Ako nastaviť ProtonVPN na pfSense

Predpoklady pre nastavenie VPN VPN:

  • Predkonfigurované a funkčné pfSense 2.4.x
  • Počítač v sieti LAN na prístup k rozhraniu pfSense.
  • Akýkoľvek konfiguračný súbor OpenVPN. Konfiguračné súbory si môžete stiahnuť vo svojom účte v kategórii Stiahnuté súbory.

Krok 1: Pridanie certifikátu

Aby sme mohli používať klienta pfSense OpenVPN, musíme do systému pridať certifikát ProtonVPN.


  1. Po prihlásení do rozhrania pfSense prejdite na stránku Systém -> Cert. manažér a stlačte pridať

1

  1. Vyberte popisný názov, napríklad ProtonVPN AG
  2. vybrať Importujte existujúcu certifikačnú autoritu ako metóda
  3. Otvorte predtým stiahnutý konfiguračný súbor OpenVPN a skopírujte certifikát. Certifikát začína —– ZAČIATOČNÉ OSVEDČENIE—– a končí —–END OSVEDČENIE—–.

2

  1. Vložte tento certifikát do poľa Údaje o certifikáte

Teraz by malo vyzerať takto:

3

  1. Ulož to.

Krok 2: Konfigurácia klienta OpenVPN

V tomto kroku vytvárame klienta, ktorý spracováva šifrovanie a tunelovanie samotných údajov.

  1. Ísť do VPN -> OpenVPN -> klienti a stlačte pridať
  2. Vyplňte nasledujúce polia:
Všeobecné informácie
  • zakázaný: nekontrolovaný
  • Režim servera: Peer to Peer (SSL / TLS)
  • Protokol: UDP iba ​​na IPv4 alebo TCP na IPv4 iba podľa vášho výberu
  • Režim zariadenia: režim tunela vrstvy 3
  • Rozhranie: WAN
  • Miestny prístav: nechajte prázdne
  • Hostiteľ alebo adresa servera:  IP adresa servera, ku ktorému sa chcete pripojiť. Server pozostáva z kódu krajiny a čísla servera. Napríklad ch-03.protonvpn.com je Swiss Server 03. Ak chcete získať IP adresu, použite nástroj na vyhľadávanie DNS, napríklad https://mxtoolbox.com/DNSLookup.aspx. V tomto príklade použijeme 185.159.158.50 čo je Server IS-03
  • Port servera: Ak je protokol TCP, použite 443, ak je protokol UDP, použite 1194
  • Proxy hostiteľ alebo adresa: Nechajte prázdne
  • Proxy port: Nechajte prázdne
  • Overenie servera proxy: Nechajte prázdne
  • Popis: Vyberte zobrazovaný názov pre túto konfiguráciu. Páči sa mi to ProtonVPN IS-03 UDP

X

Nastavenia overenia používateľa
  • Užívateľské meno: Vaše užívateľské meno ProtonVPN OpenVPN
  • heslo: Vaše heslo ProtonVPN OpenVPN (zadajte dvakrát)
  • Opakovanie autentifikácie: Nechajte nezaškrtnuté

X

Kryptografické nastavenia
  • Použite kľúč TLS: kontrolované
  • Automaticky vygenerovať kľúč TLS: nekontrolovaný
  • Kľúč TLS: Vložte kľúč z konfiguračného súboru OpenVPN. Kľúč začína —– ZAČIATOK OpenVPN Statický kľúč V1—–a končí —–END OpenVPN Statický kľúč V1—–

1

  • Režim použitia kľúča TLS: Overenie TLS
  • Certifikačná autorita: ProtonVPN AG (alebo popisný názov, ktorý ste použili v prvom kroku)
  • Certifikát klienta: Žiadne (vyžaduje sa používateľské meno a / alebo heslo)
  • Algoritmus šifrovania: AES-256-CBC (256-bitový kľúč, 128-bitový blok)
  • Povoliť NCP: kontrolované
  • Algoritmy NCP: Nezmenené (začiarknuté)
  • Algoritmus autorského prehľadu: SHA512 (512-bit)
  • Hardvérové ​​šifrovanie: V závislosti od vášho zariadenia. Ak je podporovaná, musí byť zapnutá pod Systém -> Pokročilé -> Zmiešaný tiež. Ak chcete byť v bezpečí, vyberte Žiadne hardvérové ​​urýchlenie šifrovania.

X

Nastavenia tunela
  • Sieť tunelov IPv4: Nechaj prázdne
  • Sieť tunelov IPv6: Nechaj prázdne
  • Vzdialené siete IPv4: Nechaj prázdne
  • Vzdialené siete IPv6: Nechaj prázdne
  • Obmedziť výstupnú šírku pásma: Ponechajte prázdne, pokiaľ si neželáte inak
  • kompresie: Bez kompresie
  • topológia: Subnet – jedna adresa IP na klienta v spoločnej podsieti
  • Typ služby: Nechajte nezaškrtnuté
  • Nevyťahujte trasy: check
  • Nepridávať / odstraňovať trasy: Nechajte nezaškrtnuté

X

Pokročilá konfigurácia
  • Vlastné možnosti: Pridajte nasledovné:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
pretrvávajú kľúč;
pretrvávajú-ton;
reneg-sek 0;
server remote-cert-tls;
ťahať;

  • UDP Fast I / O: Nechajte nezaškrtnuté
  • Buffer na odosielanie a prijímanie: štandardné
  • Úroveň výrečnosti: 3 (odporúčané)

X

  1. Ulož to.
  2. Ísť do Postavenie -> OpenVPN

Ak sa všetko urobilo správne pre nastavenie VPN siete pfSense, mali by ste tam teraz vidieť klienta a internet postavenie je hore.X

Krok tri: Konfigurácia rozhrania OpenVPN

Nastavenie siete VPN VPN bolo úspešne vykonané a v tomto bode je už v prevádzke, ale zatiaľ cez ňu nebude smerovať žiadny prenos. Ak chcete smerovať celú sieť cez bezpečný tunel ProtonVPN, musíme najprv nastaviť pravidlá pre rozhrania a bránu Firewall..

