Pfsense – Свържете се с VPN PIA

Contents

Не забравяйте да се абонирате по -долу, за да получите уведомяване незабавно за следващата тема и както винаги не забравяйте да ме уведомите дали имате някакви искания за теми.

Настройте PIA VPN с Pfsense 2.4.5

Настройте PIA VPN с PfSense 2.4.5

Много от нас използват VPN по един или друг начин в наши дни, те са наблюдавали нарастване на популярността през последното десетилетие или така с много хора, които се стремят да ги използват като средство за заобикаляне на ограниченията на съдържанието с Netflix или други стрийминг услуги, като начин за свързване с дома или работа за достъп до документи в движение или просто да запазим колкото се може повече от поверителността си онлайн.

Като част от последните пандемични мерки тук във Великобритания, наскоро ми беше възложено да проектирам решение за нашето предприятие за мащабиране на настоящото ни VPN решение, което ще вижда около 100-150 потребители ежедневно, за да може да се справи едновременно с 1000+ потребители в едновременно в Само няколко часа. Почти 3 месеца по -късно това решение все още се представя изключително добре всеки ден. Но тук получаваме малко тема..

След като бях потребител на PFSense вече близо 8 години и частен потребител на достъп до интернет (PIA) за излизане до 4 години, реших, че има смисъл да документирам как да настроите PIA VPN с PFSense като постоянна VPN връзка, тогава ние ще покрие как да маршрутизирате определени устройства през PIA, докато оставяме целия друг трафик недокоснат.

Това ръководство използва pfsense 2.4.5-освобождаване, което е настоящата версия към момента на писане. Всичко е приложимо за повечето По -стари версии, въпреки че вашият интерфейс може да изглежда малко по -различно в зависимост от вашата версия.

Ръководство

Има няколко различни настройки, които можете да използвате по отношение на сигурността, това, което се счита за „слаб“ „препоръчан/среден“ и „силен“ – ще дам препоръки за средни и силни профили, тъй като виждам това като приемливи. Ако производителността не зависи от това, което очаквахте, можете да опитате да използвате слабия профил, но бих препоръчал да отидете със средни настройки, ако е възможно. Имайки това предвид, препоръчителните и силни настройки варират малко в избора на пристанище и сертификати:

  • Препоръчва се: UDP порт 1198 С AES-128 за криптиране
  • Силен: UDP порт 1197 С AES-256 за криптиране

За да ви дам някаква справка, APU2, който прегледах тук, е способен на 100Mbps през VPN, използвайки препоръчителната сигурност, която виждаме тук, но не може да се доближи до 300Mbps, връзката ми е в състояние да може. Може би време за надграждане..

Инсталиране на сертификат

Първо трябва да инсталираме PIA CA сертификатите в PfSense, за да можем да ги използваме в рамките на VPN конфигурацията.

Първо изтеглете правилния сертификат тук:

След като бъде изтеглен, отворете файла в Notepad/Notepad ++ и подчертайте всичко във файла и копирайте в клипборда:

Орган за сертификат на PIA

След това се насочете към Система> Мениджър на сертификати и се уверете, че сте на CAS раздел. Щракнете Добавяне За създаване на нов орган за сертификат. Дайте описателно име и променете метода на “Импортирайте съществуващ орган за сертификат“. След това в Данни за сертификат Поле, поставете данните от сертификата, които сте копирали:

Орган за сертификат за внос на PfSense

Накрая удари Запазете За да създадете този CA. Ако всичко е работило, сега ще имате нов CA, изброен в таблицата и колоната „Отличително име“ (DN) ще има предварително опушена информация:

Орган за сертификат на PFSense с PIA

OpenVPN настройка

Трябва да решим към кое местоположение на сървъра искаме да се свържем, PIA в момента има 3300 сървъра на 68 места в 47 държави, така че доста широк обхват.

Насочете се към тази връзка тук.

След това изберете сървъра, който искате да използвате, можете да повторите това за толкова сървъри, колкото искате да използвате, може да искате такъв във Великобритания и един в САЩ. Изберете местоположение, след което копирайте адреса, който искате да използвате. Например, щракването върху Обединеното кралство разкрива 3 VPN сървъра, изберете адреса на този, който искате да използвате, аз използвам лондонския в този пример:

Копирайте този адрес. Използвам Великобритания-Лондън.privateInternetAccess.com За този пример.

Насочете се към VPN> Клиенти> Добавяне За да добавите нов VPN клиент.

