Hur man ställer in pfSense med ExpressVPN (OpenVPN)

[ware_item id=33][/ware_item]

Denna handledning visar dig hur du konfigurerar ExpressVPN på din pfSense-enhet, med en pfSense OpenVPN-installation.


I syftet med denna tutorial antar vi att du konfigurerar ditt nätverk för en generisk 192.168.1.0/24 nätverksinstallation.

Notera: Den här guiden har testats på följande version av pfSense: 2.3.3-RELEASE (amd64)

Ladda ner VPN-konfigurationsfilerna

Logga in på ditt ExpressVPN-konto.

ExpressVPN-inloggningsskärm med inloggningsknapp markerad.

När du har loggat in på webbplatsen klickar du på Konfigurera på fler enheter.

ExpressVPN-inställningsskärmen med knappen Set up on More Devices markerad.

Klicka på Manuell konfig på vänster sida av skärmen och välj sedan OpenVPN fliken till höger.

Du kommer först se din Användarnamn och Lösenord och sedan en lista med OpenVPN-konfigurationsfiler.

Under ditt användarnamn och lösenord, ladda ner OpenVPN-konfigurationsfilen för den plats du vill ansluta till. Håll den här filen till hands eftersom du drar ut information ur den för pfSense-installationen.

Inställningspanel med fältet Användarnamn och lösenord och en lista med konfigurationsfiler markerade.

Konfigurera pfSense-inställningar

För att konfigurera pfSense VPN-inställningar loggar du in på din pfSense-enhet och navigerar till Systemet > Cert. Chef.

pfSense-enhetens skärm med systemsertifikathanteraren markerad.

Klicka på "under CAs" Lägg till knapp.

Skriv följande:

  • Beskrivande namn: ExpressVPN
  • Metod: Importera en befintlig certifikatutfärdare
  • Certifikatdata: Öppna OpenVPN-konfigurationsfilen som du laddade ner och öppna den med din favorittextredigerare. Leta efter texten som är insvept i  del av filen. Kopierar hela strängen från —– BEGIN CERTIFIKAT—– till —–END CERTIFIKAT—–.
  • Certifikat Privat nyckel (valfritt): Lämna detta tomt
  • Seriell för nästa certifikat: Lämna detta tomt

När du har angett informationen ska skärmen se så här ut:

ange dina certifikatbehörighetsuppgifter och spara dina inställningar.

Klick Spara.

Fortsätt på den här sidan och klicka certifikat på toppen.

klicka på certifikat

Klicka på nederst på skärmen Lägg till.

Under "Lägg till ett nytt certifikat" anger du följande:

  • Metod: Importera ett befintligt certifikat
  • Beskrivande namn: ExpressVPN Cert (eller något meningsfullt för dig)
  • Certifikatdata: Öppna OpenVPN-konfigurationsfilen som du laddade ner och öppna den med din favorittextredigerare. Leta efter texten som är insvept i  del av filen. Kopiera hela strängen från —– BEGIN CERTIFIKAT—– till —–END CERTIFIKAT—–
  • Privat nyckeldata: Med din textredigerare fortfarande öppen, leta efter texten som är inslagna i del av filen. Kopiera hela strängen från —– BEGYNN RSA PRIVATE KEY—– till —- RSA PRIVATE KEY—-

När du har angett informationen ska skärmen se så här ut:

ange dina privata nyckeldata i det tillhandahållna utrymmet.

Klick Spara.

Överst på skärmen navigerar du till VPN > OpenVPN.

Överst på skärmen navigerar du till VPN och klickar på OpenVPN.

Välj kunder.

klicka på klienter

Klicka på nederst på skärmen Lägg till.

Ange följande information:

Allmän information:

  • Inaktiverat: Lämna den här rutan inte markerad
  • Serverläge: Peer to Peer (SSL / TLS)
  • Protokoll: UDP
  • Enhetsläge: tun
  • Gränssnitt: GLÅMIG
  • Lokal hamn: Lämna tomt
  • Servervärd eller adress: Öppna OpenVPN-konfigurationsfilen som du laddade ner och öppna den med din favorittextredigerare. Leta efter text som börjar med avlägsen, följt av ett servernamn. Kopiera servernamnsträngen till det här fältet (t.ex. server-adressressnamn.expressnetw.com)
  • Serverport: Kopiera portnummer från OpenVPN-konfigurationsfilen till det här fältet (t.ex. 1195)
  • Proxy värd eller adress: Lämna tomt
  • Proxyport: Lämna tomt
  • Proxy Auth. - Extra alternativ - ingen
  • Server värdnamn upplösning: Markera den här rutan
  • Beskrivning: Något meningsfullt för dig. t.ex. ExpressVPN Dallas

PfSense

Inställningar för användarautentisering

  • Användarnamn: ditt ExpressVPN-användarnamn
  • Lösenord: ditt ExpressVPN-lösenord

