Come configurare ProtonVPN su pfSense

Prerequisiti per la configurazione della VPN pfSense:

  • PfSense 2.4.x preconfigurato e funzionante
  • Un computer nella rete LAN per accedere al frontend pfSense.
  • Qualsiasi file di configurazione OpenVPN. I file di configurazione possono essere scaricati nella categoria Download sul tuo account.

Fase 1: aggiunta del certificato

Per poter utilizzare il client pfSense OpenVPN, è necessario aggiungere il certificato ProtonVPN al sistema.


  1. Una volta effettuato l’accesso al frontend pfSense, vai a Sistema -> Cert. Manager e premere Inserisci

1

  1. Scegli un nome descrittivo come ProtonVPN AG
  2. Selezionare Importa un’autorità di certificazione esistente come metodo
  3. Apri il file di configurazione OpenVPN precedentemente scaricato e copia il certificato. Il certificato inizia con —– INIZIA CERTIFICATO—– e termina con —–END CERTIFICATE—–.

2

  1. Incolla questo certificato nel campo Dati certificato

Ora dovrebbe apparire così:

3

  1. Salvarlo.

Passaggio 2: configurazione del client OpenVPN

In questo passaggio, creiamo il client che gestisce la crittografia e il tunneling dei dati stessi.

  1. Vai a VPN -> OpenVPN -> clienti e premere Inserisci
  2. Compila i campi come segue:
Informazione Generale
  • Disabilitato: non verificato
  • Modalità server: Peer to Peer (SSL / TLS)
  • Protocollo: UDP solo su IPv4 o TCP solo su IPv4 a seconda della scelta
  • Modalità dispositivo: tun – Modalità tunnel di livello 3
  • Interfaccia: PALLIDO
  • Porto locale: lasciare vuoto
  • Host o indirizzo del server: Il Indirizzo IP del server a cui si desidera connettersi. Il server è costituito dal codice paese e dal numero del server. Ad esempio ch-03.protonvpn.com è Swiss Server 03. Per ottenere l’indirizzo IP, utilizzare uno strumento di ricerca DNS come https://mxtoolbox.com/DNSLookup.aspx. In questo esempio, useremo 185.159.158.50 che è il server IS-03
  • Porta del server: Se il protocollo è TCP, utilizzare 443 se il protocollo è UDP, utilizzare 1194
  • Host o indirizzo proxy: Lasciare vuoto
  • Porta proxy: Lasciare vuoto
  • Autenticazione proxy: Lasciare vuoto
  • Descrizione: Scegli un nome visualizzato per questa configurazione. Piace ProtonVPN IS-03 UDP

X

Impostazioni di autenticazione utente
  • Nome utente: Il tuo nome utente ProtonVPN OpenVPN
  • Parola d’ordine: La tua password OpenVPN ProtonVPN (inserisci due volte)
  • Riprova autenticazione: Lascia deselezionato

X

Impostazioni crittografiche
  • Usa una chiave TLS: verificato
  • Genera automaticamente una chiave TLS: non verificato
  • Chiave TLS: Incolla la chiave dal file di configurazione OpenVPN. La chiave inizia con —–BEGIN OpenVPN Tasto statico V1—–e termina con —–END OpenVPN Tasto statico V1—–

1

  • Modalità di utilizzo chiave TLS: Autenticazione TLS
  • Autorità di certificazione peer: ProtonVPN AG (o il nome descrittivo che hai usato nel primo passaggio)
  • Certificato cliente: Nessuno (nome utente e / o password richiesti)
  • Algoritmo di crittografia: AES-256-CBC (chiave 256 bit, blocco 128 bit)
  • Abilita PCN: verificato
  • Algoritmi NCP: Invariato (controllato)
  • Algoritmo digest digest: SHA512 (512 bit)
  • Crypto hardware: A seconda del dispositivo. Se è supportato, deve essere attivato in Sistema -> Avanzate -> miscellaneo anche. Se vuoi essere sicuro, scegli Nessuna accelerazione crittografica hardware.

X

Impostazioni del tunnel
  • Rete di tunnel IPv4: Lasciare in bianco
  • Rete tunnel IPv6: Lasciare in bianco
  • Rete / e remota / e IPv4: Lasciare in bianco
  • Rete / e remota / e IPv6: Lasciare in bianco
  • Limita larghezza di banda in uscita: Lascia in bianco, tranne che preferisci diversamente
  • Compressione: Nessuna compressione
  • Topologia: Sottorete: un indirizzo IP per client in una sottorete comune
  • Tipo di servizio: Lascia deselezionato
  • Non tirare percorsi: Dai un’occhiata
  • Non aggiungere / rimuovere percorsi: Lascia deselezionato

X

Configurazione avanzata
  • Opzioni personalizzate: Aggiungi quanto segue:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persistono-chiave;
persistere-tun;
reneg-sec 0;
server remote-cert-tls;
Tirare;

  • I / O veloce UDP: Lascia deselezionato
  • Buffer di invio / ricezione: Predefinito
  • Livello di verbosità: 3 (consigliato)

X

  1. Salvarlo.
  2. Vai a Stato -> OpenVPN

Se tutto è stato fatto correttamente per la configurazione della VPN di pfSense, dovresti vedere il client lì ora e il stato è su.X

Fase tre: configurazione dell’interfaccia OpenVPN

La configurazione della VPN di pfSense è stata eseguita correttamente ed è già attiva e funzionante a questo punto, ma non instraderà ancora alcun traffico attraverso di essa. Per instradare l’intera rete attraverso il tunnel ProtonVPN sicuro, dobbiamo prima impostare le interfacce e le regole del firewall.

