Jak nastavit ProtonVPN na pfSense

Předpoklady pro nastavení VPN VPN:

  • Předkonfigurované a funkční pfSense 2.4.x
  • Počítač v síti LAN pro přístup k rozhraní frontSense.
  • Jakýkoli konfigurační soubor OpenVPN. Konfigurační soubory si můžete ve svém účtu stáhnout v kategorii Stahování.

Krok 1: Přidání certifikátu

Abychom mohli používat klienta pfSense OpenVPN, musíme do systému přidat certifikát ProtonVPN.


  1. Pokud jste přihlášeni k rozhraní frontSense, přejděte na Systém -> Cert. Manažer a stiskněte Přidat

1

  1. Vyberte popisný název, například ProtonVPN AG
  2. Vybrat Importujte existující certifikační autoritu jako metoda
  3. Otevřete dříve stažený konfigurační soubor OpenVPN a zkopírujte certifikát. Certifikát začíná —– ZAČNĚTE CERTIFIKÁT—– a končí —–END CERTIFIKÁT—–.

2

  1. Vložte tento certifikát do pole Data certifikátu

Nyní by to mělo vypadat takto:

3

  1. Ulož to.

Krok 2: Konfigurace klienta OpenVPN

V tomto kroku vytvoříme klienta, který zpracovává šifrování a tunelování samotných dat.

  1. Jít do VPN -> OpenVPN -> Klienti a stiskněte Přidat
  2. Vyplňte následující pole:
Obecná informace
  • Zakázáno: Nezaškrtnuto
  • Režim serveru: Peer to Peer (SSL / TLS)
  • Protokol: UDP pouze na IPv4 nebo TCP na IPv4 pouze podle vaší volby
  • Režim zařízení: tun – režim tunelu vrstvy 3
  • Rozhraní: WAN
  • Místní přístav: nechte prázdné
  • Hostitel nebo adresa serveru:  IP adresa serveru, ke kterému se chcete připojit. Server se skládá z kódu země a čísla serveru. Například ch-03.protonvpn.com je Swiss Server 03. Chcete-li získat IP adresu, použijte vyhledávací nástroj DNS, například https://mxtoolbox.com/DNSLookup.aspx. V tomto příkladu použijeme 185,155,158,50 což je Server IS-03
  • Port serveru: Pokud je protokol TCP, použijte 443, pokud je protokol UDP, použijte 1194
  • Proxy hostitel nebo adresa: Nechte prázdné
  • Proxy port: Nechte prázdné
  • Ověřování proxy: Nechte prázdné
  • Popis: Zvolte zobrazovaný název pro tuto konfiguraci. Jako ProtonVPN IS-03 UDP

X

Nastavení ověření uživatele
  • Uživatelské jméno: Vaše uživatelské jméno ProtonVPN OpenVPN
  • Heslo: Vaše heslo ProtonVPN OpenVPN (zadejte dvakrát)
  • Opakování ověření: Nechte nezaškrtnuté

X

Kryptografická nastavení
  • Použijte klíč TLS: Kontrolovány
  • Automaticky vygenerovat klíč TLS: Nezaškrtnuto
  • Klíč TLS: Vložte klíč z konfiguračního souboru OpenVPN. Klíč začíná —– ZAČNĚTE OpenVPN Statický klíč V1—–a končí —–END OpenVPN Statický klíč V1—–

1

  • Režim využití klíče TLS: Ověřování TLS
  • Certifikační autorita: ProtonVPN AG (nebo popisný název, který jste použili v prvním kroku)
  • Klientský certifikát: Žádné (vyžaduje se uživatelské jméno a / nebo heslo)
  • Algoritmus šifrování: AES-256-CBC (256bitový klíč, 128bitový blok)
  • Povolit NCP: Kontrolovány
  • Algoritmy NCP: Nezměněno (zaškrtnuto)
  • Algoritmus autorského výtěžku: SHA512 (512 bitů)
  • Hardwarové krypto: V závislosti na vašem zařízení. Pokud je podporována, musí být zapnuta pod Systém -> Pokročilý -> Smíšený také. Pokud chcete být v bezpečí, zvolte Žádné hardwarové kryptografické zrychlení.

X

Nastavení tunelu
  • Síť tunelu IPv4: Nechte prázdné
  • Síť tunelu IPv6: Nechte prázdné
  • Vzdálené sítě IPv4: Nechte prázdné
  • Vzdálené sítě IPv6: Nechte prázdné
  • Omezit odchozí šířku pásma: Nechte prázdné, pokud dáváte přednost jinak
  • Komprese: Žádná komprese
  • Topologie: Subnet – jedna IP adresa na klienta ve společné podsíti
  • Typ služby: Nechte nezaškrtnuté
  • Nevytahujte trasy: Šek
  • Nepřidávat / odebírat trasy: Nechte nezaškrtnuté

X

Pokročilá konfigurace
  • Vlastní možnosti: Přidejte následující:

tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
trvalý klíč;
persist-tun;
reneg-sec 0;
server remote-cert-tls;
sem;

  • UDP Fast I / O: Nechte nezaškrtnuté
  • Odeslat / přijmout vyrovnávací paměť: Výchozí
  • Úroveň výřečnosti: 3 (doporučeno)

X

  1. Ulož to.
  2. Jít do Stav -> OpenVPN

Pokud bylo vše provedeno správně pro nastavení pfSense VPN, měli byste nyní vidět Klienta a postavení je nahoru.X

Krok 3: Konfigurace rozhraní OpenVPN

Nastavení pfSense VPN bylo úspěšně provedeno a v tomto okamžiku již funguje, ale zatím přes něj nebude směrovat žádný provoz. Pro směrování celé sítě zabezpečeným tunelem ProtonVPN je třeba nejprve nastavit pravidla rozhraní a brány Firewall..

