Come configurare pfSense con ExpressVPN (OpenVPN)

[ware_item id=33][/ware_item]

Questo tutorial ti mostrerà come configurare ExpressVPN sul dispositivo pfSense, utilizzando un'impostazione OpenVPN di pfSense.


Ai fini di questa esercitazione, assumeremo che tu stia configurando la tua rete per una configurazione di rete generica 192.168.1.0/24.

Nota: Questa guida è stata testata sulla seguente versione di pfSense: 2.3.3-RELEASE (amd64)

Scarica i file di configurazione VPN

Accedi al tuo account ExpressVPN.

Schermata di accesso di ExpressVPN con il pulsante Accedi evidenziato.

Dopo aver effettuato l'accesso al sito Web, fare clic su Installa su più dispositivi.

Schermata di configurazione di ExpressVPN con il pulsante Imposta su più dispositivi evidenziato.

Clicca su Configurazione manuale sul lato sinistro dello schermo e quindi selezionare OpenVPN scheda a destra.

Vedrai prima il tuo nome utente parola d'ordine e poi un elenco di File di configurazione OpenVPN.

Sotto il tuo nome utente e password, scarica il file di configurazione OpenVPN per la posizione a cui vuoi connetterti. Tieni questo file a portata di mano, poiché estrarrai informazioni da esso per l'installazione di pfSense.

Pannello di installazione con i campi Nome utente e Password e un elenco di file di configurazione evidenziati.

Configura le impostazioni di pfSense

Per configurare le impostazioni VPN di pfSense, accedi al tuo dispositivo pfSense e vai a Sistema > Cert. Manager.

Schermata del dispositivo pfSense con gestore certificati di sistema evidenziato.

In "CA", fai clic su Inserisci pulsante.

Digita il seguente:

  • Nome descrittivo: ExpressVPN
  • Metodo: Importa un'autorità di certificazione esistente
  • Dati del certificato: apri il file di configurazione OpenVPN che hai scaricato e aprilo con il tuo editor di testo preferito. Cerca il testo racchiuso nel  parte del file. Copia dell'intera stringa da —– INIZIA CERTIFICATO—– per —–END CERTIFICATE—–.
  • Chiave privata del certificato (opzionale): lasciare questo spazio vuoto
  • Seriale per il prossimo certificato: lasciare questo spazio vuoto

Dopo aver inserito le informazioni, lo schermo dovrebbe apparire così:

inserire i dettagli dell'autorità di certificazione e salvare le impostazioni.

Clic Salva.

Resta su questa pagina e fai clic certificati in cima.

fare clic sui certificati

Nella parte inferiore dello schermo, fai clic su Inserisci.

In "Aggiungi un nuovo certificato", inserisci quanto segue:

  • Metodo: Importa un certificato esistente
  • Nome descrittivo: ExpressVPN Cert (o qualcosa di significativo per te)
  • Dati del certificato: apri il file di configurazione OpenVPN che hai scaricato e aprilo con il tuo editor di testo preferito. Cerca il testo racchiuso nel  parte del file. Copia l'intera stringa da —– INIZIA CERTIFICATO—– per —–END CERTIFICATE—–
  • Dati della chiave privata: con l'editor di testo ancora aperto, cerca il testo racchiuso all'interno di parte del file. Copia l'intera stringa da —– INIZIA TASTO PRIVATO RSA—– per —- INVIARE LA CHIAVE PRIVATA RSA—-

Dopo aver inserito le informazioni, lo schermo dovrebbe apparire così:

inserisci i dati della tua chiave privata nell'apposito spazio.

Clic Salva.

Nella parte superiore dello schermo, vai a VPN > OpenVPN.

Nella parte superiore dello schermo, vai a VPN e fai clic su OpenVPN.

Selezionare clienti.

fare clic su client

Nella parte inferiore dello schermo, fai clic su Inserisci.

Inserisci le seguenti informazioni:

Informazione Generale:

  • Disabilitato: lasciare deselezionata questa casella
  • Modalità server: Peer to Peer (SSL / TLS)
  • Protocollo: UDP
  • Modalità dispositivo: tino
  • Interfaccia: PALLIDO
  • Porta locale: lasciare vuoto
  • Host o indirizzo del server: apri il file di configurazione OpenVPN che hai scaricato e aprilo con il tuo editor di testo preferito. Cerca il testo che inizia con a distanza, seguito da un nome di server. Copia la stringa del nome del server in questo campo (ad es. Server-indirizzo-nome.expressnetw.com)
  • Porta server: copia il numero di porta dal file di configurazione OpenVPN in questo campo (ad es. 1195)
  • Host o indirizzo proxy: lasciare vuoto
  • Porta proxy: lascia vuoto
  • Proxy Auth. - Opzioni extra - nessuna
  • Risoluzione del nome host del server: Seleziona questa casella
  • Descrizione: Qualcosa di significativo per te. ad es. ExpressVPN Dallas

