Slik konfigurerer du pfSense med ExpressVPN (OpenVPN)

[ware_item id=33][/ware_item]

Denne opplæringen vil vise deg hvordan du konfigurerer ExpressVPN på pfSense-enheten, ved hjelp av et pfSense OpenVPN-oppsett.


I forbindelse med denne opplæringen vil vi anta at du konfigurerer nettverket ditt for et generisk 192.168.1.0/24 nettverksoppsett.

Merk: Denne guiden er testet på følgende versjon av pfSense: 2.3.3-RELEASE (amd64)

Last ned VPN-konfigurasjonsfilene

Logg på ExpressVPN-kontoen din.

ExpressVPN påloggingsskjerm med påloggingsknapp uthevet.

Når du har logget deg på nettstedet, klikker du på Konfigurer på flere enheter.

ExpressVPN-oppsettskjermbilde med knappen Konfigurer på flere enheter uthevet.

Klikk på Manuell konfigurering på venstre side av skjermen og velg deretter OpenVPN fane til høyre.

Du vil først se din brukernavn og passord og deretter en liste over OpenVPN-konfigurasjonsfiler.

Under brukernavnet og passordet ditt, last ned OpenVPN-konfigurasjonsfilen for stedet du vil koble til. Hold denne filen hendig, da du vil hente ut informasjon ut av den for pfSense-oppsett.

Oppsettpanel med felt for brukernavn og passord og en liste med konfigurasjonsfiler uthevet.

Konfigurer pfSense-innstillinger

For å konfigurere pfSense VPN-innstillingene, logger du på pfSense-enheten og naviger til System > Cert. sjef.

pfSense enhetsskjerm med systemsertifikatadministrator fremhevet.

Under "CAer" klikker du på Legg til knapp.

Skriv inn følgende:

  • Beskrivende navn: ExpressVPN
  • Metode: Importer en eksisterende sertifikatmyndighet
  • Sertifikatdata: Åpne OpenVPN-konfigurasjonsfilen som du lastet ned, og åpne den med favoritttekstredigereren. Se etter teksten som er pakket inn i  del av filen. Kopierer hele strengen fra —– BEGINSERTIFIKAT—– til —–END CERTIFIKAT—–.
  • Certificate Private Key (valgfritt): La dette være tomt
  • Seriell for neste sertifikat: La dette være tomt

Etter at du har lagt inn informasjonen, skal skjermen din se slik ut:

legg inn sertifikatmyndighetens detaljer og lagre innstillingene.

Klikk Lagre.

Bli på denne siden og klikk sertifikater på toppen.

klikk sertifikater

Klikk på knappen nederst på skjermen Legg til.

Skriv inn følgende under "Legg til et nytt sertifikat":

  • Metode: Importer et eksisterende sertifikat
  • Beskrivende navn: ExpressVPN Cert (eller noe meningsfullt for deg)
  • Sertifikatdata: Åpne OpenVPN-konfigurasjonsfilen som du lastet ned, og åpne den med favoritttekstredigereren. Se etter teksten som er pakket inn i  del av filen. Kopier hele strengen fra —– BEGINSERTIFIKAT—– til —–END CERTIFIKAT—–
  • Data om privat nøkkel: Når teksteditoren fortsatt er åpen, kan du se etter teksten som er pakket inn i del av filen. Kopier hele strengen fra —– Start RSA PRIVATE KEY—– til —- RSA PRIVATE Nøkkel—-

Etter at du har lagt inn informasjonen, skal skjermen din se slik ut:

legg inn dine private nøkkeldata på det angitte rommet.

Klikk Lagre.

Gå til toppen av skjermen VPN > OpenVPN.

Naviger til VPN øverst på skjermen og klikk OpenVPN.

Plukke ut klienter.

klikk klienter

Klikk på knappen nederst på skjermen Legg til.

Skriv inn følgende informasjon:

Generell informasjon:

  • Deaktivert: La denne boksen ikke avkrysset
  • Servermodus: Peer to Peer (SSL / TLS)
  • protokoll: UDP
  • Enhetsmodus: tun
  • grensesnitt: WAN
  • Lokal havn: La stå tomt
  • Serververt eller -adresse: Åpne OpenVPN-konfigurasjonsfilen som du lastet ned, og åpne den med favoritttekstredigereren. Se etter tekst som starter med fjern, etterfulgt av et servernavn. Kopier servernavnstrengen til dette feltet (f.eks. Server-adresse-navn.expressnetw.com)
  • Serverport: Kopier portnummer fra OpenVPN-konfigurasjonsfilen til dette feltet (f.eks. 1195)
  • Proxy-vert eller -adresse: La være tomt
  • Proxy-port: La være tomt
  • Proxy Auth. - Ekstra alternativer - ingen
  • Serververtsnavnoppløsning: Merk av i denne ruten
  • Beskrivelse: Noe som er meningsfullt for deg. for eksempel ExpressVPN Dallas

