In questo tutorial, vedremo come configurare OpenVPN su pfSense.
Ho creato alcuni tutorial OpenVPN utilizzando un Raspberry Pi o Synology NAS, ma tra tutte le implementazioni, questa è la mia "preferita". L'utilizzo di pfSense ti consente di eseguire OpenVPN sul tuo router e scaricare il servizio su quel dispositivo che è probabilmente il posto migliore per farlo funzionare.
OpenVPN è un po' più complesso da configurare su pfSense rispetto a un Raspberry Pi o Synology NAS, ma pfSense è proprio così. Tonnellate di opzioni (che per lo più possono essere saltate o aggirate), ma avere quelle opzioni ti offre un sacco di flessibilità che normalmente non hai. Il mio obiettivo è semplificare il processo nel miglior modo possibile e mostrare come configurare OpenVPN su pfSense il più facilmente possibile.
Tieni presente che se non disponi di un indirizzo IP esterno statico (cosa che la maggior parte delle persone non fa), devi configurare DDNS. DDNS sta per Dynamic DNS e tiene traccia del tuo indirizzo IP esterno per assicurarti di connetterti SEMPRE alla tua rete domestica quando usi quel nome di dominio. Se possiedi il tuo dominio, puoi configurare DDNS su Cloudflare. Tuttavia, se non hai un nome di dominio, la soluzione migliore (e più semplice) che ho usato è DuckDNS. DuckDNS è totalmente gratuito e non ha fastidiosi intervalli di aggiornamento di 30 giorni come No-IP. Segui questo tutorial per configurare DuckDNS su pfSense.
Questo tutorial (Come configurare OpenVPN su pfSense) sarà dal punto di vista degli utenti domestici.
1. Configurazione del server OpenVPN
Il modo più semplice per configurare OpenVPN è utilizzare la procedura guidata OpenVPN. Ti guiderà attraverso la maggior parte del processo.
1. Seleziona VPN e poi OpenVPN . Da lì, seleziona Procedure guidate .
2. Mantieni il Tipo di server come Utente locale Accesso e quindi seleziona Avanti .
3. OpenVPN avrà bisogno della propria Autorità di certificazione . Seleziona Aggiungi nuova CA e nella schermata successiva, dai un nome al certificato. Compila le informazioni sulla posizione, se lo desideri.
4. Successivamente, creeremo un server certificato . Assegna un nome al certificato e, come nell'ultimo passaggio, compila le informazioni sulla posizione, se lo desideri.
5. Nel passaggio successivo, fornisci al server OpenVPN una descrizione . Abbandona l'interfaccia , protocollo e locale porta come predefinito (WAN, UDP solo su IPv4, 1194).
6. Le impostazioni crittografiche possono rimanere come predefinite e nelle Impostazioni tunnel , assicurati di selezionare una sottorete che NON è attualmente in uso. Nel locale Rete , inserisci nella tua sottorete LAN in quanto consentirà alla rete locale di essere accessibile tramite OpenVPN. Se desideri impostare un numero massimo di connessioni simultanee, puoi modificare questa impostazione qui. Il resto delle impostazioni può rimanere come predefinito. Non è necessario modificare alcuna impostazione aggiuntiva, ma se desideri utilizzare un server DNS specifico, puoi modificarlo nella sezione Client Impostazioni . Quando hai finito con tutto, seleziona Avanti .
7. Nella schermata successiva, assicurati di creare automaticamente la Regola firewall e la Regola OpenVPN e quindi seleziona Avanti . La configurazione del server è terminata!
2. Pacchetto di esportazione client e account utente:come configurare OpenVPN su pfSense
Prima di procedere, è necessario completare due prerequisiti:
Assicurati di installare openvpn-client-export pacchetto da Package Manager (Sistema> Package Manager> Pacchetti disponibili ).
