Как да настроите ProtonVPN на pfSense

Предпоставки за настройка на pfSense VPN:

  • Предварително конфигуриран и работещ pfSense 2.4.x
  • Компютър в LAN мрежата за достъп до pfSense фронта.
  • Всеки конфигурационен файл на OpenVPN. Конфигурационните файлове могат да бъдат изтеглени в категорията за изтегляния на вашия акаунт.

Първа стъпка: Добавяне на сертификата

За да можем да използваме pfSense OpenVPN клиент, трябва да добавим ProtonVPN сертификат към системата.


  1. Когато сте влезли в pfSense фронта, отидете на Система -> Cert. мениджър и натиснете Добави

1

  1. Изберете Описателно име, като например ProtonVPN AG
  2. Изберете Импортирайте съществуващ орган за сертифициране като метод
  3. Отворете изтегления преди това конфигурационен файл на OpenVPN и копирайте сертификата. Сертификатът започва с —– НАЧАЛО СЕРТИФИКАТ—– и завършва с —–END СЕРТИФИКАТ—–.

2

  1. Поставете този сертификат в полето Данни за сертификат

Сега трябва да изглежда така:

3

  1. Запази го.

Стъпка втора: Конфигуриране на OpenVPN клиента

В тази стъпка създаваме клиента, който обработва криптирането и тунелирането на самите данни.

  1. Отидете на VPN -> OpenVPN -> клиенти и натиснете Добави
  2. Попълнете полетата, както следва:
Главна информация
  • Хора с увреждания: непроверен
  • Режим на сървъра: Peer to Peer (SSL / TLS)
  • протокол: Или UDP само за IPv4 или TCP само за IPv4, в зависимост от вашия избор
  • Режим на устройството: tun – Режим на тунел 3 слой
  • Интерфейс: WAN
  • Местен порт: оставете празно
  • Хост или адрес на сървъра: Най- IP адрес на сървъра, с който искате да се свържете. Сървърът се състои от кода на страната и номера на сървъра. Например ch-03.protonvpn.com е Swiss Server 03. За да получите IP адреса, използвайте DNS инструмент за търсене като https://mxtoolbox.com/DNSLookup.aspx. В този пример ще използваме 185.159.158.50 който е сървърът IS-03
  • Порт на сървъра: Ако протоколът е TCP, използвайте 443, ако протоколът е UDP, използвайте 1194
  • Хост или адрес на прокси сървър: Оставете празно
  • Порт за прокси: Оставете празно
  • Удостоверяване на прокси: Оставете празно
  • Описание: Изберете дисплейно име за тази конфигурация. като ProtonVPN IS-03 UDP

х

Настройки за удостоверяване на потребителя
  • Потребителско име: Вашето потребителско име за ProtonVPN OpenVPN
  • парола: Вашата парола ProtonVPN OpenVPN (въведете два пъти)
  • Повторен опит за удостоверяване: Оставете без проверка

х

Криптографски настройки
  • Използвайте TLS ключ: Проверени
  • Автоматично генериране на TLS ключ: непроверен
  • TLS ключ: Поставете ключа от конфигурационния файл на OpenVPN. Ключът започва с —– НАЧАЛО OpenVPN Статичен ключ V1—–и завършва с —–END OpenVPN Статичен ключ V1—–

1

  • Режим на използване на клавиши TLS: TLS Удостоверяване
  • Орган за партньорски сертификат: ProtonVPN AG (или описателното име, което сте използвали в Първа стъпка)
  • Клиентско удостоверение: Няма (Изисква се потребителско име и / или парола)
  • Алгоритъм за криптиране: AES-256-CBC (256-битов ключ, 128-битов блок)
  • Активиране на NCP: Проверени
  • Алгоритми на NCP: Непроменен (проверен)
  • Автентичен алгоритъм на дайджест: SHA512 (512-битов)
  • Хардуерна криптовалута: В зависимост от вашето устройство. Ако се поддържа, трябва да се включи под Система -> Разширено -> Разни също. Ако искате да сте в безопасност, изберете Без хардуерно крипто ускорение.

х

Настройки на тунела
  • IPv4 тунелна мрежа: Остави празно
  • IPv6 тунелна мрежа: Остави празно
  • IPv4 Дистанционна (и) мрежа (и): Остави празно
  • IPv6 Дистанционна мрежа (и): Остави празно
  • Ограничете изходящата честотна лента: Оставете празно, освен ако предпочитате друго
  • Compression: Без компресия
  • топология: Подмрежа – Един IP адрес на клиент в обща подмрежа
  • Вид услуга: Оставете без проверка
  • Не изтегляйте маршрути: Проверка
  • Не добавяйте / премахвайте маршрути: Оставете без проверка

х

Разширена конфигурация
  • Персонализирани опции: Добавете следното:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
задържи ключ;
персистира-Tun;
обновяване-сек 0;
отдалечен cert-tls сървър;
дръпнете;

  • UDP бърз I / O: Оставете без проверка
  • Изпращане / получаване на буфер: По подразбиране
  • Ниво на многословия: 3 (препоръчително)

х

  1. Запази го.
  2. Отидете на Състояние -> OpenVPN

Ако всичко е направено правилно за настройката на pfSense VPN, трябва да видите Клиента там и статус е нагоре.х

Трета стъпка: Конфигуриране на OpenVPN интерфейса

Настройката на pfSense VPN беше извършена успешно и вече е стартирана и работи, но все още няма да трасира трафик през нея. За да маршрутизираме цялата мрежа през защитения тунел ProtonVPN, първо трябва да настроим интерфейси и правила за защитна стена.