PfSense

Innstillinger for brukerautentisering

  • Brukernavn: ditt ExpressVPN brukernavn
  • Passord: ditt ExpressVPN-passord

PfSense

Kryptografiske innstillinger

  • TLS-godkjenning: Merk av i denne ruten
  • Nøkkel: Åpne OpenVPN-konfigurasjonsfilen som du lastet ned, og åpne den med favoritttekstredigereren. Se etter tekst som er pakket inn i  del av filen. Ignorer "2048 bit OpenVPN statisk nøkkel" -oppføringene og begynn å kopiere fra —–BEGIN OpenVPN statisk tast V1—– til —–END OpenVPN statisk tast V1—–
  • Peer Certificate Authority: Velg "ExpressVPN" -oppføringen som du opprettet tidligere i Cert. Manager trinn
  • Klientsertifikat: Velg oppføringen “ExpressVPN Cert” som du opprettet tidligere i Cert. Manager trinn
  • Krypteringsalgoritme: Åpne OpenVPN-konfigurasjonsfilen som du lastet ned, og åpne den med favoritttekstredigereren. Se etter teksten chiffer. I dette eksemplet er OpenVPN-konfigurasjonen oppført som “chiffer AES-256-CBC,” så vi vil velge “AES-256-CBC (256-bit nøkkel, 128-bit blokk) fra rullegardinmenyen
  • Auth digest-algoritme: Åpne OpenVPN-konfigurasjonsfilen som du lastet ned, og åpne den med favoritttekstredigereren. Se etter teksten auth etterfulgt av algoritmen etter. I dette eksemplet så vi “authentic SHA512”, så vi vil velge “SHA512 (512-bit)” fra rullegardinmenyen
  • Maskinvarekrypto: Med mindre du vet at enheten din støtter maskinvarekryptografi, må du la dette være på Ingen kryptering av maskinvare

Flere trinn for pfSense 2.4:

  • Fjern merkingen Generer automatisk en TLS-nøkkel
  • Sett bruksmodus til TLS-godkjenning
  • Fjern merkingen Aktiver omsettelige kryptografiske parametere
  • Se bort fra NCP-algoritmer seksjon

angi kryptografiske innstillinger ved å åpne OpenVPN-konfigurasjonsfilen du lastet ned tidligere.

Tunnelinnstillinger

  • IPv4 Tunnel Network: La være tomt
  • IPv6 tunnelnettverk: La være tomt
  • IPv4 Eksternt nettverk (er): La være tomt
  • IPv6 Eksternt nettverk (er): La være tomt
  • Begrens utgående båndbredde: Etter eget skjønn, men for denne opplæringen - la være tomt.
  • Komprimering: Aktivert med adaptiv komprimering
  • Topologi: Legg igjen standard “Undernett - En IP-adresse per klient i et felles undernett”
  • Servicetype: Ikke haket av
  • Deaktiver IPv6: Merk av i denne ruten
  • Ikke trekk ruter: Merk av i denne ruten
  • Ikke legg til / fjern ruter: Ikke haket av

Flere trinn for pfSense 2.4:

  • Sett komprimering til Adaptiv LZO-komprimering
  • Merk at det ikke er mer avkrysningsrute for “Deaktiver IPv6”

angi tunnelinnstillinger

Avansert konfigurasjon

  • Egendefinerte alternativer: Disse alternativene er avledet fra OpenVPN-konfigurasjonen du har referert til. Vi vil trekke frem alle tilpassede alternativer som vi ikke har brukt tidligere. Kopier og lim inn følgende:
    fast-io; persist-key; persist-tun; remote-random; pull; comp-lzo; tls-client; verifiser-x509-name Servernavn-prefiks; remote-cert-tls-server; nøkkelretning 1; rute- metode exe; rute-forsinkelse 2; tun-mtu 1500; fragment 1300; mssfix 1450; verb 3; sndbuf 524288; rcvbuf 524288
  • Verbositetsnivå: 3 (anbefalt)

Flere trinn for pfSense 2.4:

  • Sjekk UDP Rask I / O
  • Send mottaksbuffer: 512 kB
  • Gateway Creation: Bare IPV4

kopier og lim inn følgende for å gå inn i avansert konfigurasjon.

Klikk Lagre.

Bekreft suksess for tilkoblingen

Du skal nå kunne bekrefte at OpenVPN-tilkoblingen din var vellykket. Navigere til Status > OpenVPN.

status openvpn

Under "Klientforekomststatistikk" i "Status" -kolonnen, bør du se ordet opp, som indikerer at tunnelen er online.

sjekk statistikk for klientforekomster

Flere trinn for å rute WAN gjennom tunnel

Nå som tunnelen er online, må du fortelle at all trafikken din skal være NAT-riktig. Velg øverst på skjermen grensesnitt og klikk (tildele).

grensesnitt tildele

Klikk på + knapp. Et nytt grensesnitt opprettes. Forsikre ovpnc1 er valgt og klikk Lagre.

