Slik konfigurerer du ProtonVPN på pfSense

Forutsetninger for pfSense VPN-oppsettet:

  • Forkonfigurert og arbeider pfSense 2.4.x
  • En datamaskin i LAN-nettverket for å få tilgang til pfSense-fronten.
  • Alle OpenVPN-konfigurasjonsfiler. Konfigurasjonsfilene kan lastes ned i kategorien Nedlastinger på kontoen din.

Trinn én: Legge til sertifikatet

For å kunne bruke pfSense OpenVPN-klienten, må vi legge ProtonVPN-sertifikatet til systemet.


  1. Når du er logget på pfSense-fronten, gå til System -> Cert. sjef og trykk Legge til

1

  1. Velg et beskrivende navn som ProtonVPN AG
  2. Å velge Importer en eksisterende sertifikatmyndighet som Method
  3. Åpne den tidligere nedlastede OpenVPN-konfigurasjonsfilen, og kopier sertifikatet. Sertifikatet starter med —– BEGINSERTIFIKAT—– og slutter med —–END CERTIFIKAT—–.

2

  1. Lim inn dette sertifikatet i feltet Sertifikatdata

Det skal nå se slik ut:

3

  1. Lagre det.

Trinn to: Konfigurere OpenVPN-klienten

I dette trinnet oppretter vi klienten som håndterer krypteringen og tunnelen av selve dataene.

  1. Gå til VPN -> OpenVPN -> klienter og trykk Legge til
  2. Fyll ut feltene som følger:
Generell informasjon
  • Funksjonshemmet: ukontrollert
  • Servermodus: Peer to Peer (SSL / TLS)
  • protokoll: Enten UDP bare på IPv4 eller TCP på IPv4 bare avhengig av ditt valg
  • Enhetsmodus: tun – Lag 3 tunnelmodus
  • grensesnitt: WAN
  • Lokal havn: la stå tomt
  • Server vert eller adresse: De IP adresse til serveren du vil koble til. Serveren består av landskode og servernummer. For eksempel er ch-03.protonvpn.com Swiss Server 03. For å få IP-adressen, bruk et DNS-oppslagverktøy som https://mxtoolbox.com/DNSLookup.aspx. I dette eksemplet vil vi bruke 185.159.158.50 som er serveren IS-03
  • Serverport: Hvis protokoll er TCP, bruk 443 hvis protokoll er UDP, bruk 1194
  • Proxy-vert eller -adresse: La være tom
  • Proxy-port: La være tom
  • Proxy-godkjenning: La være tom
  • Beskrivelse: Velg et visningsnavn for denne konfigurasjonen. Som ProtonVPN IS-03 UDP

x

Innstillinger for brukerautentisering
  • Brukernavn: ProtonVPN OpenVPN-brukernavnet ditt
  • Passord: ProtonVPN OpenVPN-passordet ditt (skriv inn to ganger)
  • Prøv å godkjenne på nytt: Ikke haket

x

Kryptografiske innstillinger
  • Bruk en TLS-nøkkel: Sjekket
  • Generer automatisk en TLS-nøkkel: ukontrollert
  • TLS-nøkkel: Lim inn nøkkelen fra OpenVPN-konfigurasjonsfilen. Nøkkelen starter med —–BEGIN OpenVPN statisk tast V1—–og slutter med —–END OpenVPN statisk tast V1—–

1

  • TLS nøkkelbruksmodus: TLS-godkjenning
  • Peer Certificate Authority: ProtonVPN AG (eller det beskrivende navnet du brukte i trinn én)
  • Kundesertifikat: Ingen (brukernavn og / eller passord kreves)
  • Krypteringsalgoritme: AES-256-CBC (256 bit nøkkel, 128 bit blokk)
  • Aktiver NCP: Sjekket
  • NCP-algoritmer: Uendret (sjekket)
  • Auth digest-algoritme: SHA512 (512-bit)
  • Maskinvarekrypto: Avhengig av enheten din. Hvis den støttes, må den slås på under System -> Avansert -> Diverse også. Hvis du vil være trygg, velg Ingen krypto akselerasjon av maskinvare.

x

Tunnelinnstillinger
  • IPv4 Tunnel Network: La stå tom
  • IPv6 Tunnel Network: La stå tom
  • IPv4 Eksternt nettverk (er): La stå tom
  • IPv6 Eksternt nettverk (er): La stå tom
  • Begrens utgående båndbredde: La være tomt, med mindre du foretrekker noe annet
  • kompresjon: Ingen komprimering
  • topologi: Undernett – En IP-adresse per klient i et felles undernett
  • Type tjeneste: Ikke haket
  • Ikke trekk ruter: Kryss av
  • Ikke legg til / fjern ruter: Ikke haket

x

Avansert konfigurasjon
  • Tilpassede alternativer: Legg til følgende:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
vedvare-nøkkel;
vedvare-tun;
reneg-sek 0;
ekstern-cert-tls server;
dra;

  • UDP Fast I / O: Ikke haket
  • Send / motta buffer: Misligholde
  • Verbositetsnivå: 3 (anbefalt)

x

  1. Lagre det.
  2. Gå til Status -> OpenVPN

Hvis alt ble gjort riktig for pfSense VPN-oppsettet, bør du se klienten der nå og status er opp.x

Trinn tre: Konfigurere OpenVPN-grensesnittet

Installasjonen av pfSense VPN ble utført vellykket og er allerede i gang på dette tidspunktet, men det vil ikke føre noen trafikk gjennom det ennå. For å rute hele nettverket gjennom den sikre ProtonVPN-tunnelen, må vi sette opp grensesnitt og brannmurregler først.

  1. Navigere til Grensesnitt -> oppdrag
  2. Legg til OpenVPN-klienten som grensesnitt. I vårt tilfelle er dette ProtonVPN IS-03 UDP som ovpnc1.
  3. trykke på OPT1 til venstre for grensesnittet

x

  1. Fyll ut feltene som følger:
  • Muliggjøre: Kryss av
  • Beskrivelse: Navnet på grensesnittet (bare alfanumerisk). Vi vil bruke ProtonVPNIS03UDP.
  • IPv4-konfigurasjonstype: DHCP
  • Blokkere falske nettverk: Kryss av
  • La resten være uendret

  1. Lagre den og bruk endringene.

Trinn fire: Konfigurere brannmurreglene

Med brannmurregler forteller vi pfSense å rute alt gjennom ProtonVPN-grensesnittet (og med det, gjennom den sikre tilkoblingen) vi konfigurerte i trinn tre.

  1. Gå til Brannmur -> NAT -> Utgående
  2. Endre modus til Manuell generering av utgående NAT-regel, lagre og bruk endringer.
  3. Nå skal du se 4 regler under kartlegginger.
  4. La reglene ligge med 127.0.0.0/8 som kilde uendret og rediger de to andre ved å klikke på blyanten.

x

  1. Endre grensesnitt til ProtonVPN-grensesnittet opprettet i trinn tre på begge reglene. I vårt tilfelle ProtonVPNIS03UDP. Lagre og bruk endringer.

x

  1. Det skal nå se slik ut:

x

  1. Gå til Brannmur -> Regler -> LAN
  2. Du bør se 3 regler. Deaktiver IPv6-regelen ved å klikke på Sjekk-merket. Rediger IPv4-regelen ved å klikke på blyanten.

x

  1. Bla ned og trykk Display Advanced
  2. Endre Gateway til den tidligere opprettede. I vårt tilfelle heter det ProtonVPNIS03UDP_DHCP

x

  1. Lagre og bruk endringer.
  2. Gå til Status -> OpenVPN og start klienten på nytt.

x

Trinn fem: Sett inn riktige DNS-servere for pfSense VPN-oppsettet

Nå vil trafikken for hele nettverket bak pfSense-brannmuren allerede bli dirigert gjennom ProtonVPN. Men DNS-forespørslene er det ikke. For å rette dette vil vi endre DNS-innstillingene.

  1. Gå til System -> Generell oppsett
  2. Bla ned til Innstillinger for DNS-server
  3. Fyll ut DNS-serveren. Hvis du valgte TCP i trinn to, bruk 10.7.7.1. Hvis du valgte UDP, bruk 10.8.8.1. Hvis du bruker en gratis server eller server med et nummer høyere enn 100, må DNS-serveren være 10.8.1.0.
  4. La gatewayen være på ingen
  5. Kryss av Deaktiver DNS-speditør

x

  1. Bla nedover og lagre.
  2. Gå til Tjenester -> DNS Resolver
  3. Kryss av Videresending av DNS-spørring
  4. Lagre og bruk endringer

ferdig!

Hvis VPN-oppsettet for pfSense ble gjort ordentlig, skal hele nettverket ditt nå være sikret av ProtonVPN-serverne. Enhver enhet på nettverket nå skal vise lignende resultater som følgende mens du gjør en Ipleak-test, i henhold til serveren du har koblet til:

x

Verken IP-en eller DNS-en din skal lekke for hele nettverket.

Valgfrie forbedringer

Hvis du ønsker å fullføre pfSense VPN-oppsettet og ekskludere visse datamaskiner fra VPN (for eksempel en Playstation for gaming), kan du gjøre det også:

  1. Gå til Brannmur -> Regler -> LAN
  2. Legg til en ny regel øverst på listen

x

  1. Fyll feltene som følger:
  • Handling: Sende
  • Funksjonshemmet: ukontrollert
  • grensesnitt: LAN
  • Adressefamilie: IPv4
  • protokoll: Noen
  • Kilde: Enkelt vert eller Alias ​​og legg til IP-en til enheten for å ekskludere
  • Mål: Noen
  • Logg: uendret
  • Beskrivelse: Legg til en beskrivelse
  • Klikk på Display Advanced
  • Endre Gateway til WAN xx
  1. Lagre og bruk endringer.

x

  1. Gå til Brannmur -> NAT -> Utgående
  2. Bytte om Modus til Automatisk, lagre og bruke endringer, bytt deretter tilbake til Manuell, lagre og bruk endringer igjen.
  3. Dette burde ha skapt ytterligere to regler som nå lar den ekskluderte enheten få tilgang til WAN-nettverket.

Nå blir denne enheten ekskludert og vil være synlig under Internett-leverandørens IP-adresse. Imidlertid vil den fortsatt bruke VPNs DNS-server.

Guiden er laget av vårt samfunnsmedlem Rafficer.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map