Ako nastaviť pfSense pomocou ExpressVPN (OpenVPN)

Tento tutoriál vám ukáže ako nakonfigurovať ExpressVPN na vašom pfSense zariadení, pomocou pfSense OpenVPN nastavenia.

Na účely tohto návodu predpokladáme, že konfigurujete svoju sieť na všeobecné nastavenie siete 192.168.1.0/24..

Poznámka: Táto príručka bola testovaná na nasledujúcej verzii pfSense: 2.3.3-RELEASE (amd64)

Stiahnite si konfiguračné súbory VPN

Prihláste sa do svojho účtu ExpressVPN.

Prihlasovacia obrazovka ExpressVPN so zvýrazneným tlačidlom Prihlásiť sa.

Po prihlásení na webovú stránku kliknite na ikonu Nastavenie na viacerých zariadeniach.

Obrazovka nastavenia ExpressVPN so zvýrazneným tlačidlom Nastaviť na viacerých zariadeniach.

Kliknite na Manuálna konfigurácia na ľavej strane obrazovky a potom vyberte ikonu OpenVPN napravo.

Najprv uvidíte svoje užívateľské meno heslo a potom zoznam Konfiguračné súbory OpenVPN.

Pod svojím používateľským menom a heslom stiahnite konfiguračný súbor OpenVPN pre umiestnenie, ku ktorému sa chcete pripojiť. Tento súbor majte vždy po ruke, pretože z neho budete extrahovať informácie pre nastavenie služby AdSense.

Panel nastavení s poľami Meno a Heslo a zvýraznený zoznam konfiguračných súborov.

Nakonfigurujte nastavenia pfSense

Ak chcete nakonfigurovať nastavenia VPN siete pfSense, prihláste sa do svojho zariadenia ctSense a prejdite na systém > Cert. manažér.

zvýraznená obrazovka zariadenia pfSense so správcom systémových certifikátov.

V časti „CA“ kliknite na ikonu pridať gombík.

Zadaj nasledujúce:

  • Popisný názov: ExpressVPN
  • metóda: Importujte existujúcu certifikačnú autoritu
  • Údaje certifikátu: Otvorte stiahnutý konfiguračný súbor OpenVPN a otvorte ho pomocou obľúbeného textového editora. Vyhľadajte text, ktorý je zabalený do  časť súboru. Kopíruje sa celý reťazec z —– ZAČIATOČNÉ OSVEDČENIE—– na —–END OSVEDČENIE—–.
  • Súkromný kľúč certifikátu (voliteľný): Nechajte toto pole prázdne
  • Sériové číslo pre ďalší certifikát: Toto pole nechajte prázdne

Po zadaní informácií by obrazovka mala vyzerať takto:

zadajte podrobnosti svojej certifikačnej autority a uložte svoje nastavenia.

cvaknutie Uložiť.

Zostaňte na tejto stránke a kliknite na tlačidlo OK certifikáty na vrchu.

kliknite na certifikáty

V dolnej časti obrazovky kliknite na ikonu pridať.

V časti „Pridať nový certifikát“ zadajte nasledujúce údaje:

  • metóda: Importujte existujúci certifikát
  • Popisný názov: ExpressVPN Cert (alebo pre vás niečo zmysluplné)
  • Údaje certifikátu: Otvorte stiahnutý konfiguračný súbor OpenVPN a otvorte ho pomocou obľúbeného textového editora. Vyhľadajte text, ktorý je zabalený do  časť súboru. Skopírujte celý reťazec z —– ZAČIATOČNÉ OSVEDČENIE—– na —–END OSVEDČENIE—–
  • Údaje súkromného kľúča: Keď je textový editor stále otvorený, vyhľadajte text, ktorý je zabalený v rámci časť súboru. Skopírujte celý reťazec z —– ZAČÍTAJTE KĽÚČOVÚ KĽÚČOVÚ RSA— na —-END PRIVATE KEY RSA—-

Po zadaní informácií by obrazovka mala vyzerať takto:

do poskytnutého priestoru zadajte svoje údaje súkromného kľúča.

cvaknutie Uložiť.

V hornej časti obrazovky prejdite na ikonu VPN > OpenVPN.