PfSense

Kryptografiska inställningar

  • TLS-autentisering: Markera den här rutan
  • Nyckel: Öppna OpenVPN-konfigurationsfilen som du laddade ner och öppna den med din favorittextredigerare. Leta efter text som är inslaget i  del av filen. Ignorera "2048 bitars OpenVPN statisk nyckel" -poster och börja kopiera från —– BEGIN OpenVPN statisk nyckel V1—– till —–END OpenVPN Statisk nyckel V1—–
  • Peer Certificate Authority: Välj posten "ExpressVPN" som du skapade tidigare i Cert. Manager steg
  • Klientcertifikat: Välj posten “ExpressVPN Cert” som du skapade tidigare i Cert. Manager steg
  • Krypteringsalgoritm: Öppna OpenVPN-konfigurationsfilen som du laddade ner och öppna den med din favorittextredigerare. Leta efter texten chiffer. I det här exemplet listas OpenVPN-konfigurationen som "chiffer AES-256-CBC", så vi kommer att välja "AES-256-CBC (256-bitars nyckel, 128-bitars block) från rullgardinsmenyn
  • Autent digergalgoritm: Öppna OpenVPN-konfigurationsfilen som du laddade ner och öppna den med din favorittextredigerare. Leta efter texten auth följt av algoritmen efter. I det här exemplet såg vi "authent SHA512", så vi kommer att välja "SHA512 (512-bit)" från rullgardinsmenyn
  • Hårdvarukrypto: Om du inte vet att din enhet stöder hårdvarukryptografi, lämna detta på Ingen hårdvarukryptoacceleration

Ytterligare steg för pfSense 2.4:

  • Avmarkera Generera automatiskt en TLS-nyckel
  • Ställ användningsläge till TLS-verifiering
  • Avmarkera Aktivera förhandlingsbara kryptografiska parametrar
  • Ignorera NCP-algoritmer sektion

ange kryptografiska inställningar genom att öppna OpenVPN-konfigurationsfilen som du laddat ner tidigare.

Tunnelinställningar

  • IPv4-tunnelnätverk: Lämna tomt
  • IPv6 tunnelnätverk: Lämna tomt
  • IPv4 Fjärrenätverk (er): Lämna tomt
  • IPv6 Fjärrenätverk: Lämna tomt
  • Begränsa utgående bandbredd: Efter eget gottfinnande, men för denna självstudie - lämna tomt.
  • Komprimering: aktiverad med anpassningskompression
  • Topologi: Lämna standard “Subnet - En IP-adress per klient i ett gemensamt subnet”
  • Servicetyp: Lämna oavbruten
  • Inaktivera IPv6: Markera den här rutan
  • Dra inte rutter: Markera den här rutan
  • Lägg inte till / ta bort rutter: Lämna inte avmarkerad

Ytterligare steg för pfSense 2.4:

  • Ställ in komprimering till Anpassningsbar LZO-komprimering
  • Observera att det inte finns mer kryssruta för “Inaktivera IPv6”

ange tunnelinställningar

Avancerad konfiguration

  • Anpassade alternativ: Dessa alternativ är härledda från den OpenVPN-konfiguration som du har refererat till. Vi kommer att dra ut alla anpassade alternativ som vi inte har använt tidigare. Kopiera och klistra in följande:
    fast-io; persist-key; persist-tun; remote-random; pull; comp-lzo; tls-client; verifiera-x509-name Server-prefix; Remote-cert-tls-server; nyckelriktning 1; route- metod exe; ruttfördröjning 2; tun-mtu 1500; fragment 1300; mssfix 1450; verb 3; sndbuf 524288; rcvbuf 524288
  • Verbositetsnivå: 3 (rekommenderas)

Ytterligare steg för pfSense 2.4:

  • Kolla upp UDP Snabb I / O
  • Skicka mottagningsbuffert: 512 kB
  • Gateway Creation: Endast IPV4

kopiera och klistra in följande för att öppna avancerad konfiguration.

Klick Spara.

Bekräfta anslutningen

Du bör nu kunna bekräfta att din OpenVPN-anslutning lyckades. Navigera till Status > OpenVPN.

status openvpn

Under "Client Instance Statistics" i kolumnen "Status" bör du se ordet upp, indikerar att tunneln är online.

kolla statistik för klientinstanser

Ytterligare steg för att dirigera WAN genom tunneln

Nu när tunneln är online måste du berätta för all din trafik att NAT skulle vara korrekt. Välj högst upp på skärmen gränssnitt och klicka (tilldela).

gränssnitt tilldela

Klicka på + knapp. Ett nytt gränssnitt skapas. Se till ovpnc1 är markerad och klicka Spara.