Много от настройките могат да бъдат оставени по подразбиране, ако не ги спомена, тогава те са настройките на запасите, така че вижте изображенията за това, което трябва да бъдат.

Главна информация

В секцията за обща информация променете следните стойности:

  • Хост или адрес на сървъра или адрес: Великобритания-Лондън.privateInternetAccess.com (или което и да е място, което сте копирали по -горе.
  • Сървър порт: 1198 или 1197 в зависимост от това кое ниво на сигурност искате.
  • Описание: Частен интернет достъп до Лондон VPN

Трябва да имате нещо, което изглежда така:

Удостоверяване на потребителя

В секцията за настройки за удостоверяване на потребителя въведете вашето потребителско име и парола за PIA. Можете да намерите вашето потребителско име в акаунта си на уебсайта на PIA, обикновено започва с буквата „P“, последвана от числа.

Аз лично бих оставил автентификацията да повторно проверка, което автоматично ще се свърже отново, ако връзката е отпаднала. Ако имате проблеми с това, можете да отбележите полето, за да го деактивирате.

Криптографски настройки

В раздела за криптографски настройки не забравяйте да промените следните настройки:

  • TLS конфигурация – Премахнете отметката
  • Орган за сертификат за връстници –PIA-2048-CA (описателното име, което сте дали на CA по-рано)
  • Алгоритъм за криптиране –AES-128-CBC
  • Активиране на NCP – Премахнете отметката
  • Алгоритъм на Auth Digest -SHA1 (160-битов) за средна сигурност, SHA256 (256-битов) за силна сигурност.
  • Хардуерна криптовалута -Ако имате достъпно ускорение на AES-NI, изберете това от списъка или оставете зададено на „Без хардуерно крипто ускорение“ първоначално и се върнете и променете след това, за да настроите производителността.

Трябва да имате нещо, което изглежда като следното:

PfSense Crpytographic Settings

Настройки на тунела

В този раздел има само няколко настройки, които са: те са:

  • Топология –Net30
  • Не дърпайте маршрути – Ако искате всички устройства във вашата мрежа да преминат през VPN, оставете това безпроблемно. Ако искате да контролирате избирателно кои устройства преминават през VPN и кои не, поставете отметка в това поле.

Това е всичко, което трябва да променим за тази конкретна настройка, трябва да изглежда така:

Настройки на клиентския тунел на PFSense VPN

Разширена конфигурация

И накрая, в усъвършенстваната конфигурация въведете следните стойности:

Дистанционно-cert-TLS сървър за персистиране на персистирания reneg-sec 0

След това задайте следното:

  • UDP бърз I/O –Проверете това, за да подобрите производителността, можете да се върнете и да го премахнете по -късно, ако имате проблеми.
  • Изпращане/получаване на буфер – Можете да играете наоколо с тази настройка, но винаги съм намирал 512 KIB настройка за доста добра. Направете тези настройки по -късно, за да видите какво ви дава по -добра скорост.
  • Създаване на шлюз – IPv4

С окончателните настройки изглеждат така:

Накрая удари Запазете!

Състоянието на проверка

Вече можем да проверим дали VPN връзката е установена, насочете се към Статус> OpenVPN и под Статистика на клиентския екземпляр Раздел трябва да видите VPN връзката, която току -що направихме. Погледнете в полето Статус и потвърдете, че състоянието е „нагоре“:

Така че се насочете към Google и въведете „Какво е моят IP“ и ще видите, че вашият IP адрес се е променил на адреса на PIA? Грешно.

Не сме променили нито едно от маршрутите в рамките на pfsense, така че все още не знае да изпраща трафика през VPN, а не WAN. Нека променим това.

Създаване на интерфейси

Не се изисква, но предпочитам да създам интерфейс за новосъздадения VPN.

Отидете на Интерфейси> Задания. Оттам ще имате списък на всички задачи за интерфейс, които имате в системата си, не се притеснявайте, ако нямате толкова много, колкото мен, вероятно просто имате Уан и Лан. В Налични мрежови портове Спуснете се, изберете опцията PIA VPN от списъка, след това натиснете Добавяне:

Ще бъде създаден нов интерфейс, наречен OPTх, Продължете напред и кликнете върху това, за да го редактирате. От страницата за редактиране, Проверете полето за активиране и променете Описание на нещо по -подходящо. Натиснете Запазване, след това натиснете Приложете промени:

PFSense Редактиране на VPN интерфейс

Оттук отидете на Статус> шлюзове. