Jak nastavit klienta OpenVPN v pfSense
pfSense je open-source firewall, založený na FreeBSD, který také funguje jako router. pfSense můžete nainstalovat na starší (nebo novější) hardware, pokud má systém dvě síťové karty (WAN a LAN) a používat pfSense jako směrovač. pfSense nabízí více výkonu, kontroly a zabezpečení než většina komerčních routerů, které si můžete koupit, a má výhodu častých aktualizací OS. Má také snadno použitelné webové rozhraní, pomocí kterého můžete nakonfigurovat každý aspekt vašeho routeru/firewallu.
Jednou z mnoha skvělých věcí, které můžete s pfSense udělat, je konfigurace připojení klienta k poskytovateli OpenVPN. Poté můžete nakonfigurovat pfSense tak, aby směroval veškerý provoz všech připojených zařízení (PC, tablety, smartphony) přes připojení VPN. To vám umožní:
- Připojte k VPN tolik zařízení, kolik chcete, a vynechejte a přísná omezení pro současná připojení, která může váš poskytovatel vynutit.
- Připojte zařízení, která nativně nepodporují připojení VPN, jako jsou herní konzole a chytré televize
- Připojte se k VPN bez použití vyhrazené VPN aplikace.
V tomto příspěvku se podíváme na to, jak nastavit připojení klienta OpenVPN ke komerčnímu poskytovateli VPN v pfSense. Tato příručka předpokládá, že ano nainstalovaný pfSense a že máte standardní konfiguraci s alespoň jedním rozhraním LAN a jedním rozhraním WAN.
poskytovatelé VPN
Ne všechny komerční Poskytovatelé VPN podporují pfSense – ačkoli to mnozí dělají. Když poskytovatel VPN oficiálně podporuje pfSense, je docela snadné najít všechny soubory, které potřebujete k nastavení na pfSense. Ostatní poskytovatelé VPN oficiálně nepodporují pfSense, ale přesto vám dávají k dispozici konfigurační soubory, které potřebujete k nastavení klientského připojení na pfSense. Obvykle se jedná o poskytovatele, kteří podporují Linux a zpřístupňují potřebné konfigurační soubory pro konfiguraci Linuxu. Ale jak se ukázalo, soubory, které potřebujete k vytvoření klientského připojení OpenVPN v Linuxu, jsou stejné, jaké byste museli nastavit také na pfSense.
Zde je seznam poskytovatelů, o kterých je známo, že pracují s pfSense (oficiálně nebo neoficiálně). Seznam není vyčerpávající, takže mohou existovat další.
UPOZORNĚNÍ NA AKCI:Získejte 3 měsíce zdarma s ExpressVPN, naším #1 hodnoceným poskytovatelem VPN.
- AirVPN
- ExpressVPN
- Surfshark
- Schovej mě
- Hide My Ass
- VPN
- Krtek
- NordVPN
- OVPN
- Soukromý přístup k internetu
- ProtonVPN
- PureVPN
- TorGuard
- VyprVPN
- Windscribe
Existují také různé způsoby, jak nastavit stejného poskytovatele na pfSense. Pro tuto příručku jsem zvolil nejpřímější způsob, který dobře funguje s typickou základní instalací pfSense.
co budete potřebovat
Aby to fungovalo na pfSense, budete muset získat následující informace z webu poskytovatele VPN. Poskytovatelé VPN, kteří podporují pfSense (oficiálně nebo neoficiálně), zpřístupní své konfigurační soubory ke stažení.
- Vaše pověření : Jednalo by se o uživatelské jméno a heslo, identifikátor klienta, číslo účtu – ať už to nazývají jakkoli. Liší se podle poskytovatele. Může to být cokoliv z výše uvedeného. Pro svůj účet potřebujete pouze své identifikační a autentizační prostředky.