  1. Prejdite na Rozhrania -> priradenie
  2. Pridajte klienta OpenVPN ako rozhranie. V našom prípade to tak je ProtonVPN IS-03 UDP ako ovpnc1.
  3. zatlačte na OPT1 vľavo od rozhrania

X

  1. Vyplňte nasledujúce polia:
  • povoliť: check
  • Popis: Názov rozhrania (iba alfanumerické). Budeme používať ProtonVPNIS03UDP.
  • Typ konfigurácie IPv4: DHCP
  • Blokovať bogonové siete: check
  • Zvyšok nechajte bez zmeny

  1. Uložte ho a použite zmeny.

Krok 4: Nastavenie pravidiel brány firewall

Podľa pravidiel Firewallu povieme pfSense, aby všetko smeroval cez rozhranie ProtonVPN (a tým prostredníctvom zabezpečeného pripojenia), ktoré sme nastavili v treťom kroku..

  1. Ísť do POŽARNE dvere -> NAT -> odchádzajúce
  2. Zmeňte režim na Manuálne generovanie odchádzajúcich pravidiel NAT, potom uložte a použite zmeny.
  3. Teraz by ste mali vidieť 4 pravidlá pod mapovanie.
  4. Nechajte pravidlá s 127.0.0.0/8 ako zdroj nezmenený a ďalšie dva upravte kliknutím na ceruzku.

X

  1. Zmeňte rozhranie na rozhranie ProtonVPN vytvorené v treťom kroku pre obe pravidlá. V našom prípade ProtonVPNIS03UDP. Potom uložte a použite zmeny.

X

  1. Teraz by malo vyzerať takto:

X

  1. Ísť do POŽARNE dvere -> Pravidlá -> LAN
  2. Mali by ste vidieť 3 pravidlá. Pravidlo IPv6 zakážte kliknutím na zaškrtávacie políčko. Upravte pravidlo IPv4 kliknutím na ceruzku.

X

  1. Prejdite nadol a stlačte Zobraziť rozšírené
  2. Zmeňte bránu na predtým vytvorenú. V našom prípade sa to volá ProtonVPNIS03UDP_DHCP

X

  1. Uložte a použite zmeny.
  2. Ísť do Postavenie -> OpenVPN a reštartujte klienta.

X

Krok 5: Vložte správne servery DNS pre nastavenie VPN siete pfSense

Teraz bude prevádzka celej siete za firewallom pfSense už smerovaná cez ProtonVPN. Žiadosti o DNS však nie sú. Aby sme to napravili, zmeníme nastavenia DNS.

  1. Ísť do systém -> Všeobecné nastavenie
  2. Posuňte zobrazenie nadol na Nastavenia servera DNS
  3. Vyplňte server DNS. Ak ste v kroku dva vybrali TCP, použite 10.7.7.1. Ak ste vybrali UDP, použite 10.8.8.1. Ak používate bezplatný server alebo server s číslom vyšším ako 100, musí byť server DNS 10.8.1.0.
  4. Nechajte Gateway zapnutú nikto
  5. check Zakázať službu DNS Forwarder

X

  1. Prejdite nadol a uložte.
  2. Ísť do Služby -> DNS Resolver
  3. check Preposielanie dopytov DNS
  4. Uložte a použite zmeny

hotový!

Ak bolo nastavenie VPN pre pfSense vykonané správne, celá sieť by teraz mala byť zabezpečená servermi ProtonVPN. Každé zariadenie v sieti by teraz malo zobraziť podobné výsledky ako pri nasledujúcom teste Ipleak podľa servera, ku ktorému ste sa pripojili:

X

Ani vaša IP adresa ani DNS by nemali preniknúť do celej siete.

Voliteľné vylepšenia

Ak chcete dokončiť nastavenie VPN siete pfSense a vylúčiť určité počítače z VPN (napríklad Playstation pre hranie hier), môžete to urobiť tiež:

  1. Ísť do POŽARNE dvere -> Pravidlá -> LAN
  2. Pridajte nové pravidlo na začiatok zoznamu

X

  1. Polia vyplňte nasledovne:
  • akcie: priechod
  • zakázaný: nekontrolovaný
  • Rozhranie: LAN
  • Adresa rodiny: IPv4
  • Protokol: akýkoľvek
  • zdroj: Jeden hostiteľ alebo alias a pridajte IP zariadenia, ktoré chcete vylúčiť
  • Destinácia: akýkoľvek
  • log: nezmenený
  • Popis: pridaj popis
  • Kliknite na Zobraziť rozšírené
  • Zmeňte bránu na WAN XX
  1. Uložte a použite zmeny.

X

  1. Ísť do POŽARNE dvere -> NAT -> odchádzajúce
  2. prepínač režim na Automatické, uložte a aplikujte zmeny, potom prepnite späť na Ručne, uložte a znova použite zmeny.
  3. To malo vytvoriť ďalšie dve pravidlá, ktoré teraz umožňujú vylúčenému zariadeniu prístup do siete WAN.

Teraz bude toto zariadenie vylúčené a bude viditeľné pod IP adresou vášho ISP. Stále však bude používať server DNS VPN.

Príručku tvorí náš člen komunity Rafficer.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me