/strong> del profilo e che il 2FA sia stato associato (QR\/Secret).<\/li>\n<li>Controllare che l\u2019utente stia inserendo <strong>Password+OTP<\/strong> senza spazi.<\/li>\n<li>Se si usa AD\/LDAP: verificare connettivit\u00e0 e correttezza dei parametri di directory (utente, DN\/UPN, policy, ecc.).<\/li>\n<\/ul>\n<h3>L\u2019OTP non viene accettato (codice corretto ma login fallisce)<\/h3>\n<ul>\n<li>Verificare <strong>data\/ora<\/strong> del firewall e del dispositivo mobile: TOTP \u00e8 sensibile al time drift.<\/li>\n<li>Assicurarsi che l\u2019app Authenticator sia configurata correttamente e che il token sia quello dell\u2019utente giusto.<\/li>\n<li>Rigenerare\/riassociare il Secret (se previsto dalla procedura) e ripetere l\u2019onboarding dell\u2019utente.<\/li>\n<\/ul>\n<h3>L\u2019utente ha cambiato telefono<\/h3>\n<ul>\n<li>Rimuovere\/rigenerare l\u2019associazione 2FA per l\u2019utente in <strong>Gestione Utenti<\/strong>.<\/li>\n<li>Scansionare il nuovo QR Code sul nuovo dispositivo.<\/li>\n<\/ul>\n<hr \/>\n<h1>Best practice (consigliate)<\/h1>\n<ul>\n<li>Abilitare MFA come default per accessi remoti e utenze privilegiate.<\/li>\n<li>Offuscare sempre nelle schermate condivise: <strong>IP, reti, username, Secret e QR Code<\/strong>.<\/li>\n<li>Abilitare logging della connessione dove necessario per audit e troubleshooting.<\/li>\n<\/ul>\n<hr \/>\n<h1>Link utili<\/h1>\n<ul>\n<li>Guida operativa (Serie S \u2013 OpenVPN \u201cServer per PC\u201d):<br \/>\n<a href=\"https:\/\/www.gigasys.it\/support\/quick-guide-serie-s\/#openvpn-server-per-pc\" target=\"_blank\" rel=\"noopener\"><br \/>\nQuick Guide Serie S \u2013 OpenVPN Server per PC<br \/>\n<\/a><\/li>\n<\/ul>\n<p style=\"font-size: 0.95em;\"><strong>Nota:<\/strong> Questa FAQ descrive la procedura lato Firewall FSYS. Le voci di menu possono variare leggermente in base alla versione\/skin della GUI, ma i passaggi e la logica MFA (TOTP + password concatenata) restano invariati.<\/p>\n","protected":false},"author":4,"featured_media":0,"parent":0,"menu_order":0,"template":"","format":"standard","manualknowledgebasecat":[45],"manual_kb_tag":[243,143,242,64,146],"class_list":["post-4753","manual_kb","type-manual_kb","status-publish","format-standard","hentry","manualknowledgebasecat-serie-s","manual_kb_tag-autenticazione-2fa","manual_kb_tag-firewall","manual_kb_tag-mfa","manual_kb_tag-openvpn","manual_kb_tag-sicurezza"],"_links":{"self":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb\/4753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb"}],"about":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/types\/manual_kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/users\/4"}],"version-history":[{"count":2,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb\/4753\/revisions"}],"predecessor-version":[{"id":4755,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb\/4753\/revisions\/4755"}],"wp:attachment":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/media?parent=4753"}],"wp:term":[{"taxonomy":"manualknowledgebasecat","embeddable":true,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manualknowledgebasecat?post=4753"},{"taxonomy":"manual_kb_tag","embeddable":true,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb_tag?post=4753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}