Cara menyediakan ProtonVPN di pfSense

Prasyarat untuk penyediaan VPN pfSense:

  • Pra dikonfigurasi dan berfungsi pfSense 2.4.x
  • Komputer di rangkaian LAN untuk mengakses frontf pfSense.
  • Sebarang fail konfigurasi OpenVPN. Fail konfigurasi boleh dimuat turun dalam kategori Muat turun pada akaun anda.

Langkah Pertama: Menambah Sijil

Untuk dapat menggunakan Pelanggan OpenVPN pfSense, kita perlu menambahkan Sertifikat ProtonVPN ke sistem.


  1. Apabila log masuk ke pfSense frontend, pergi ke Sistem -> Cert. Pengurus dan tekan Tambah

1

  1. Pilih Nama Deskriptif seperti ProtonVPN AG
  2. Pilih Import Pihak Berkuasa Sijil yang ada sebagai Kaedah
  3. Buka fail konfigurasi OpenVPN yang dimuat turun sebelumnya dan salin sijil. Sijil bermula dengan —–MULAKAN SIJIL—– dan berakhir dengan —–END SIJIL—–.

2

  1. Tampal sijil ini di medan Data sijil

Ia kini kelihatan seperti ini:

3

  1. Simpanlah.

Langkah Kedua: Mengkonfigurasi Pelanggan OpenVPN

Pada langkah ini, kami membuat klien yang menangani penyulitan dan penyetaraan data itu sendiri.

  1. Pergi ke VPN -> OpenVPN -> Pelanggan dan tekan Tambah
  2. Isi bidang seperti berikut:
Maklumat Am
  • Kurang Upaya: Tidak dicentang
  • Mod Pelayan: Rakan sebaya (SSL / TLS)
  • Protokol: Sama ada UDP pada IPv4 sahaja atau TCP pada IPv4 sahaja bergantung pada pilihan anda
  • Mod peranti: tun – Mod Terowong Lapisan 3
  • Antara muka: WANITA
  • Pelabuhan tempatan: biarkan kosong
  • Host atau alamat pelayan: The Alamat IP pelayan yang anda mahu sambungkan. Pelayan terdiri daripada kod negara dan nombor pelayan. Contohnya ch-03.protonvpn.com adalah Swiss Server 03. Untuk mendapatkan Alamat IP, gunakan alat carian DNS seperti https://mxtoolbox.com/DNSLookup.aspx. Dalam contoh ini, kita akan menggunakan 185.159.158.50 yang merupakan Server IS-03
  • Pelabuhan pelayan: Sekiranya Protokol adalah TCP gunakan 443 jika Protokol adalah UDP gunakan 1194
  • Hos atau alamat proksi: Biarkan kosong
  • Port proksi: Biarkan kosong
  • Pengesahan Proksi: Biarkan kosong
  • Penerangan: Pilih Nama Paparan untuk Konfigurasi ini. Suka ProtonVPN IS-03 UDP

x

Tetapan Pengesahan Pengguna
  • Nama pengguna: Nama Pengguna OpenVPN ProtonVPN anda
  • Kata Laluan: Kata Laluan ProtonVPN OpenVPN anda (masukkan dua kali)
  • Percubaan Pengesahan: Biarkan tidak dicentang

x

Tetapan Kriptografi
  • Gunakan Kekunci TLS: Diperiksa
  • Jana Kunci TLS secara automatik: Tidak dicentang
  • Kekunci TLS: Tampal Kunci dari fail konfigurasi OpenVPN. Kunci bermula dengan —–BEGIN OpenVPN Kekunci statik V1—–dan berakhir dengan —–END OpenVPN Kekunci statik V1—–

1

  • Mod Penggunaan Kunci TLS: Pengesahan TLS
  • Penguasa Sijil Rakan Sebaya: ProtonVPN AG (atau nama deskriptif yang anda gunakan dalam Langkah Satu)
  • Sijil Pelanggan: Tiada (Nama Pengguna dan / atau Kata Laluan diperlukan)
  • Algoritma Penyulitan: AES-256-CBC (kekunci 256 bit, blok 128 bit)
  • Dayakan NCP: Diperiksa
  • Algoritma NCP: Tidak berubah (Diperiksa)
  • Algoritma penghadaman autentik: SHA512 (512-bit)
  • Crypto Perkakasan: Bergantung pada peranti anda. Sekiranya disokong, ia mesti dihidupkan di bawah Sistem -> Lanjutan -> Pelbagai juga. Sekiranya anda mahu selamat, pilih Tidak ada pecutan crypto perkakasan.

x

Tetapan Terowong
  • Rangkaian Terowong IPv4: Biarkan kosong
  • Rangkaian Terowong IPv6: Biarkan kosong
  • Rangkaian jauh IPv4: Biarkan kosong
  • Rangkaian jauh IPv6: Biarkan kosong
  • Hadkan lebar jalur keluar: Biarkan kosong, kecuali anda lebih suka sebaliknya
  • Pemampatan: Tiada pemampatan
  • Topologi: Subnet – Satu alamat IP bagi setiap pelanggan dalam subnet biasa
  • Jenis perkhidmatan: Biarkan tidak dicentang
  • Jangan tarik laluan: Periksa
  • Jangan tambah / alih keluar laluan: Biarkan tidak dicentang

x

Konfigurasi Lanjutan
  • Pilihan Tersuai: Tambahkan yang berikut:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
kunci berterusan;
berterusan-tun;
reneg-sec 0;
pelayan remote-cert-tls;
tarik;

  • UDP Cepat I / O: Biarkan tidak dicentang
  • Hantar / Terima Buffer: Lalai
  • Tahap perbincangan: 3 (disyorkan)

x

  1. Simpanlah.
  2. Pergi ke Status -> BukaVPN

Sekiranya semuanya dilakukan dengan betul untuk penyediaan VPN pfSense, anda harus melihat Pelanggan di sana sekarang dan status adalah naik.x

Langkah Ketiga: Mengkonfigurasi Antaramuka OpenVPN

Penyediaan VPN pfSense telah berjaya dilakukan dan sudah berjalan pada saat ini, tetapi belum dapat mengarahkan lalu lintas melaluinya. Untuk mengarahkan seluruh rangkaian melalui terowong ProtonVPN yang selamat, kita perlu menyiapkan peraturan antara muka dan Firewall terlebih dahulu.

  1. Navigasi ke Antara muka -> Tugasan
  2. Tambahkan Pelanggan OpenVPN sebagai Antara Muka. Dalam kes kami, ini adalah ProtonVPN IS-03 UDP sebagai ovpnc1.
  3. Tekan terus OPT1 di sebelah kiri antara muka

x

  1. Isi bidang seperti berikut:
  • Aktifkan: Periksa
  • Penerangan: Nama antara muka (alfanumerik sahaja). Kami akan menggunakan ProtonVPNIS03UDP.
  • Jenis Konfigurasi IPv4: DHCP
  • Sekat rangkaian bogon: Periksa
  • Biarkan selebihnya tidak berubah

  1. Simpan dan Terapkan perubahan.

Langkah Keempat: Menyiapkan Peraturan Firewall

Dengan Peraturan Firewall, kami memberi tahu pfSense untuk mengarahkan semuanya melalui antara muka ProtonVPN (dan dengan itu, melalui sambungan selamat) yang kami sediakan di Langkah Tiga.

  1. Pergi ke Firewall -> NAT -> Keluar
  2. Tukar Mod ke Penjanaan peraturan NAT Outbound Manual, kemudian simpan dan gunakan perubahan.
  3. Sekarang anda akan melihat 4 peraturan di bawah Pemetaan.
  4. Tinggalkan peraturan dengan 127.0.0.0/8 sebagai sumber tidak berubah dan edit dua yang lain dengan mengklik pensil.

x

  1. Ubah Antaramuka ke ProtonVPN Interface yang dibuat pada Langkah Tiga pada kedua peraturan tersebut. Dalam kes kami ProtonVPNIS03UDP. Kemudian Simpan dan gunakan perubahan.

x

  1. Ia kini kelihatan seperti ini:

x

  1. Pergi ke Firewall -> Peraturan -> LAN
  2. Anda mesti melihat 3 peraturan. Lumpuhkan peraturan IPv6 dengan mengklik tanda semak. Edit Peraturan IPv4 dengan mengklik pensil.

x

  1. Tatal ke bawah dan tekan Paparan Lanjutan
  2. Tukar Gerbang ke yang dibuat sebelumnya. Dalam kes kami disebut ProtonVPNIS03UDP_DHCP

x

  1. Simpan dan gunakan perubahan.
  2. Pergi ke Status -> BukaVPN dan mulakan semula Pelanggan.

x

Langkah Lima: Masukkan Server DNS yang betul untuk penyediaan VPN pfSense

Kini lalu lintas seluruh rangkaian di belakang firewall pfSense akan disalurkan melalui ProtonVPN. Tetapi permintaan DNS tidak. Untuk membetulkannya, kami akan mengubah tetapan DNS.

  1. Pergi ke Sistem -> Persediaan Umum
  2. Tatal ke bawah ke Tetapan Pelayan DNS
  3. Isi Pelayan DNS. Sekiranya anda memilih TCP dalam Langkah Kedua, gunakan 10.7.7.1. Sekiranya anda memilih UDP, gunakan 10.8.8.1. Sekiranya anda menggunakan pelayan atau pelayan percuma dengan nombor lebih tinggi daripada 100, pelayan DNS mestilah 10.8.1.0.
  4. Biarkan Gateway dihidupkan tiada
  5. Periksa Lumpuhkan Penghantar DNS

x

  1. Tatal ke bawah dan simpan.
  2. Pergi ke Perkhidmatan -> Penyelesai DNS
  3. Periksa Penghantaran Pertanyaan DNS
  4. Simpan dan gunakan perubahan

Selesai!

Sekiranya penyediaan VPN untuk pfSense dilakukan dengan betul, sekarang seluruh rangkaian anda harus diamankan oleh pelayan ProtonVPN. Mana-mana peranti di rangkaian sekarang harus menunjukkan hasil yang serupa dengan yang berikut semasa melakukan ujian Ipleak, menurut pelayan yang anda sambungkan:

x

Baik IP atau DNS anda harus bocor untuk keseluruhan rangkaian anda.

Peningkatan Pilihan

Sekiranya anda ingin menyelesaikan penyediaan VPN pfSense dan mengecualikan komputer tertentu dari VPN (misalnya Playstation untuk permainan), anda juga dapat melakukannya:

  1. Pergi ke Firewall -> Peraturan -> LAN
  2. Tambahkan peraturan baru di bahagian atas senarai

x

  1. Isi bidang seperti berikut:
  • Tindakan: Lulus
  • Kurang Upaya: Tidak dicentang
  • Antara muka: LAN
  • Keluarga Alamat: IPv4
  • Protokol: Sebarang
  • Sumber: Host Tunggal atau Alias ​​dan tambahkan IP peranti untuk dikecualikan
  • Destinasi: Sebarang
  • Log: Tidak berubah
  • Penerangan: Tambahkan huraian
  • Klik pada Paparan Lanjutan
  • Tukar Gateway ke WAN xx
  1. Simpan dan gunakan perubahan.

x

  1. Pergi ke Firewall -> NAT -> Keluar
  2. Tukar Mod ke Automatik, simpan dan terapkan perubahan, kemudian beralih kembali ke Manual, simpan dan terapkan perubahan sekali lagi.
  3. Ini semestinya telah membuat dua peraturan lagi yang kini membolehkan peranti yang dikecualikan mengakses rangkaian WAN.

Sekarang peranti ini akan dikecualikan dan akan kelihatan di bawah Alamat IP ISP anda. Walau bagaimanapun, ia masih akan menggunakan Pelayan DNS VPN.

Panduan dibuat oleh anggota komuniti kami Rafficer.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me