Il pfSense

Impostazioni di autenticazione utente

  • Nome utente: il nome utente di ExpressVPN
  • Password: la tua password ExpressVPN

Il pfSense

Impostazioni crittografiche

  • Autenticazione TLS: Seleziona questa casella
  • Chiave: apri il file di configurazione OpenVPN che hai scaricato e aprilo con il tuo editor di testo preferito. Cerca il testo racchiuso nel  parte del file. Ignora le voci "Chiave statica OpenVPN 2048 bit" e inizia a copiare —–BEGIN OpenVPN Tasto statico V1—– per —–END OpenVPN Tasto statico V1—–
  • Autorità di certificazione peer: selezionare la voce "ExpressVPN" creata in precedenza nel certificato. Passaggi del manager
  • Certificato client: selezionare la voce "Cert ExpressVPN" creata in precedenza nel Cert. Passaggi del manager
  • Algoritmo di crittografia: apri il file di configurazione OpenVPN che hai scaricato e aprilo con il tuo editor di testo preferito. Cerca il testo cifra. In questo esempio, la configurazione di OpenVPN è elencata come "cifra AES-256-CBC", quindi selezioneremo "AES-256-CBC (chiave 256-bit, blocco 128-bit) dal menu a discesa
  • Algoritmo digest digest: apri il file di configurazione OpenVPN che hai scaricato e aprilo con il tuo editor di testo preferito. Cerca il testo auth seguito dall'algoritmo successivo. In questo esempio, abbiamo visto "auth SHA512", quindi selezioneremo "SHA512 (512 bit)" dal menu a discesa
  • Crittografia hardware: a meno che tu non sappia che il tuo dispositivo supporta la crittografia hardware, lascialo su Nessuna accelerazione crittografica dell'hardware

Passaggi aggiuntivi per pfSense 2.4:

  • Deseleziona Genera automaticamente una chiave TLS
  • Impostare Modalità d'uso su Autenticazione TLS
  • Deseleziona Abilita parametri crittografici negoziabili
  • Ignora il Algoritmi NCP sezione

immettere le impostazioni crittografiche aprendo il file di configurazione OpenVPN scaricato in precedenza.

Impostazioni del tunnel

  • Rete tunnel IPv4: lascia vuoto
  • Rete tunnel IPv6: lasciare vuoto
  • Rete / e remota / e IPv4: lasciare in bianco
  • Rete / e remota / e IPv6: lasciare vuota
  • Limita la larghezza di banda in uscita: a tua discrezione, ma per questo tutorial lascia vuoto.
  • Compressione: abilitata con compressione adattiva
  • Topologia: lasciare l'impostazione predefinita "Sottorete - Un indirizzo IP per client in una sottorete comune"
  • Tipo di servizio: lasciare deselezionato
  • Disabilita IPv6: Seleziona questa casella
  • Non tirare percorsi: Seleziona questa casella
  • Non aggiungere / rimuovere percorsi: lascia deselezionato

Passaggi aggiuntivi per pfSense 2.4:

  • Imposta Compressione su Compressione adattiva LZO
  • Nota che non c'è più la casella di controllo per "Disabilita IPv6"

inserisci le impostazioni del tunnel

Configurazione avanzata

  • Opzioni personalizzate: queste opzioni derivano dalla configurazione OpenVPN a cui si fa riferimento. Tireremo fuori tutte le opzioni personalizzate che non abbiamo usato in precedenza. Copia e incolla quanto segue:
    fast-io; persist-key; persist-tun; remote-random; pull; comp-lzo; tls-client; verifica-x509-name Prefisso nome server; server remote-cert-tls; direzione-chiave 1; route- metodo exe; route-delay 2; tun-mtu 1500; frammento 1300; mssfix 1450; verbo 3; sndbuf 524288; rcvbuf 524288
  • Livello di verbosità: 3 (consigliato)

Passaggi aggiuntivi per pfSense 2.4:

  • Dai un'occhiata I / O veloce UDP
  • Invia buffer di ricezione: 512 KB
  • Creazione gateway: Solo IPV4

copia e incolla quanto segue per accedere alla configurazione avanzata.

Clic Salva.

Conferma riuscita della connessione

Ora dovresti essere in grado di confermare che la tua connessione OpenVPN è andata a buon fine. Navigare verso Stato > OpenVPN.

status openvpn

Sotto "Statistiche istanza client", nella colonna "Stato", dovresti vedere la parola su, indicando che il tunnel è online.

controlla le statistiche delle istanze del client

Passaggi aggiuntivi per instradare la WAN attraverso il tunnel

Ora che il tunnel è online, devi dire a tutto il tuo traffico di essere NAT correttamente. Nella parte superiore dello schermo, selezionare interfacce e clicca (assegnare).

le interfacce assegnano

Clicca sul + pulsante. Verrà creata una nuova interfaccia. Assicurarsi ovpnc1 è selezionato e fare clic Salva.

