Sådan konfigureres ProtonVPN på pfSense

Forudsætninger for pfSense VPN-opsætningen:

  • Forudkonfigureret og arbejdende pfSense 2.4.x
  • En computer i LAN-netværket for at få adgang til pfSense-frontend.
  • Alle OpenVPN-konfigurationsfiler. Konfigurationsfilerne kan downloades i kategorien Downloads på din konto.

Trin én: Tilføjelse af certifikatet

For at kunne bruge pfSense OpenVPN-klienten, er vi nødt til at tilføje ProtonVPN-certifikatet til systemet.


  1. Når du er logget ind på pfSense-frontend, skal du gå til System -> Cert. Manager og tryk på Tilføje

1

  1. Vælg et beskrivende navn, f.eks ProtonVPN AG
  2. Vælg Importer en eksisterende certifikatmyndighed som fremgangsmåde
  3. Åbn den tidligere downloadede OpenVPN-konfigurationsfil, og kopier certifikatet. Certifikatet starter med —– BEGIN CERTIFIKAT—– og slutter med —–END CERTIFIKAT—–.

2

  1. Indsæt dette certifikat i feltet Certifikatdata

Det skal nu se sådan ud:

3

  1. Gem det.

Trin to: Konfiguration af OpenVPN-klienten

I dette trin opretter vi klienten, der håndterer kryptering og tunneling af selve dataene.

  1. Gå til VPN -> OpenVPN -> Kunder og tryk på Tilføje
  2. Udfyld felterne som følger:
Generel information
  • Handicappet: Ukontrolleret
  • Servertilstand: Peer to Peer (SSL / TLS)
  • protokol: Enten UDP kun på IPv4 eller TCP på IPv4 kun afhængigt af dit valg
  • Enhedstilstand: tun – Lag 3 tunneltilstand
  • interface: WAN
  • Lokal havn: lad være tom
  • Server vært eller adresse: Det IP-adresse på den server, du vil oprette forbindelse til. Serveren består af landekoden og servernummeret. For eksempel er ch-03.protonvpn.com den schweiziske server 03. For at få IP-adressen skal du bruge et DNS-opslagværktøj som https://mxtoolbox.com/DNSLookup.aspx. I dette eksempel vil vi bruge 185.159.158.50 som er serveren IS-03
  • Serverport: Hvis protokol er TCP, brug 443, hvis protokol er UDP, brug 1194
  • Proxy vært eller adresse: Lad være tom
  • Proxy-port: Lad være tom
  • Proxy-godkendelse: Lad være tom
  • Beskrivelse: Vælg et displaynavn til denne konfiguration. Synes godt om ProtonVPN IS-03 UDP

x

Indstillinger for brugergodkendelse
  • Brugernavn: Dit ProtonVPN OpenVPN-brugernavn
  • Adgangskode: Din ProtonVPN OpenVPN-adgangskode (indtast to gange)
  • Forsøg på godkendelse igen: Lad ikke være markeret

x

Kryptografiske indstillinger
  • Brug en TLS-nøgle: Kontrolleret
  • Generer automatisk en TLS-nøgle: Ukontrolleret
  • TLS-nøgle: Indsæt nøglen fra OpenVPN-konfigurationsfilen. Nøglen starter med —–BEGIN OpenVPN statisk nøgle V1—–og slutter med —–END OpenVPN statisk nøgle V1—–

1

  • TLS-tastanvendelsestilstand: TLS-godkendelse
  • Peer Certificate Authority: ProtonVPN AG (eller det beskrivende navn, du brugte i trin 1)
  • Klientcertifikat: Ingen (brugernavn og / eller adgangskode kræves)
  • Krypteringsalgoritme: AES-256-CBC (256 bit nøgle, 128 bit blok)
  • Aktivér NCP: Kontrolleret
  • NCP-algoritmer: Uændret (tjekket)
  • Autent fordøjelsesalgoritme: SHA512 (512-bit)
  • Hardwarekrypto: Afhængig af din enhed. Hvis det understøttes, skal det tændes under System -> Fremskreden -> Diverse såvel. Hvis du vil være sikker, skal du vælge Ingen hardware krypto acceleration.

x

Tunnelindstillinger
  • IPv4-tunnelnetværk: Efterlad blank
  • IPv6 tunnelnetværk: Efterlad blank
  • IPv4 Fjernnetværk (er): Efterlad blank
  • IPv6 Fjernnetværk (er): Efterlad blank
  • Begræns udgående båndbredde: Lad være tomt, medmindre du foretrækker andet
  • Kompression: Ingen komprimering
  • Topologi: Subnet – En IP-adresse pr. Klient i et fælles subnet
  • Type service: Lad ikke være markeret
  • Træk ikke ruter: Kontrollere
  • Tilføj ikke / fjern ruter: Lad ikke være markeret

x

Avanceret konfiguration
  • Tilpassede indstillinger: Tilføj følgende:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
vedvarer-key;
vedvarer-tun;
reneg-sek 0;
fjern-cert-tls server;
trække;

  • UDP Fast I / O: Lad ikke være markeret
  • Send / modtag buffer: Standard
  • Verbositet niveau: 3 (anbefales)

x

  1. Gem det.
  2. Gå til Status -> OpenVPN

Hvis alt blev gjort korrekt til pfSense VPN-opsætningen, skal du se klienten der nu og status er op.x

Trin tre: Konfiguration af OpenVPN-grænsefladen

Opsætningen af ​​pfSense VPN blev udført med succes og kører allerede på dette tidspunkt, men det dirigerer endnu ikke nogen trafik gennem det. For at rute hele netværket gennem den sikre ProtonVPN-tunnel, er vi nødt til at oprette grænseflader og firewall-regler først.