- Certifikát CA : Poskytovatel VPN má certifikační autoritu, která ověřuje připojení k jeho serverům VPN. Chcete-li nakonfigurovat pfSense jako klienta VPN, budete potřebovat certifikát CA vašeho poskytovatele. Vypadá to takto:
- Soukromý klíč certifikátu CA : Někteří poskytovatelé také vyžadují, abyste importovali soukromý klíč certifikátu CA. Ne všichni. Vypadá to takto:
- Klíč TLS : Někteří poskytovatelé VPN také vyžadují klíč TLS k vytvoření připojení klienta k jejich serverům. Bývá označován jako statický klíč. Pokud váš poskytovatel VPN vyžaduje k navázání připojení OpenVPN statický klíč, budete jej potřebovat také. Vypadá to takto:
První věc, kterou musíte udělat, je získat konfigurační soubory OpenVPN od vašeho poskytovatele VPN. Jakmile to všechno budete mít, jste připraveni začít konfigurovat připojení klienta v pfSense.
Konfigurace pfSense
Přihlásit se
První věc, kterou musíme udělat, je přihlásit se do našeho pole pfSense.
- Spusťte webový prohlížeč a zadejte: https://
v adresním řádku. Výchozí hodnota pfSense je 192.168.1.1. - Zadejte své uživatelské jméno a heslo. Dostanete se na hlavní panel pfSense.
Import certifikátu CA a klíče
Začneme importem certifikátu CA našeho poskytovatele VPN.
Jak importovat CA do pfSense
- Navigovat doSystém > Cert. Manažer > CAa klikněte naPřidattlačítko vpravo dole.
- Zadejte CA popisný název. Pro tento příklad používám My VPN Provider CA.
- NastavMetodapole doImportujte existující certifikační úřad.
- Vložte certifikát CA svého poskytovatele doÚdaje certifikátupole.
- Vložte klíč CA doSoukromý klíč certifikátupole (pokud to váš poskytovatel vyžaduje).
- Klikněte na Uložit. Importovali jste certifikační autoritu svého poskytovatele VPN a vrátíte se zpět na stránku certifikačních autorit, kde je nyní v seznamu zobrazena vaše nově importovaná certifikační autorita.
Přidání připojení klienta OpenVPN
Nyní, když jsme importovali náš certifikát CA, můžeme pokračovat a začít konfigurovat naše připojení VPN.
Pokud váš poskytovatel VPN výslovně podporuje pfSense, informace, které potřebujete k jeho nastavení, bude snadné najít. Pokud váš poskytovatel VPN „neoficiálně“ podporuje pfSense podporou Linuxu, najdete potřebné informace v jednom ze souborů .ovpn dostupných pro Linux. Soubory .ovpn lze otevřít pomocí standardního textového editoru. Bude to vypadat nějak takto (certifikát a klíč byly pro snímek obrazovky zkráceny):
Navigovat doVPN > OpenVPN > Klientia klikněte naPřidatknoflík.
Konfigurační stránka klienta OpenVPN je poměrně dlouhá. Rozdělíme to podle sekcí a projdeme všechny parametry potřebné k nastavení připojení OpenVPN.
Obecná informace
Zakázáno : Ponechte toto políčko nezaškrtnuté, jinak bude vaše klientské připojení deaktivováno.
Režim serveru : Nastavte na Peer to Peer (SSL/TLS). Druhá možnost, sdílený klíč, se obvykle používá pro připojení VPN typu point-to-point, která spojují dvě sítě dohromady přes VPN.
Protoco l: Toto je obvykle nastaveno na UDP, ale může být také nastaveno na TCP, pokud váš poskytovatel podporuje připojení TCP. UDP je obvykle rychlejší a je preferovanou volbou pro OpenVPN.
Rozhraní : BY
Místní přístav : Ponechte prázdné, pokud to nestanoví váš poskytovatel VPN
Hostitel nebo adresa serveru : IP adresa nebo název hostitele serveru VPN, ke kterému se připojíte.
Port serveru : Port, přes který bude vytvořeno připojení VPN. To určuje váš poskytovatel VPN.