  1. Navigovat do Rozhraní -> Úlohy
  2. Přidejte klienta OpenVPN jako rozhraní. V našem případě to tak je ProtonVPN IS-03 UDP tak jako ovpnc1.
  3. Stiskněte tlačítko OPT1 vlevo od rozhraní

X

  1. Vyplňte pole následovně:
  • Umožnit: Šek
  • Popis: Název rozhraní (pouze alfanumerické). Budeme používat ProtonVPNIS03UDP.
  • Typ konfigurace IPv4: DHCP
  • Blokovat bogonové sítě: Šek
  • Zbytek nechte beze změny

  1. Uložte jej a použijte změny.

Krok 4: Nastavení pravidel brány firewall

S pravidly Firewallu řekneme pfSense, aby vše nasměroval přes rozhraní ProtonVPN (a tím prostřednictvím zabezpečeného připojení), které jsme nastavili ve třetím kroku.

  1. Jít do Firewall -> NAT -> Odchozí
  2. Změňte režim na Ruční generování pravidel pro odchozí NAT, pak uložte a použijte změny.
  3. Nyní byste měli vidět 4 pravidla pod Mapování.
  4. Nechte pravidla s 127,0,0,0/8 jako zdroj nezměněný a zbývající dva upravte kliknutím na tužku.

X

  1. Změňte rozhraní na ProtonVPN rozhraní vytvořené ve třetím kroku pro obě pravidla. V našem případě ProtonVPNIS03UDP. Poté uložte a použijte změny.

X

  1. Nyní by to mělo vypadat takto:

X

  1. Jít do Firewall -> Pravidla -> LAN
  2. Měli byste vidět 3 pravidla. Zakažte pravidlo IPv6 kliknutím na zaškrtávací políčko. Upravte pravidlo IPv4 kliknutím na tužku.

X

  1. Přejděte dolů a stiskněte Zobrazit pokročilé
  2. Změňte bránu na dříve vytvořenou. V našem případě se tomu říká ProtonVPNIS03UDP_DHCP

X

  1. Uložit a použít změny.
  2. Jít do Stav -> OpenVPN a restartujte klienta.

X

Krok 5: Vložte správné servery DNS pro nastavení VPN VPN pfSense

Nyní bude provoz celé sítě za firewallem pfSense již směrován přes ProtonVPN. Žádosti o DNS však nejsou. Abychom to napravili, změníme nastavení DNS.

  1. Jít do Systém -> Obecné nastavení
  2. Přejděte dolů na Nastavení serveru DNS
  3. Vyplňte server DNS. Pokud jste ve druhém kroku zvolili TCP, použijte 10.7.7.1. Pokud jste zvolili UDP, použijte 10.8.8.1. Pokud používáte bezplatný server nebo server s číslem vyšším než 100, musí být server DNS 10.8.1.0.
  4. Nechte bránu zapnutou žádný
  5. Šek Zakázat službu DNS Forwarder

X

  1. Přejděte dolů a uložte.
  2. Jít do Služby -> DNS Resolver
  3. Šek Předávání dotazů DNS
  4. Uložit a použít změny

Dokončeno!

Pokud bylo nastavení VPN pro pfSense provedeno správně, celá síť by nyní měla být zabezpečena servery ProtonVPN. Jakékoli zařízení v síti by nyní mělo během testu Ipleak vykazovat podobné výsledky jako následující, podle serveru, ke kterému jste připojeni:

X

Vaše IP ani DNS by neměly unikat pro celou síť.

Volitelná vylepšení

Pokud chcete dokončit nastavení VPN VPN pfSense a vyloučit některé počítače z VPN (například Playstation pro hraní her), můžete to udělat také:

  1. Jít do Firewall -> Pravidla -> LAN
  2. Na začátek seznamu přidejte nové pravidlo

X

  1. Vyplňte pole následovně:
  • Akce: Složit
  • Zakázáno: Nezaškrtnuto
  • Rozhraní: LAN
  • Adresa rodiny: IPv4
  • Protokol: Žádný
  • Zdroj: Single Host nebo Alias ​​a přidejte IP zařízení, které chcete vyloučit
  • Destinace: Žádný
  • Protokol: Beze změny
  • Popis: Přidat popis
  • Klikněte na Zobrazit pokročilé
  • Změňte bránu na WAN XX
  1. Uložit a použít změny.

X

  1. Jít do Firewall -> NAT -> Odchozí
  2. Přepínač Režim do Automaticky, uložit a použít změny, pak přepnout zpět na Ruční, uložit a znovu použít změny.
  3. To mělo vytvořit dvě další pravidla, která nyní umožňují vyloučenému zařízení přístup do sítě WAN.

Nyní bude toto zařízení vyloučeno a bude viditelné pod IP adresou vašeho ISP. Bude však stále používat server DNS VPN.

Průvodce je vytvořen členem naší komunity Rafficer.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me