Как да настроите pfSense с ExpressVPN (OpenVPN)

Този урок ще ви покаже как да конфигурирате ExpressVPN на вашето pfSense устройство, използвайки настройка на pfSense OpenVPN.

За целите на този урок ще приемем, че конфигурирате мрежата си за обща настройка на мрежата 192.168.1.0/24.

Забележка: Това ръководство е тествано на следната версия на pfSense: 2.3.3-RELEASE (amd64)

Изтеглете конфигурационните файлове на VPN

Влезте във вашия ExpressVPN акаунт.

Екран за вход ExpressVPN с бутон за вход.

След като влезете в уебсайта, кликнете върху Настройте на повече устройства.

Екран за настройка на ExpressVPN с подчертан бутон Настройка на още устройства.

Кликнете върху Ръчна конфигурация от лявата страна на екрана и след това изберете OpenVPN раздел вдясно.

Първо ще видите своето потребителско име и парола и след това списък на OpenVPN конфигурационни файлове.

Под вашето потребителско име и парола изтеглете конфигурационния файл на OpenVPN за местоположението, с което искате да се свържете. Дръжте този файл под ръка, тъй като ще извличате информация от него за настройка на pfSense.

Панел за настройка с полета за потребителско име и парола и списък с конфигурирани файлове.

Конфигурирайте настройките на pfSense

За да конфигурирате настройките на pfSense VPN, влезте в своето pfSense устройство и отворете Система > Cert. мениджър.

pfSense устройство на екрана с системен сертификат за управление.

Под „CA“ кликнете върху Добави бутон.

Въведете следния:

  • Описателно име: ExpressVPN
  • Метод: Импортирайте съществуващ орган за сертифициране
  • Данни за сертификата: Отворете конфигурационния файл на OpenVPN, който сте изтеглили, и го отворете с любимия си текстов редактор. Потърсете текста, който е увит в  част от файла. Копиране на целия низ от —– НАЧАЛО СЕРТИФИКАТ—– да се —–END СЕРТИФИКАТ—–.
  • Частен ключ на сертификата (незадължително): Оставете това празно
  • Сериал за следващ сертификат: Оставете това празно

След като въведете информацията, вашият екран трябва да изглежда така:

въведете данните на вашия сертификат и запазете настройките си.

Кликнете Запази.

Останете на тази страница и щракнете Сертификати на върха.

щракнете върху сертификати

В долната част на екрана щракнете Добави.

Под „Добавяне на нов сертификат“ въведете следното:

  • Метод: Импортирайте съществуващ сертификат
  • Описателно име: ExpressVPN Cert (или нещо значимо за вас)
  • Данни за сертификата: Отворете конфигурационния файл на OpenVPN, който сте изтеглили, и го отворете с любимия си текстов редактор. Потърсете текста, който е увит в  част от файла. Копирайте целия низ от —– НАЧАЛО СЕРТИФИКАТ—– да се —–END СЕРТИФИКАТ—–
  • Данни от частния ключ: С вашия текстов редактор все още отворен, потърсете текста, който е увит в част от файла. Копирайте целия низ от —– ПОЧАКАЙТЕ КЛЮЧА НА РСА – да се —–END ПРАВЕН КЛЮЧ RSA —

След като въведете информацията, вашият екран трябва да изглежда така:

въведете данните на личния си ключ в предоставеното пространство.

Кликнете Запази.

В горната част на екрана отидете на VPN > OpenVPN.

В горната част на екрана отворете VPN и щракнете върху OpenVPN.

Изберете клиенти.

кликнете върху клиенти

В долната част на екрана щракнете Добави.

Въведете следната информация:

Главна информация:

  • Деактивиран: Оставете това поле без отметка
  • Режим на сървъра: Peer to Peer (SSL / TLS)
  • протокол: UDP
  • Режим на устройството: бъчва
  • Интерфейс: WAN
  • Локален порт: Оставете празно
  • Хост или адрес на сървъра: Отворете конфигурационния файл на OpenVPN, който сте изтеглили, и го отворете с любимия си текстов редактор. Потърсете текст, който започва с отдалечен, последвано от име на сървър. Копирайте низ в името на сървъра в това поле (например, server-address-name.expressnetw.com)
  • Порт на сървъра: Копирайте номер на пристанище от конфигурационния файл на OpenVPN в това поле (например 1195)
  • Хост или адрес на прокси сървър: Оставете празно
  • Порт за прокси: Оставете празно
  • Proxy Auth. – Допълнителни опции – няма
  • Резолюция на името на хоста на сървъра: Поставете отметка в това поле
  • Описание: Нещо значимо за вас. например ExpressVPN Далас

PfSense

Настройки за удостоверяване на потребителя

  • Потребителско име: вашето потребителско име ExpressVPN
  • Парола: вашата парола ExpressVPN