Proxy hostitel nebo adresa : Ponechte prázdné
Proxy port : Ponechte prázdné
Ověřování proxy : Ponechte prázdné
Nastavení ověřování uživatele
Zde zadáte přihlašovací údaje poskytovatele VPN. Jak jsem uvedl výše, může to být ve formě uživatelského jména a hesla nebo identifikátoru klienta nebo čísla účtu – ať už si váš poskytovatel VPN vybral cokoliv. Pokud váš poskytovatel heslo nevyžaduje, jednoduše ponechte pole pro heslo prázdné.
Uživatelské jméno : Vaše uživatelské jméno, identifikátor klienta, číslo účtu atd.
Heslo : Vaše heslo (pokud je požadováno)
Automatický Zkuste to znovu : Ponechte nezaškrtnuté, aby se váš klient pokusil znovu připojit, když se ověření nezdaří.
Nastavení kryptografie
Způsob konfigurace části Kryptografická nastavení se mezi poskytovateli služeb VPN do značné míry liší. Budete muset získat správné informace z vaší VPN. Většina poskytovatelů tyto informace snadno zpřístupňuje.
Konfigurace TLS : Někteří poskytovatelé VPN vyžadují pro ověření připojení OpenVPN klíč TLS. Ostatní ne. Pokud ano, klíč TLS bude součástí konfiguračních souborů, které jste si stáhli. Pokud váš poskytovatel vyžaduje klíč TLS, zaškrtněte políčko Použít klíč TLS. V opačném případě zrušte zaškrtnutí.
Automaticky vygenerovat klíč TLS : Ponechte nezaškrtnuté.
Klíč TLS : V případě potřeby sem vložte klíč TLS dodaný poskytovatelem VPN. V opačném případě ponechte pole prázdné.
Režim použití klíče TLS : Klíče TLS lze použít buď pro ověřování TLS, nebo pro ověřování a šifrování TLS. To závisí na vašem poskytovateli. Z rozevírací nabídky vyberte příslušný režim použití klíče TLS.
Směr keydir TLS : Ponechejte na Použít výchozí směr, pokud váš poskytovatel nestanoví jiné nastavení. Aby ověřování TLS fungovalo, musí být klíče TLS klienta a serveru nastaveny v opačných směrech.
Peer certifikační autorita : Vyberte CA, kterou jsme importovali dříve.
Klientský certifikát : Ponechte toto nastavení na Žádné. S OpenVPN je možné použít autentizaci založenou na certifikátu spíše než uživatelské jméno a heslo nebo obojí. Každý poskytovatel VPN, kterého jsem viděl, však používá ověřování na základě pověření, pravděpodobně proto, že distribuce jedinečných certifikátů každému zákazníkovi by se rychle stala neovladatelnou.
Šifrovací algoritmus : Toto nastavení určuje šifru použitou k šifrování vašeho připojení. To opět závisí na vašem poskytovateli VPN. Většina poskytovatelů však používá buď AES-256-CBC nebo AES-256-GCM.
Povolit NCP : NCP znamená Negotiable Cryptographic Parameters. Pokud váš poskytovatel VPN podporuje různá nastavení šifrování, NCP vyjedná nejsilnější možné šifrování, které podporuje jak klient (vaše pfSense box), tak server VPN. Pokud nevíte, že váš poskytovatel podporuje NCP, zrušte zaškrtnutí a použije se šifra vybraná v Encryption Algorithm výše.
Algoritmy NCP : Pokud používáte NCP, můžete vybrat, které šifry jsou k dispozici pro vyjednávání. Kliknutím na šifru z dostupného seznamu ji importujete do seznamu povolených.
Algoritmus autorizace : Toto je algoritmus používaný k ověření datového kanálu (tunelu, kterým prochází váš provoz). To určuje váš poskytovatel VPN. Z rozevírací nabídky vyberte příslušný algoritmus.
Hardwarové kryptoměny : Pokud systém, na který jste nainstalovali pfSense, podporuje hardwarovou kryptografickou akceleraci, můžete ji povolit zde. Pokud váš systém toto nastavení podporuje, můžete jej povolit bez ohledu na toho, kterého poskytovatele VPN používáte.
Nastavení tunelu
Nastavení tunelu zůstane z velké části prázdné. Tato nastavení mají co do činění se směrováním mezi klientem a serverem a obvykle je zpracovává poskytovatel VPN na straně serveru.
Tunelová síť IPv4 : Síť IPv4 mezi klientem a serverem. Ponechte prázdné.
Tunelová síť IPv6 : Síť IPv6 mezi klientem a serverem. Ponechte prázdné.
Vzdálené sítě IPv4 : Sítě IPv4, které budou směrovány tunelem. Ponechte prázdné.
Vzdálené sítě IPv6 : Sítě IPv6, které budou směrovány tunelem. Ponechte prázdné.
Omezte odchozí šířku pásma : Nastaví pevný limit na odchozí šířku pásma. Ponechte prázdné.
Komprese : Někteří poskytovatelé VPN mohou vyžadovat, abyste povolili kompresi provozu procházejícího tunelem VPN. Pokud to určuje váš poskytovatel, vyberte příslušnou možnost z rozbalovací nabídky. Jinak to nechte tak, jak je.
Topologie : Určuje topologii sítě VPN. Nechte tak, jak je.
Typ služby : Ponechte nezaškrtnuté.
Netahejte trasy : Toto nastavení brání serveru VPN v odesílání tras klientovi. Někteří poskytovatelé zahrnují informace o směrování do konfigurace klienta a mohou vás požádat o povolení této možnosti (například ExpressVPN). Pokud to určuje váš poskytovatel, zaškrtněte tuto možnost. V opačném případě to ponechte nezaškrtnuté.
Nepřidávejte/neodstraňujte trasy : Tuto možnost lze použít k povolení selektivního směrování: odesílání části provozu tunelem VPN, zatímco zbytek odesíláte z brány ISP. To vyžaduje nastavení rozhraní VPN (které vytvoříme níže) jako brány v pfSense a specifikaci některých pravidel firewallu a NAT, aby to fungovalo. To je mimo rozsah této příručky. Ve vašem typickém komerčním scénáři VPN také chcete, aby byl veškerý váš provoz tunelován prostřednictvím připojení VPN. Ponechte toto nastavení nezaškrtnuté.
Nastavení pingu
Nastavení pingu se používá k určení, zda je připojení aktivní nebo ne a zda má být uzavřeno nebo znovu iniciováno. Nechte všechna nastavení tak, jak jsou.
Pokročilá konfigurace
Vlastní možnosti : Někteří poskytovatelé vyžadují nastavení některých vlastních možností konfigurace klienta. Tyto lze přidat zde. Pokud váš poskytovatel neurčí požadované vlastní možnosti, ponechte toto pole prázdné.
Rychlé I/O UDP : Optimalizuje zápis paketů a může zrychlit vaše připojení VPN. To lze povolit a zakázat ve volném čase. Řekl bych, že zkus obojí a uvidíš, jestli z toho nezvýšíš rychlost.
Ukončit Upozornění : Toto nastavení výslovně upozorní server, když se klient odpojí, aby mohl ukončit připojení, místo aby čekal na vypršení časového limitu. Nechte to tak, jak je, pokud to nestanoví váš poskytovatel.
Send/Receive Buffer : V rámci OpenVPN můžete experimentovat s různými velikostmi vyrovnávací paměti. Různá nastavení poskytnou různé výsledky z hlediska rychlosti. 512K je dobré místo pro začátek. Toto nastavení je volitelné.
Vytvoření brány : Vybírá, zda budou brány OpenVPN vytvořeny pouze pro IPv4, pouze pro IPv6 nebo pro obojí. Pokud váš poskytovatel VPN nepodporuje IPv6 (jako je Mullvad), nastavte toto pouze na IPv4. Pokud váš poskytovatel podporuje IPv6, nastavte toto na Obojí.