  1. Навигирайте до Интерфейси -> Задачи
  2. Добавете OpenVPN клиента като интерфейс. В нашия случай това е така ProtonVPN IS-03 UDP като ovpnc1.
  3. Натиснете върху OPT1 отляво на интерфейса

х

  1. Попълнете полетата, както следва:
  • Активиране: Проверка
  • Описание: Име на интерфейса (само буквено-цифров). Ще използваме ProtonVPNIS03UDP.
  • Тип конфигурация IPv4: DHCP
  • Блокиране на bogon мрежи: Проверка
  • Останалото оставете непроменено

  1. Запазете го и приложете промените.

Четвърта стъпка: Настройка на правилата на защитната стена

С правилата на защитната стена казваме на pfSense да маршрутизира всичко през интерфейса ProtonVPN (и с това чрез защитената връзка), който настроихме в стъпка трета.

  1. Отидете на Защитна стена -> NAT -> Изходяща
  2. Променете режима на Ръчно генериране на NAT правила за генериране, след това запазете и приложете промени.
  3. Сега трябва да видите 4 правила под Съответствия.
  4. Оставете правилата с 127.0.0.0/8 като източник непроменен и редактирайте другите два, като щракнете върху молива.

х

  1. Променете интерфейса на ProtonVPN интерфейса, създаден в стъпка трета и при двете правила. В нашия случай ProtonVPNIS03UDP. След това Запазете и приложете промени.

х

  1. Сега трябва да изглежда така:

х

  1. Отидете на Защитна стена -> Правила -> LAN
  2. Трябва да видите 3 правила. Деактивирайте правилото IPv6, като кликнете върху отметката. Редактирайте Правилото за IPv4, като кликнете върху молива.

х

  1. Превъртете надолу и натиснете Показване Разширено
  2. Променете шлюза на създадения по-рано. В нашия случай се нарича ProtonVPNIS03UDP_DHCP

х

  1. Запазете и приложите промените.
  2. Отидете на Състояние -> OpenVPN и рестартирайте Клиента.

х

Стъпка пета: Поставете правилните DNS сървъри за настройката на pfSense VPN

Сега трафикът на цялата мрежа зад защитната стена на pfSense вече ще бъде пренасочен през ProtonVPN. Но DNS заявките не са. За да коригираме това, ще променим настройките на DNS.

  1. Отидете на Система -> Обща настройка
  2. Превъртете надолу до Настройки на DNS сървъра
  3. Попълнете DNS сървъра. Ако сте избрали TCP в стъпка втора, използвайте 10.7.7.1. Ако сте избрали UDP, използвайте 10.8.8.1. Ако използвате безплатен сървър или сървър с число по-голямо от 100, DNS сървърът трябва да бъде 10.8.1.0.
  4. Оставете шлюза включен нито един
  5. Проверка Деактивиране на DNS Forwarder

х

  1. Превъртете надолу и запазете.
  2. Отидете на Услуги -> DNS Resolver
  3. Проверка Препращане на DNS заявки
  4. Запазете и приложите промените

завършен!

Ако настройката на VPN за pfSense беше извършена правилно, сега цялата ви мрежа трябва да бъде защитена от ProtonVPN сървърите. Всяко устройство в мрежата сега трябва да показва подобни резултати, както следва, докато правите Ipleak тест, според сървъра, към който сте свързани:

х

Нито вашият IP, нито вашият DNS не трябва да изтекат за цялата ви мрежа.

Незадължителни подобрения

Ако искате да завършите настройката на VPN на pfSense и да изключите определени компютри от VPN (например Playstation за игри), можете да направите това също:

  1. Отидете на Защитна стена -> Правила -> LAN
  2. Добавете ново правило в горната част на списъка

х

  1. Попълнете полетата, както следва:
  • действие: Pass
  • Хора с увреждания: непроверен
  • Интерфейс: LAN
  • Семейство адрес: IPv4
  • протокол: който и да е
  • Източник: Single Host или псевдоним и добавете IP на устройството, за да го изключите
  • Дестинация: който и да е
  • Влезте: Непроменен
  • Описание: Добави описание
  • Кликнете върху Показване Разширено
  • Промяна на шлюза на WAN хх
  1. Запазете и приложите промените.

х

  1. Отидете на Защитна стена -> NAT -> Изходяща
  2. ключ вид към Автоматично, запаметете и приложите промените, след това превключете обратно към Ръчно, запазете и приложете промените отново.
  3. Това би трябвало да създаде още две правила, които позволяват на изключеното устройство да има достъп до WAN мрежата.

Сега това устройство ще бъде изключено и ще се вижда под IP адреса на вашия доставчик. Въпреки това той все още ще използва DNS сървъра на VPN.

Ръководството е направено от нашия член на общността Rafficer.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me