PfSense

Криптографски настройки

  • TLS удостоверяване: Поставете отметка в това поле
  • Ключ: Отворете конфигурационния файл на OpenVPN, който сте изтеглили, и го отворете с любимия си текстов редактор. Потърсете текст, който е увит в  част от файла. Игнорирайте „2048-битов OpenVPN статичен ключ“ записите и започнете да копирате от —– НАЧАЛО OpenVPN Статичен ключ V1—– да се —–END OpenVPN Статичен ключ V1—–
  • Peer Certificate Authority: Изберете записа „ExpressVPN“, който сте създали преди това в Cert. Стъпки на мениджъра
  • Клиентски сертификат: Изберете записа „ExpressVPN Cert“, който сте създали преди това в Cert. Стъпки на мениджъра
  • Алгоритъм за шифроване: Отворете конфигурационния файл на OpenVPN, който сте изтеглили, и го отворете с любимия си текстов редактор. Потърсете текста шифър. В този пример конфигурацията OpenVPN е посочена като „шифър AES-256-CBC“, така че ще изберем „AES-256-CBC (256-битов ключ, 128-битов блок) от падащото меню
  • Автентичен алгоритъм за отваряне: Отворете конфигурационния файл OpenVPN, който сте изтеглили, и го отворете с любимия си текстов редактор. Потърсете текста упълномощаване последван от алгоритъма след. В този пример видяхме „auth SHA512“, така че ще изберем „SHA512 (512-битов)“ от падащото меню
  • Хардуерна криптовалута: Освен ако не знаете, че устройството ви поддържа хардуерна криптография, оставете това на Няма хардуерно крипто ускорение

Допълнителни стъпки за pfSense 2.4:

  • Махнете отметката от Автоматично генериране на TLS ключ
  • Задайте режим на използване на TLS Удостоверяване
  • Махнете отметката от Активирайте криптографски параметри по договаряне
  • Игнорирайте Алгоритми на NCP раздел

въведете криптографски настройки, като отворите конфигурационния файл на OpenVPN, който сте изтеглили по-рано.

Настройки на тунела

  • IPv4 тунелна мрежа: Оставете празно
  • IPv6 тунелна мрежа: Оставете празно
  • IPv4 Дистанционна мрежа (и): Оставете празно
  • IPv6 Дистанционна мрежа (и): Оставете празно
  • Ограничете изходящата честотна лента: По ваша преценка, но за този урок – оставете празно.
  • Компресия: Активирана с адаптивна компресия
  • Топология: Оставете по подразбиране „Подмрежа – Един IP адрес на клиент в обща подмрежа“
  • Тип на услугата: Оставете непроверено
  • Деактивиране на IPv6: Поставете отметка в това поле
  • Не изтегляйте маршрути: Поставете отметка в това поле
  • Не добавяйте / премахвайте маршрути: Оставете без отметка

Допълнителни стъпки за pfSense 2.4:

  • Задайте компресията на Адаптивна LZO компресия
  • Имайте предвид, че няма повече отметка за „Деактивиране на IPv6“

въведете настройките на тунела

Разширена конфигурация

  • Персонализирани опции: Тези опции се извличат от конфигурацията OpenVPN, към която сте се позовавали. Ще изтегляме всички персонализирани опции, които не сме използвали преди. Копирайте и поставете следното:
    fast-io; persist-key; persist-tun; отдалечен-случаен; издърпване; comp-lzo; tls-client; провери-x509-name Име на сървъра-префикс; отдалечен-cert-tls сървър; ключ-посока 1; route- метод exe; маршрут-закъснение 2; tun-mtu 1500; фрагмент 1300; mssfix 1450; глагол 3; sndbuf 524288; rcvbuf 524288
  • Ниво на многословия: 3 (препоръчително)

Допълнителни стъпки за pfSense 2.4:

  • Проверка UDP бърз I / O
  • Изпращане на буфер за получаване: 512 KB
  • Създаване на шлюз: Само IPV4

копирайте и поставете следното, за да въведете разширена конфигурация.

Кликнете Запази.

Потвърдете успеха на връзката

Вече трябва да можете да потвърдите, че вашата OpenVPN връзка е била успешна. Навигирайте до Статус > OpenVPN.

статус openvpn

Под „Статистика на потребителските инстанции“ в графата „Състояние“ трябва да видите думата нагоре, показва, че тунелът е онлайн.

проверете статистиката на потребителските случаи

Допълнителни стъпки за маршрутизиране на WAN през тунел

Сега, когато тунелът е онлайн, трябва да кажете, че целият ви трафик е NAT правилно. В горната част на екрана изберете Интерфейси и щракнете (Възлага).

задават интерфейси

Кликнете върху + бутон. Ще бъде създаден нов интерфейс. Уверете се ovpnc1 е избран и щракнете Запази.