Úroveň výřečnosti : Určuje úroveň upovídanosti protokolů OpenVPN pro tohoto klienta. Výchozí úroveň je 1. Můžete ji však nastavit na vyšší úroveň, abyste získali více informací při odstraňování problémů. Protokoly OpenVPN v pfSense lze zobrazit přechodem na Stav > Systémové protokoly > OpenVPN.
Nyní zbývá k vytvoření připojení klienta pouze kliknout na modré tlačítko Uložit ve spodní části obrazovky a kliknout na Použít změny.
Vytvoření rozhraní VPN
Další věc, kterou musíme udělat, je vytvořit virtuální rozhraní, které bude hostit segment sítě VPN (podsíť, jejíž součástí se stanete po úspěšném připojení VPN) na našem boxu pfSense.
Rozhraní bylo automaticky vytvořeno pfSense, když jsme po předchozí konfiguraci připojení klikli na uložit. Ale ještě to musíme přiřadit a nakonfigurovat.
Jak přidat rozhraní v pfSense
- Navigovat do Rozhraní > Přiřazení . Uvidíte ovpnc1 uvedený napravo od Dostupný síťové porty.
- Klikněte na zelenou Přidat tlačítko, napravo od něj. Rozhraní ovpnc1 je přiřazeno a zobrazeno jakoOPT1.
- Klikněte OPT1 . Dostanete se na stránku konfigurace rozhraní.
- Klíště Povolit rozhraní a dát tomu jméno. Všechna ostatní nastavení ponechte nedotčená.
- Klikněte Uložit a Aplikuj změny . Vaše rozhraní je přiřazeno a povoleno.
Pokud přejdete zpět na stránku Přiřazení rozhraní, uvidíte, že vaše pojmenované rozhraní je nyní součástí seznamu aktivních rozhraní.
Kontrola připojení
OK, nyní máme nakonfigurované připojení klienta OpenVPN a vytvořili jsme rozhraní VPN. Naše připojení právě funguje, ale pfSense není nakonfigurován pro směrování provozu přes tunel VPN.
Můžeme zkontrolovat, zda naše připojení funguje, navigací naStav > Systémové protokoly > OpenVPN. Pokud je klient OpenVPN nastaven správně, měli byste vidět Inicializační sekvence dokončena , někde v horní části protokolů OpenVPN.
Teď už jen potřebujeme směrovat provoz přes VPN tunel.
Pravidla brány firewall
Musíme se ujistit, že zařízení připojená k rozhraní LAN mohou odesílat provoz na internet přes výchozí bránu. Když nainstalujete pfSense, automaticky vytvoří pravidlo, které ve výchozím nastavení povolí jakýkoli typ provozu mimo rozhraní LAN. Takže pokud jste tam nic nezměnili, měli byste být v pořádku.
Pokud jste je změnili, ujistěte se, že vaše pravidla umožňují zařízením LAN, která se chcete připojit k VPN, připojit se k internetu. Navigovat doFirewall > Pravidla > LANpro zobrazení/aktualizaci pravidel sítě LAN.
Takto vypadají výchozí pravidla LAN. Ve výchozím nastavení existuje pravidlo pro IPv4 a jedno pro IPv6. Pokud váš poskytovatel VPN nepodporuje IPv6, potřebujete pouze pravidlo IPv4.
Pravidlo umožňuje libovolnému zařízení v síti LAN připojit se k libovolnému cíli pomocí libovolného protokolu přes libovolný port.
Pokud pravidlo neexistuje, můžete pokračovat a vytvořit ho.
Jak vytvořit pravidlo brány firewall LAN
- Klikněte na zelenouPřidattlačítko se šipkou směřující nahoru. Umístí pravidlo na začátek a pfSense bude toto pravidlo odpovídat jako první.
- NastavAkcepole do Pass.
- OpustitZakázánopolíčko nezaškrtnuté.
- OpustitRozhranípole nastaveno naA.
- NastavAdresa RodinanaIPv4.
- NastavProtokolna jakoukoli
- NastavZdrojnaA síť.
- NastavDestinacenažádný.