V hornej časti obrazovky prejdite na VPN a kliknite na OpenVPN.

vybrať klienti.

kliknite na klientov

V dolnej časti obrazovky kliknite na ikonu pridať.

Zadajte nasledujúce informácie:

Všeobecné informácie:

  • Zakázané: Toto políčko nezaškrtnite
  • Režim servera: Peer to Peer (SSL / TLS)
  • Protokol: UDP
  • Režim zariadenia: kaďa
  • Rozhranie: WAN
  • Miestny prístav: Nechajte prázdne
  • Hostiteľ alebo adresa servera: Otvorte stiahnutý konfiguračný súbor OpenVPN a otvorte ho pomocou obľúbeného textového editora. Vyhľadajte text, ktorý začína na diaľkový, nasledovaný názvom servera. Do tohto poľa skopírujte reťazec názvu servera (napr. Server-adresa-name.expressnetw.com)
  • Port servera: Skopírujte číslo portu z konfiguračného súboru OpenVPN do tohto poľa (napr. 1195)
  • Proxy hostiteľ alebo adresa: Nechajte prázdne
  • Proxy port: Nechajte prázdne
  • Proxy Auth. – Extra možnosti – žiadne
  • Rozlíšenie názvu hostiteľa servera: Začiarknite toto políčko
  • Popis: Niečo zmysluplné pre vás. napr. ExpressVPN Dallas

The pfSense

Nastavenia overenia používateľa

  • Používateľské meno: vaše používateľské meno ExpressVPN
  • Heslo: vaše heslo ExpressVPN

The pfSense

Kryptografické nastavenia

  • Autentifikácia TLS: Začiarknite toto políčko
  • Kľúč: Otvorte stiahnutý konfiguračný súbor OpenVPN a otvorte ho pomocou obľúbeného textového editora. Vyhľadajte text, ktorý je zabalený do  časť súboru. Ignorujte položky „2048-bitový statický kľúč OpenVPN“ a začnite s kopírovaním —– ZAČIATOK OpenVPN Statický kľúč V1—– na —–END OpenVPN Statický kľúč V1—–
  • Peer Certification Authority: Vyberte položku „ExpressVPN“, ktorú ste predtým vytvorili v certifikáte Cert. Kroky manažéra
  • Klientsky certifikát: Vyberte položku „ExpressVPN Cert“, ktorú ste predtým vytvorili v certifikáte Cert. Kroky manažéra
  • Algoritmus šifrovania: Otvorte stiahnutý konfiguračný súbor OpenVPN a otvorte ho pomocou obľúbeného textového editora. Vyhľadajte text šifra. V tomto príklade je konfigurácia OpenVPN uvedená ako „šifra AES-256-CBC“, takže z rozbaľovacej ponuky vyberieme „AES-256-CBC (256-bitový kľúč, 128-bitový blok)“.
  • Algoritmus overenia totožnosti: Otvorte konfiguračný súbor OpenVPN, ktorý ste prevzali, a otvorte ho pomocou obľúbeného textového editora. Vyhľadajte text auth za ktorým nasleduje algoritmus. V tomto príklade sme videli „auth SHA512“, takže z rozbaľovacej ponuky vyberieme „SHA512 (512-bit)“
  • Hardvérové ​​šifrovanie: Pokiaľ neviete, že vaše zariadenie podporuje hardvérovú kryptografiu, ponechajte toto na Žiadne hardvérové ​​šifrovacie zrýchlenie

Ďalšie kroky pre pfSense 2.4:

  • zrušte zaškrtnutie Automaticky vygenerovať kľúč TLS
  • Nastavte režim použitia na Overenie TLS
  • zrušte zaškrtnutie Povoliť obchodovateľné kryptografické parametre
  • Ignorovať Algoritmy NCP časť

zadajte kryptografické nastavenia otvorením konfiguračného súboru OpenVPN, ktorý ste stiahli predtým.