Навигирайте до Интерфейси > OVPNC1:

Въведете следния:

Обща конфигурация

  • Активиране: Поставете отметка в това поле
  • Описание: Нещо значимо за вас. например EXPRESSVPN
  • Тип конфигурация IPv4: DHCP
  • Тип конфигурация IPv6: Нито един
  • MAC адрес: Оставете празно
  • MTU: Оставете празно
  • MSS: Оставете празно

въведете обща конфигурация

Конфигурация на DHCP клиент

  • Опции: Оставете без отметка
  • Име на хоста: Оставете празно
  • Адрес на псевдоним IPv4: Оставете празно
  • Отхвърлете лизинговите договори от: Оставете празно

конфигурация на клиента dhcp по подразбиране

DHCP6 клиентска конфигурация

  • Опции: Оставете без отметка
  • Използвайте IPv4 свързаността като родителски интерфейс: Оставете без отметка
  • Поискайте само префикс IPv6: Оставете непроверено
  • DHCPv6 Префикс Размер на делегиране: Оставете по подразбиране при 64
  • Изпращане на подсказка за префикс на IPv6: Оставете отметка
  • Debug: Оставете непроверено
  • Не чакайте RA: Оставете непроверено
  • Не позволявайте издаване на PD / Адрес: Оставете непроверено

въведете dhcp6

Запазени мрежи

  • Блокиране на частни мрежи и адреси за обратно влизане: Оставете без отметка
  • Блокиране на bogon мрежи: Оставете непроверени

мрежи, запазени по подразбиране

Кликнете Запази.

Навигирайте до Firewall > Псевдоними.

псевдоними на защитната стена

Под „IP“ щракнете Добави.

Ще предоставите на вашата домашна мрежа „Псевдоним“, който позволява с приятелско име да се отнася към вашата мрежа.

Имоти

  • Име: Нещо значимо за вас. За този урок ще използваме „Local_Subnets“
  • Описание: Нещо значимо за вас
  • Тип: Network (и)

Network (и)

  • Мрежа или FQDN: 192.168.1.0 / 24

въведете свойства

Кликнете Запази.

Навигирайте до Firewall > NAT.

защитна стена нац

Кликнете върху Изходяща на върха.

изходяща

За „Изходящ NAT режим“ изберете Ръчно генериране на NAT правила за генериране.

изберете изходящ режим нат

Кликнете Запази и след това щракнете Прилага промени.

nat конфигурацията е променена

при Съответствия, ще кажете на трафика си къде да отиде, когато напусне мрежата ви. По същество ще копирате съществуващите четири WAN връзки по подразбиране и ще ги променяте, за да използвате вашия нов виртуален интерфейс EXPRESSVPN.

От дясната страна на екрана щракнете върху копие бутон до първия запис за WAN връзка. Това е иконата с квадрат, припокриващ друг квадрат.

щракнете върху копие

В прозореца, който се появи, единственият избор, който ще промените, е разделът „Интерфейс“. Кликнете върху падащото меню и променете от WAN да се EXPRESSVPN.

въведете разширено изходящо влизане

Кликнете Запази.

Повторете горните стъпки за останалите три WAN правила, които съществуват.

След като се добавят всички четири правила EXPRESSVPN, щракнете върху Запази бутон и щракнете Прилага промени отново на върха.

И накрая, трябва да създадете правило за пренасочване на целия локален трафик през шлюза EXPRESSVPN, който преди това сте създали. Навигирайте до Firewall > правилник:

правила за защитна стена

Кликнете върху LAN.

LAN

Щракнете върху Добави бутон със стрелката нагоре (крайния ляв бутон).

щракнете върху добавяне

Въведете следния:

Редактиране на правилото на защитната стена

  • действие: Pass
  • Деактивиран: Оставете непроверен
  • Интерфейс: LAN
  • Адрес: IPv4
  • протокол: който и да е

източник

  • Източник: Изберете Единичен хост или псевдоним и въведете името на псевдонима, който сте създали за вашата мрежа по-рано. За този урок използвахме „Local_Subnets“.

Дестинация

  • Дестинация: всяка

Допълнителни опции

  • Дневник: Оставете без отметка
  • Описание: Въведете нещо значимо за вас. За този урок ще въведем „LAN TRAFFIC -> EXPRESSVPN “

Щракнете върху синьото Показване Разширено бутон.

разширени опции

Разширени опции

Оставете всичко ново в тези прозорци, които изглеждаха празни и потърсете врата. Променете това на „EXPRESSVPN_DHCP“

врата

Кликнете Запази.

Вие сте готови! Сега трябва да започнете да виждате трафика, преминаващ през новото ви създадено от вас правило, потвърждавайки, че трафикът се движи през тунела ExpressVPN, който сте създали.

pfsense vpn на