- Pokud potřebujete také pravidlo IPv6, opakujte proces a vyberteIPv6zAdresa Rodinarozbalovací nabídka.
Pravidla NAT
Další věc, kterou musíme udělat, je nakonfigurovat pravidla překladu síťových adres (NAT), aby správně směrovala náš provoz VPN.
Jak přidat pravidlo NAT
- Navigovat do Firewall > NAT > Odchozí .
- Nastav Odchozí režim NAT na Manuál a poté klepněte na Uložit a Aplikuj změny . Vaše pravidla NAT by nyní měla vypadat takto (ale s vaší LAN sítí místo mé 10.0.0.0/24):
- Smažte všechna pravidla, kromě dvou nejvyšších – těch s 127.0.0.1.
- Klikněte na zelenou Přidat tlačítko se šipkou směřující dolů pro vytvoření nového pravidla NAT.
- Nastav Rozhraní do rozhraní VPN, které jsme vytvořili dříve.
- Nastav Adresa Rodina na IPv4 nebo IPv4+IPv6, pokud váš poskytovatel VPN výslovně podporuje IPv6.
- Nastav zdroj síťk vaší LAN IP adrese, ale poslední číslici udělejte 0 místo 1. Pokud je tedy vaše LAN IP adresa 192.168.1.1, zadejte jako zdrojovou síť 192.168.1.0.
- Všechna ostatní nastavení ponechte nedotčená. Klikněte Uložit a Aplikuj změny .
Vaše pravidla NAT by nyní měla vypadat takto (ale s vaší LAN sítí místo mé 10.0.0.0/24):
Viz také: Co je NAT Firewall
DNS
Poslední věc, kterou musíme nakonfigurovat, je DNS pro vašeho VPN klienta. A existují různé způsoby, jak to udělat v závislosti na konfiguraci pfSense. I když váš poskytovatel VPN napevno zakóduje své servery DNS do konfiguračního souboru .ovpn, pfSense stále potřebuje znát servery DNS, které má použít.
DNS Resolver / DNS Forwarder
Pokud používáte DNS Forwarder nebo DNS Resolver v režimu předávání, můžete jednoduše přidat servery DNS svého poskytovatele VPN na stránku Obecné nastavení.
Jak přidat server DNS do pfSense
- Navigovat do Systém > Obecné nastavení.
- Klikněte Přidejte server DNS.
- Zadejte IP adresa názvu hostitele serveru DNS v příslušném poli.
- Opustit Brána nastaven na Žádný .
- Klikněte Uložit a Aplikuj změny .
- Opakujte pro přidání dalších serverů DNS.
DHCP
Jak poslat DNS server klientům přes DHCP
Pokud nepoužíváte DNS Resolver nebo DNS Forwarder, můžete nechat váš DHCP server poslat DNS server všem klientům, kteří požadují IP adresu ve vaší LAN.
- Navigovat do Služby > Server DHCP
- Pod servery , můžete zadat až čtyři servery DNS.
- Vložte server(y) DNS vašeho poskytovatele VPN.
- Klikněte Uložit a Aplikuj změny .
Zabalení
Gratulujeme, právě jste nakonfigurovali připojení klienta OpenVPN na pfSense. Nyní zbývá pouze restartovat pfSense a připojit zařízení k vaší LAN. Po připojení můžete přejít na náš nástroj pro kontrolu IP adresy a ověřit, že vaše veřejná IP adresa byla změněna na IP adresu VPN serveru. Úniky DNS můžete také zkontrolovat pomocí našeho testovacího nástroje.
Nyní můžete svou komerční VPN používat s jakýmkoli zařízením, které je připojeno k vašemu boxu pfSense, bez vyhrazené aplikace VPN. A pamatujte, že bez ohledu na limit, který váš poskytovatel VPN stanoví na počet současných připojení, váš router se, pokud jde o vašeho poskytovatele VPN, počítá pouze jako jedno zařízení. Tímto způsobem tedy můžete připojit tolik zařízení, kolik chcete.