  1. Naviger til Grænseflader -> Afleveringer
  2. Tilføj OpenVPN-klienten som interface. I vores tilfælde er det sådan ProtonVPN IS-03 UDP som ovpnc1.
  3. tryk opt1 til venstre for grænsefladen

x

  1. Udfyld felterne som følger:
  • Aktiver: Kontrollere
  • Beskrivelse: Navn på grænsefladen (kun alfanumerisk). Vi bruger ProtonVPNIS03UDP.
  • IPv4-konfigurationstype: DHCP
  • Blokerer falske netværk: Kontrollere
  • Lad resten være uændret

  1. Gem det, og anvend ændringerne.

Trin fire: Opsætning af firewall-reglerne

Med firewall-regler fortæller vi pfSense at rute alt gennem ProtonVPN-grænsefladen (og med det gennem den sikre forbindelse), vi oprettede i trin tre.

  1. Gå til Firewall -> NAT -> Udgående
  2. Skift tilstand til Manuel generering af udgående NAT-regel, derefter gemme og anvende ændringer.
  3. Nu skal du se 4 regler under tilknytninger.
  4. Forlad reglerne med 127.0.0.0/8 som kilde uændret og rediger de to andre ved at klikke på blyanten.

x

  1. Skift interface til ProtonVPN-grænsefladen oprettet i trin tre på begge regler. I vores tilfælde ProtonVPNIS03UDP. Gem og anvend ændringer.

x

  1. Det skal nu se sådan ud:

x

  1. Gå til Firewall -> Regler -> LAN
  2. Du skal se 3 regler. Deaktiver IPv6-reglen ved at klikke på Check-mark. Rediger IPv4-reglen ved at klikke på blyanten.

x

  1. Rul ned, og tryk på Display Avanceret
  2. Skift gateway til den tidligere oprettede. I vores tilfælde kaldes det ProtonVPNIS03UDP_DHCP

x

  1. Gem og anvend ændringer.
  2. Gå til Status -> OpenVPN og genstart klienten.

x

Trin fem: Indsæt de korrekte DNS-servere til pfSense VPN-opsætningen

Nu er trafikken på hele netværket bag pfSense-firewallen allerede dirigeret gennem ProtonVPN. Men DNS-anmodningerne er det ikke. For at rette op på dette ændrer vi DNS-indstillingerne.

  1. Gå til System -> Generel opsætning
  2. Rul ned til DNS-serverindstillinger
  3. Udfyld DNS-serveren. Hvis du valgte TCP i trin to, skal du bruge 10.7.7.1. Hvis du valgte UDP, skal du bruge 10.8.8.1. Hvis du bruger en gratis server eller server med et tal over 100, skal DNS-serveren være 10.8.1.0.
  4. Forlad gatewayen ingen
  5. Kontrollere Deaktiver DNS-speditør

x

  1. Rul ned og gem.
  2. Gå til Tjenester -> DNS-resolver
  3. Kontrollere Videresendelse af DNS-forespørgsel
  4. Gem og anvend ændringer

Færdig!

Hvis VPN-opsætningen for pfSense blev udført korrekt, skal hele dit netværk nu være sikret af ProtonVPN-serverne. Enhver enhed på netværket nu skal vise lignende resultater som følgende, mens du udfører en Ipleak-test, i henhold til den server, du har oprettet forbindelse til:

x

Hverken din IP eller din DNS bør lække for hele dit netværk.

Valgfrie forbedringer

Hvis du gerne vil afslutte opsætningen af ​​pfSense VPN og ekskludere visse computere fra VPN (f.eks. En Playstation til spil), kan du også gøre det:

  1. Gå til Firewall -> Regler -> LAN
  2. Tilføj en ny regel øverst på listen

x

  1. Udfyld felterne som følger:
  • Handling: Passere
  • Handicappet: Ukontrolleret
  • interface: LAN
  • Adressefamilie: IPv4
  • protokol: Nogen
  • Kilde: Single Host eller Alias, og tilføj enhedens IP til at ekskludere
  • Bestemmelsessted: Nogen
  • Log: Uændret
  • Beskrivelse: Tilføj en beskrivelse
  • Klik på Display Avanceret
  • Skift gateway til WAN xx
  1. Gem og anvend ændringer.

x

  1. Gå til Firewall -> NAT -> Udgående
  2. Kontakt Mode til Automatisk, gem og anvend ændringer, skift derefter tilbage til Manuel, gem og anvend ændringer igen.
  3. Dette skulle have oprettet yderligere to regler, der nu giver den ekskluderede enhed adgang til WAN-netværket.

Nu er denne enhed ekskluderet og vil være synlig under din ISP’s IP-adresse. Dog vil den stadig bruge VPN’s DNS-server.

Vejledningen er lavet af vores samfundsmedlem Rafficer.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map