Assicurati di avere un account utente configurare con un certificato utente creato. Questo può essere completato selezionando Sistema> Gestione utenti> Aggiungi . Seleziona un nome utente e una password, quindi seleziona fai clic per creare un certificato utente . Assegna al certificato un nome (generalmente, nome utente + certificato OpenVPN) e assicurati che OpenVPN_CA che abbiamo creato in precedenza è selezionato. Lascia il resto come predefinito e salva.
3. Configurazione client OpenVPN – Come configurare OpenVPN su pfSense
Ora che lo strumento di esportazione del client e l'account utente sono stati creati, possiamo procedere con l'esportazione del nostro file di configurazione.
Nelle impostazioni di OpenVPN (VPN> OpenVPN), seleziona Client Esporta . Se disponi di un indirizzo IP esterno statico, lascia l'Host Nome Risoluzione come Interfaccia IP Indirizzo . Se hai impostato DDNS su pfSense, il nome host DDNS sarà disponibile nell'elenco a discesa. Se hai configurato DDNS su un altro dispositivo, seleziona Altro e inserisci il nome host DDNS. Puoi quindi salvare queste impostazioni.
In genere consiglio di utilizzare il file OpenVPN Connect (iOS/Android). Questo genererà un file di configurazione ovpn che può essere utilizzato su dispositivi Android/iPhone o la nuova applicazione OpenVPN Connect su Windows o MacOS. Per impostazione predefinita, il file di configurazione conterrà tutte le informazioni necessarie che ti permetteranno di riconnetterti alla tua rete locale.
Tuttavia, c'è una cosa veloce di cui vorrei parlare riguardo al modo in cui il traffico verrà inviato su quel tunnel VPN. L'immagine qui sotto ti mostrerà la differenza tra una VPN split-tunnel e una full-tunnel.
VPN Split-Tunnel :il traffico viene inviato attraverso la rete solo se sta tentando di accedere a una risorsa interna. Il tuo indirizzo IP quando navighi su un sito al di fuori della tua rete sarà l'indirizzo IP della rete su cui ti trovi attualmente.
VPN full-tunnel :Tutto il traffico viene inviato attraverso la rete domestica. Il tuo indirizzo IP per le richieste interne ed esterne sarà la tua rete domestica.
NOTA :Questo non è il flusso di rete esatto. Sto semplificando il processo il più possibile.
Tieni presente che puoi creare due file di configurazione (uno per split-tunnel e uno per full-tunnel) se desideri l'opzione per utilizzarli entrambi. Per un file di configurazione VPN full-tunnel, aggiungi il testo seguente al tuo file di configurazione (sopra il certificato).
redirect-gateway def1
Se ometti questa riga, il file di configurazione sarà per una VPN split-tunnel per impostazione predefinita.
Importa questo file in un'applicazione OpenVPN Connect e assicurati di non essere sulla tua rete locale. Il posto migliore per testare è su una rete mobile utilizzando un telefono cellulare.
Se desideri testare la configurazione VPN split-tunnel/full-tunnel, connettiti alla VPN split-tunnel, quindi cerca "qual è il mio IP" su Google. L'indirizzo IP restituito dovrebbe essere l'indirizzo IP della tua rete mobile (o qualunque rete a cui sei connesso). Se poi ti disconnetti e ti connetti alla VPN full-tunnel e cerchi la stessa cosa, dovresti restituire l'indirizzo IP della tua rete domestica (dove è configurato il server VPN).
4. Conclusione:come configurare OpenVPN su pfSense
Questo tutorial ha mostrato come configurare OpenVPN su pfSense. Fortunatamente, utilizzando la procedura guidata e gli strumenti di esportazione del client, il processo per configurare una OpenVPN su pfSense è relativamente semplice. Ora puoi creare tutti gli utenti che vuoi, esportare il proprio file di configurazione e loro potranno connettersi al tuo server VPN!
Grazie per aver dato un'occhiata al tutorial su come configurare OpenVPN su pfSense. Se hai domande, sentiti libero di lasciarle nei commenti di YouTube!