Navigere til grensesnitt > OVPNC1:

Skriv inn følgende:

Generell konfigurasjon

  • Muliggjøre: Merk av i denne ruten
  • Beskrivelse: Noe som er meningsfullt for deg. f.eks. EXPRESSVPN
  • IPv4-konfigurasjonstype: DHCP
  • IPv6-konfigurasjonstype: Ingen
  • MAC-adresse: La være tom
  • MTU: La være tomt
  • MSS: La være tomt

angi generell konfigurasjon

DHCP-klientkonfigurasjon

  • Alternativer: La ikke avkrysset
  • Vertsnavn: La være tomt
  • Alias ​​IPv4-adresse: La være tom
  • Avvis leieavtaler fra: La være tomt

standard dhcp-klientkonfigurasjon

DHCP6-klientkonfigurasjon

  • Alternativer: La ikke avkrysset
  • Bruk IPv4-tilkoblingen som overordnet grensesnitt: Ikke haket av
  • Be bare om et IPv6-prefiks: Ikke haket av
  • DHCPv6 Prefiks Delegasjonsstørrelse: La standard være kl 64
  • Send IPv6-prefiksetips: Ikke haket av
  • Feilsøking: Ikke avkrysset
  • Ikke vent på en RA: Ikke haket av
  • Ikke tillat utgivelse av PD / adresse: Ikke haket av

angi dhcp6

Reservert nettverk

  • Blokker private nettverk og loopback-adresser: Ikke haket av
  • Blokkere falske nettverk: La ikke hake av

standard reserverte nettverk

Klikk Lagre.

Navigere til brannmur > aliaser.

brannmur aliaser

Under “IP” klikker du Legg til.

Du vil gi ditt hjemmenettverk et "Alias" som lar et vennlig navn referere til nettverket ditt.

Eiendommer

  • Navn: Noe som er meningsfullt for deg. For denne opplæringen vil vi bruke “Local_Subnets”
  • Beskrivelse: Noe som er meningsfullt for deg
  • Type: Network (s)

Network (s)

  • Nettverk eller FQDN: 192.168.1.0 / 24

legg inn egenskaper

Klikk Lagre.

Navigere til brannmur > NAT.

brannmur nat

Klikk på utgå~~POS=TRUNC på toppen.

utgående

Velg "Utgående NAT-modus" Manuell generering av utgående NAT-regel.

Velg utgående nat-modus

Klikk Lagre og klikk deretter Bruk endringer.

nat-konfigurasjonen ble endret

Under kartlegginger, vil du fortelle trafikken din hvor du skal gå når den forlater nettverket. Du vil i hovedsak kopiere de eksisterende fire standard WAN-tilkoblingene og endre dem for å bruke det nye virtuelle EXPRESSVPN-grensesnittet.

Klikk på høyre side av skjermen Kopiere -knappen ved siden av den første WAN-tilkoblingsoppføringen. Det er ikonet med en firkant som overlapper en annen firkant.

klikk kopi

I det vinduet som dukker opp, er det eneste valget du endrer delen "Interface". Klikk på rullegardinmenyen og endre fra WAN til EXPRESSVPN.

angi avansert utgående nat-oppføring

Klikk Lagre.

Gjenta trinnene ovenfor for de tre andre WAN-reglene som finnes.

Når alle de fire EXPRESSVPN-reglene er lagt til, klikker du på Lagre knappen og klikk Bruk endringer nok en gang på toppen.

Til slutt må du opprette en regel for å omdirigere all lokal trafikk gjennom EXPRESSVPN-porten du tidligere har opprettet. Navigere til brannmur > regler:

brannmur regler

Klikk på LAN.

lan

Klikk på Legg til knappen med pil opp (venstre knapp).

klikk legg til

Skriv inn følgende:

Rediger brannmurregel

  • Handling: Sende
  • Deaktivert: La ikke avkrysset
  • grensesnitt: LAN
  • Adresse: IPv4
  • protokoll: Noen

Kilde

  • Kilde: Velg Enkelt vert eller alias og skriv inn navnet på aliaset du opprettet for nettverket ditt tidligere. For denne opplæringen brukte vi “Local_Subnets.”

Mål

  • Destinasjon: hvilken som helst

Ekstra alternativer

  • Logg: Ikke haket
  • Beskrivelse: Skriv inn noe som er meningsfullt for deg. For denne opplæringen vil vi legge inn “LAN TRAFFIC -> EXPRESSVPN”

Klikk på det blå Display Advanced knapp.

avanserte alternativer

Avanserte alternativer

La alt nytt ligge i disse vinduene som virket blanke og se etter Inngangsport. Endre dette til “EXPRESSVPN_DHCP”

inngangsport

Klikk Lagre.

Du er ferdig! Du bør nå begynne å se trafikken flyte gjennom den nye regelen du opprettet, og bekrefte at trafikken beveger seg gjennom ExpressVPN-tunnelen du opprettet.

pfsense vpn på

Slik konfigurerer du pfSense med ExpressVPN (OpenVPN)
admin Author
Sorry! The Author has not filled his profile.