Nastavenia tunela

  • Sieť tunelov IPv4: Nechajte prázdne
  • Sieť tunelov IPv6: Nechajte prázdne
  • Vzdialené siete IPv4: Nechajte prázdne
  • Vzdialené siete IPv6: Nechajte prázdne
  • Limit odchádzajúcej šírky pásma: Podľa vlastného uváženia, ale pre tento tutoriál – nechajte prázdne.
  • Kompresia: povolená s adaptívnou kompresiou
  • Topológia: Ponechajte predvolenú „podsiete – jedna adresa IP na klienta v spoločnej podsieti“.
  • Typ služby: Nechajte nezaškrtnuté
  • Zakázať IPv6: Začiarknite toto políčko
  • Nevyťahujte trasy: Začiarknite toto políčko
  • Nepridávať / odstraňovať trasy: Nechajte nezačiarknuté

Ďalšie kroky pre pfSense 2.4:

  • Nastavte kompresiu na Adaptívna kompresia LZO
  • Upozorňujeme, že už nie je začiarkavacie políčko „Vypnúť IPv6“

zadajte nastavenia tunela

Pokročilá konfigurácia

  • Vlastné voľby: Tieto voľby sú odvodené z konfigurácie OpenVPN, na ktorú ste odkazovali. Vytiahneme všetky vlastné možnosti, ktoré sme predtým nepoužili. Skopírujte a vložte nasledujúce:
    fast-io; persist-key; persist-tun; remote-random; pull; comp-lzo; tls-client; overiť-x509-name Názov servera-prefix; server remote-cert-tls; kľúč-smer 1; route- metóda exe; oneskorenie trasy 2; tunta mtu 1500; fragment 1300; mssfix 1450; sloveso 3; sndbuf 524288; rcvbuf 524288
  • Úroveň výrečnosti: 3 (odporúčané)

Ďalšie kroky pre pfSense 2.4:

  • check UDP Fast I / O
  • Poslať vyrovnávaciu pamäť: 512 KB
  • Vytvorenie brány: Iba IPV4

Skopírujte a vložte nasledujúce, aby ste vstúpili do rozšírenej konfigurácie.

cvaknutie Uložiť.

Potvrďte úspešnosť pripojenia

Teraz by ste mali mať možnosť potvrdiť, že vaše pripojenie OpenVPN bolo úspešné. Prejdite na Postavenie > OpenVPN.

status openvpn

V stĺpci „Štatistika inštancií klientov“ v stĺpci „Stav“ by sa slovo malo zobraziť hore, naznačuje, že tunel je online.

skontrolovať štatistiku inštancií klientov

Ďalšie kroky na smerovanie siete WAN cez tunel

Teraz, keď je tunel online, musíte povedať, že všetka vaša prevádzka je správne NAT. V hornej časti obrazovky vyberte položku rozhranie a kliknite na tlačidlo OK (priradiť).

rozhrania

Klikni na + Tlačidlo. Vytvorí sa nové rozhranie. Uisti sa ovpnc1 je vybraté a kliknite na Uložiť.

Prejdite na rozhranie > OVPNC1:

Zadaj nasledujúce:

Všeobecná konfigurácia

  • povoliť: Začiarknite toto políčko
  • Popis: Niečo zmysluplné pre vás. napr. EXPRESSVPN
  • Typ konfigurácie IPv4: DHCP
  • Typ konfigurácie IPv6: nikto
  • Adresa MAC: Nechajte prázdne
  • MTU: Nechajte prázdne
  • MSS: Nechajte prázdne

zadajte všeobecnú konfiguráciu

Konfigurácia klienta DHCP

  • Možnosti: Nechajte nezaškrtnuté
  • Názov hostiteľa: Nechajte prázdne
  • Alias ​​IPv4 Address: Nechajte prázdne
  • Odmietnuť nájmy z: Nechajte prázdne

predvolená konfigurácia klienta dhcp

Konfigurácia klienta DHCP6

  • Možnosti: Nechajte nezaškrtnuté
  • Použite pripojenie IPv4 ako nadradené rozhranie: Nechajte začiarknuté
  • Vyžiadajte si iba predponu IPv6: Nechajte nezačiarknuté
  • DHCPv6 Prefix Veľkosť delegovania: Ponechajte predvolenú hodnotu na 64
  • Upozorniť na predponu IPv6: Nechajte nezaškrtnuté
  • Ladenie: Nechajte nezaškrtnuté
  • Nečakajte na RA: Nechajte nezaškrtnuté
  • Nepovoliť uvoľnenie PD / adresy: Nechajte nezaškrtnuté

zadajte dhcp6

Vyhradené siete

  • Blokovať súkromné ​​siete a adresy spätných slučiek: Nechajte nezaškrtnuté
  • Blokovať bogonové siete: Nechajte nezaškrtnuté

predvolené vyhradené siete

cvaknutie Uložiť.