Navigare verso interfacce > OVPNC1:

Digita il seguente:

Configurazione generale

  • Abilitare: Seleziona questa casella
  • Descrizione: Qualcosa di significativo per te. ad es. EXPRESSVPN
  • Tipo di configurazione IPv4: DHCP
  • Tipo di configurazione IPv6: Nessuna
  • Indirizzo MAC: lasciare vuoto
  • MTU: lasciare vuoto
  • MSS: lasciare vuoto

entra nella configurazione generale

Configurazione client DHCP

  • Opzioni: lasciare deselezionato
  • Nome host: lasciare vuoto
  • Alias ​​Indirizzo IPv4: lasciare vuoto
  • Rifiuta contratti di locazione da: lascia vuoto

configurazione client dhcp predefinita

Configurazione client DHCP6

  • Opzioni: lasciare deselezionato
  • Usa la connettività IPv4 come interfaccia principale: lascia deselezionata
  • Richiedi solo un prefisso IPv6: lascia deselezionato
  • Dimensione delega prefisso DHCPv6: lasciare il valore predefinito su 64
  • Invia suggerimento prefisso IPv6: lasciare deselezionato
  • Debug: lasciare deselezionato
  • Non aspettare un RA: lasciare deselezionato
  • Non consentire il rilascio di PD / Address: lasciare deselezionato

inserisci dhcp6

Reti riservate

  • Blocca reti private e indirizzi di loopback: lascia deselezionato
  • Blocca reti bogon: lascia deselezionata

reti riservate predefinite

Clic Salva.

Navigare verso Firewall > alias.

alias firewall

In "IP", fai clic su Inserisci.

Fornirai alla tua rete domestica un "alias" che consente a un nome descrittivo di fare riferimento alla tua rete.

Proprietà

  • Nome: qualcosa di significativo per te. Per questo tutorial, utilizzeremo "Local_Subnets"
  • Descrizione: Qualcosa di significativo per te
  • Genere: Network (s)

Network (s)

  • Rete o FQDN: 192.168.1.0 / 24

inserisci proprietà

Clic Salva.

Navigare verso Firewall > NAT.

firewall nat

Clicca su In uscita in cima.

in uscita

Per "Modalità NAT in uscita", selezionare Generazione manuale di regole NAT in uscita.

scegli la modalità nat in uscita

Clic Salva e quindi fare clic su Applica i cambiamenti.

configurazione nat modificata

Sotto Mapping, dirai al tuo traffico dove andare quando lascia la tua rete. In sostanza copierai le quattro connessioni WAN predefinite esistenti e le modificherai per utilizzare la tua nuova interfaccia virtuale EXPRESSVPN.

Sul lato destro dello schermo, fai clic su copia pulsante accanto alla prima voce della connessione WAN. È l'icona con un quadrato sovrapposto ad un altro quadrato.

fare clic su copia

Nella finestra che si apre, l'unica selezione che cambierai è la sezione "Interfaccia". Fai clic sul menu a discesa e cambia da PALLIDO per EXPRESSVPN.

inserire la voce nat in uscita avanzata

Clic Salva.

Ripetere i passaggi precedenti per le altre tre regole WAN esistenti.

Dopo aver aggiunto tutte e quattro le regole EXPRESSVPN, fare clic su Salva pulsante e fare clic Applica i cambiamenti ancora una volta in cima.

Infine, è necessario creare una regola per reindirizzare tutto il traffico locale attraverso il gateway EXPRESSVPN precedentemente creato. Navigare verso Firewall > Regole:

regole del firewall

Clicca su LAN.

lan

Clicca il Inserisci pulsante con la freccia su (il pulsante all'estrema sinistra).

fai clic su aggiungi

Digita il seguente:

Modifica regola firewall

  • Azione: Passaggio
  • Disabilitato: lasciare deselezionato
  • Interfaccia: LAN
  • Indirizzo: IPv4
  • Protocollo: Qualunque

fonte

  • Fonte: selezionare Host singolo o alias e digita il nome dell'alias che hai creato per la tua rete in precedenza. Per questo tutorial, abbiamo usato "Local_Subnets".

Destinazione

  • Destinazione: qualsiasi

Opzioni extra

  • Registro: lascia deselezionato
  • Descrizione: inserisci qualcosa di significativo per te. Per questo tutorial, inseriremo "LAN TRAFFIC -> EXPRESSVPN”

Fai clic sul blu Display avanzato pulsante.

opzioni avanzate

Opzioni avanzate

Lascia tutto nuovo in queste finestre che sono apparse vuote e cerca porta. Cambia in "EXPRESSVPN_DHCP"

porta

Clic Salva.

Sei finito! Ora dovresti iniziare a vedere il traffico che scorre attraverso la tua nuova regola che hai creato, confermando che il traffico si sta muovendo attraverso il tunnel ExpressVPN che hai creato.

pfsense vpn attivo

Come configurare pfSense con ExpressVPN (OpenVPN)
admin Author
Sorry! The Author has not filled his profile.