  1. Navigare verso Interfacce -> Compiti
  2. Aggiungi il client OpenVPN come interfaccia. Nel nostro caso, questo è ProtonVPN IS-03 UDP come ovpnc1.
  3. Premere su OPT1 a sinistra dell’interfaccia

X

  1. Compila i campi come segue:
  • Abilitare: Dai un’occhiata
  • Descrizione: Nome dell’interfaccia (solo alfanumerico). Noi useremo ProtonVPNIS03UDP.
  • Tipo di configurazione IPv4: DHCP
  • Blocca reti bogon: Dai un’occhiata
  • Lascia il resto invariato

  1. Salvalo e applica le modifiche.

Fase quattro: impostazione delle regole del firewall

Con Firewall Rules diciamo a pfSense di instradare tutto attraverso l’interfaccia ProtonVPN (e con ciò, attraverso la connessione protetta) che abbiamo impostato nel passaggio tre.

  1. Vai a Firewall -> NAT -> In uscita
  2. Cambia la modalità in Generazione manuale di regole NAT in uscita, quindi salvare e applicare le modifiche.
  3. Ora dovresti vedere 4 regole sotto Mapping.
  4. Lascia le regole con 127.0.0.0/8 come fonte invariata e modifica gli altri due facendo clic sulla matita.

X

  1. Cambia interfaccia all’interfaccia ProtonVPN creata nel passaggio tre su entrambe le regole. Nel nostro caso ProtonVPNIS03UDP. Quindi salva e applica le modifiche.

X

  1. Ora dovrebbe apparire così:

X

  1. Vai a Firewall -> Regole -> LAN
  2. Dovresti vedere 3 regole. Disabilitare la regola IPv6 facendo clic sul segno di spunta. Modifica la regola IPv4 facendo clic sulla matita.

X

  1. Scorri verso il basso e premi Display avanzato
  2. Cambia il Gateway con quello precedentemente creato. Nel nostro caso si chiama ProtonVPNIS03UDP_DHCP

X

  1. Salva e applica le modifiche.
  2. Vai a Stato -> OpenVPN e riavviare il client.

X

Passaggio 5: inserire i server DNS corretti per la configurazione della VPN pfSense

Ora il traffico dell’intera rete dietro il firewall pfSense sarà già instradato attraverso ProtonVPN. Ma le richieste DNS non lo sono. Per correggere ciò, modificheremo le impostazioni DNS.

  1. Vai a Sistema -> Impostazioni generali
  2. Scorri verso il basso fino a Impostazioni del server DNS
  3. Compila il server DNS. Se si è scelto TCP nel passaggio due, utilizzare 10.7.7.1. Se hai scelto UDP, usa 10.8.8.1. Se si utilizza un server libero o un server con un numero superiore a 100, il server DNS deve essere 10.8.1.0.
  4. Lascia il gateway acceso nessuna
  5. Dai un’occhiata Disabilita DNS Forwarder

X

  1. Scorri verso il basso e salva.
  2. Vai a Servizi -> DNS Resolver
  3. Dai un’occhiata Inoltro di query DNS
  4. Salva e applica le modifiche

Finito!

Se la configurazione VPN per pfSense è stata eseguita correttamente, l’intera rete dovrebbe ora essere protetta dai server ProtonVPN. Qualsiasi dispositivo in rete ora dovrebbe mostrare risultati simili ai seguenti mentre si esegue un test Ipleak, in base al server a cui ci si è connessi:

X

Né il tuo IP né il tuo DNS dovrebbero perdere per tutta la tua rete.

Miglioramenti opzionali

Se desideri completare la configurazione della VPN di pfSense ed escludere determinati computer dalla VPN (ad esempio una Playstation per i giochi), puoi farlo anche:

  1. Vai a Firewall -> Regole -> LAN
  2. Aggiungi una nuova regola in cima all’elenco

X

  1. Compila i campi come segue:
  • Azione: Passaggio
  • Disabilitato: non verificato
  • Interfaccia: LAN
  • Famiglia di indirizzi: IPv4
  • Protocollo: Qualunque
  • Fonte: Host singolo o Alias ​​e aggiungere l’IP del dispositivo da escludere
  • Destinazione: Qualunque
  • log: immutato
  • Descrizione: Aggiungere una descrizione
  • Clicca su Display avanzato
  • Cambia Gateway in WAN XX
  1. Salva e applica le modifiche.

X

  1. Vai a Firewall -> NAT -> In uscita
  2. Interruttore Modalità su Automatico, salva e applica le modifiche, quindi torna a Manuale, salva e applica nuovamente le modifiche.
  3. Ciò avrebbe dovuto creare altre due regole che ora consentono al dispositivo escluso di accedere alla rete WAN.

Ora questo dispositivo sarà escluso e sarà visibile sotto l’indirizzo IP del tuo ISP. Tuttavia utilizzerà comunque il server DNS della VPN.

La guida è realizzata dal nostro membro della community Rafficer.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me