Prejdite na POŽARNE dvere > prezývky.

aliasy brány firewall

V časti IP kliknite na položku pridať.

Do svojej domácej siete poskytnete „Alias“, ktorý umožňuje priateľskému názvu odkazovať na vašu sieť.

vlastnosti

  • Meno: Niečo zmysluplné pre vás. V tomto návode použijeme „Local_Subnets“
  • Popis: Niečo zmysluplné pre vás
  • typ: Network (s)

Network (s)

  • Sieť alebo FQDN: 192.168.1.0 / 24

zadajte vlastnosti

cvaknutie Uložiť.

Prejdite na POŽARNE dvere > NAT.

firewall nat

Kliknite na odchádzajúce na vrchu.

odchádzajúce

Pre režim „Outbound NAT Mode“ vyberte Manuálne generovanie odchádzajúcich pravidiel NAT.

zvoľte odchádzajúci režim nat

cvaknutie Uložiť a potom kliknite na tlačidlo OK Aplikovať zmeny.

nat konfigurácia sa zmenila

pod mapovanie, keď opustíte vašu sieť, poviete svojej premávke, kam máte ísť. V podstate skopírujete existujúce štyri predvolené pripojenia WAN a upravíte ich tak, aby používali nové virtuálne rozhranie EXPRESSVPN..

Na pravej strane obrazovky kliknite na ikonu kópie tlačidlo vedľa prvej položky pripojenia WAN. Je to ikona, ktorej štvorec sa prekrýva s iným štvorcom.

kliknite na kópiu

V okne, ktoré sa objaví, jediný výber, ktorý zmeníte, je časť „Rozhranie“. Kliknite na rozbaľovaciu ponuku a zmeňte z WAN na EXPRESSVPN.

zadajte pokročilé odchádzajúce položky

cvaknutie Uložiť.

Zopakujte vyššie uvedené kroky pre ďalšie tri existujúce pravidlá WAN.

Po pridaní všetkých štyroch pravidiel EXPRESSVPN kliknite na ikonu Uložiť a kliknite na Aplikovať zmeny opäť na vrchole.

Nakoniec musíte vytvoriť pravidlo, ktoré presmeruje všetku miestnu komunikáciu prostredníctvom brány EXPRESSVPN, ktorú ste predtým vytvorili. Prejdite na POŽARNE dvere > pravidlá:

pravidlá brány firewall

Kliknite na LAN.

lán

Kliknite na ikonu pridať tlačidlo so šípkou nahor (úplne vľavo).

kliknite na Pridať

Zadaj nasledujúce:

Upraviť pravidlo brány firewall

  • akcie: priechod
  • Zakázané: Nechajte nezaškrtnuté
  • Rozhranie: LAN
  • adresa: IPv4
  • Protokol: akýkoľvek

zdroj

  • Zdroj: Vyberte Jeden hostiteľ alebo alias a zadajte názov aliasu, ktorý ste pre svoju sieť vytvorili skôr. Pre tento tutoriál sme použili „Local_Subnets“.

Destinácia

  • Cieľ: akýkoľvek

Extra možnosti

  • Denník: Nechajte nezaškrtnuté
  • Popis: Zadajte niečo, čo je pre vás dôležité. V tomto návode zadáme „LAN TRAFFIC -> EXPRESSVPN “

Kliknite na modrú Zobraziť rozšírené gombík.

pokročilé nastavenia

Pokročilé nastavenia

V týchto oknách nechajte všetko nové a hľadajte ich brána. Zmeňte to na „EXPRESSVPN_DHCP“

brána

cvaknutie Uložiť.

Ste hotoví! Teraz by ste mali začať vidieť premávku cez vaše nové pravidlo, ktoré ste vytvorili, čo potvrdzuje, že sa prevádzka pohybuje cez tunel ExpressVPN, ktorý ste vytvorili.

psense vpn on