Navigera till gränssnitt > OVPNC1:

Skriv följande:

Allmän konfiguration

  • Gör det möjligt: Markera den här rutan
  • Beskrivning: Något meningsfullt för dig. t.ex. EXPRESSVPN
  • IPv4-konfigurationstyp: DHCP
  • IPv6-konfigurationstyp: Ingen
  • MAC-adress: Lämna tomt
  • MTU: Lämna tomt
  • MSS: Lämna tomt

ange allmän konfiguration

DHCP-klientkonfiguration

  • Alternativ: Lämna okontrollerat
  • Värdnamn: Lämna tomt
  • Alias ​​IPv4-adress: Lämna tomt
  • Avvisa hyresavtal från: Lämna tomt

standardkonfiguration för dhcp-klient

DHCP6-klientkonfiguration

  • Alternativ: Lämna okontrollerat
  • Använd IPv4-anslutningen som överordnat gränssnitt: Lämna inte avmarkerad
  • Begär bara ett IPv6-prefix: Lämna inte avkryssat
  • DHCPv6 Prefix Delegationsstorlek: Lämna standard kl 64
  • Skicka IPv6-prefix-ledtråd: Lämna okontrollerat
  • Felsökning: Lämna avmarkerad
  • Vänta inte på en RA: Lämna okontrollerad
  • Låt inte PD / Adress frisläppas: Lämna oavbruten

ange dhcp6

Reserverade nätverk

  • Blockera privata nätverk och loopback-adresser: Lämna inte kryssat
  • Blockera bogonnätverk: Lämna okontrollerat

standard reserverade nätverk

Klick Spara.

Navigera till brandvägg > alias.

brandvägg alias

Klicka på "IP" Lägg till.

Du kommer att förse ditt hemnätverk med ett "Alias" som tillåter ett vänligt namn att referera till ditt nätverk.

Egenskaper

  • Namn: Något meningsfullt för dig. För denna handledning kommer vi att använda "Local_Subnets"
  • Beskrivning: Något meningsfullt för dig
  • Typ: Nätverk (s)

Nätverk (s)

  • Nätverk eller FQDN: 192.168.1.0 / 24

ange egenskaper

Klick Spara.

Navigera till brandvägg > NAT.

brandvägg nat

Klicka på Utgående på toppen.

utgående

Välj "Utgående NAT-läge" Manuell generering av utgående NAT-regel.

Välj utgående nat-läge

Klick Spara och klicka sedan på Applicera förändringar.

nat-konfigurationen har ändrats

Under avbildningar, kommer du att berätta för din trafik vart du ska gå när den lämnar ditt nätverk. Du kommer i huvudsak att kopiera de befintliga fyra standard WAN-anslutningarna och ändra dem för att använda ditt nya virtuella EXPRESSVPN-gränssnitt.

Klicka på höger sida av skärmen Kopia knapp bredvid den första posten i WAN-anslutningen. Det är ikonen med en fyrkant som överlappar en annan kvadrat.

klicka på kopia

I det fönster som dyker upp är det enda valet du kommer att ändra avsnittet "Gränssnitt". Klicka på listrutan och ändra från GLÅMIG till EXPRESSVPN.

ange avancerad utgående nat-post

Klick Spara.

Upprepa ovanstående steg för de andra tre WAN-regler som finns.

När alla fyra EXPRESSVPN-regler har lagts till klickar du på Spara -knappen och klicka Applicera förändringar återigen överst.

Slutligen måste du skapa en regel för att omdirigera all lokal trafik genom EXPRESSVPN-gatewayen som du tidigare skapat. Navigera till brandvägg > regler:

brandväggsregler

Klicka på LAN.

lan

Klicka på Lägg till -knappen med upp-pilen (längst till vänster-knappen).

klicka på lägg till

Skriv följande:

Redigera brandväggsregel

  • Verkan: Passera
  • Inaktiverat: Lämna inte kryssat
  • Gränssnitt: LAN
  • Adress: IPv4
  • Protokoll: Några

Källa

  • Källa: Välj Enskild värd eller alias och skriv namnet på aliaset du skapade för ditt nätverk tidigare. För denna handledning använde vi "Local_Subnets."

Destination

  • Destination: valfri

Extra alternativ

  • Logg: Lämna oavbruten
  • Beskrivning: Ange något som är meningsfullt för dig. För denna handledning kommer vi att ange “LAN TRAFFIC -> EXPRESSVPN”

Klicka på det blå Visa Avancerat knapp.

avancerade alternativ

Avancerade alternativ

Lämna allt nytt i dessa fönster som verkade tomma och leta efter Inkörsport. Ändra detta till “EXPRESSVPN_DHCP”

inkörsport

Klick Spara.

Du är klar! Du bör nu börja se trafiken som flödar genom din nya regel som du skapade och bekräftar att trafiken rör sig genom ExpressVPN-tunneln du skapade.

pfsense vpn på

Hur man ställer in pfSense med ExpressVPN (OpenVPN)
admin Author
Sorry! The Author has not filled his profile.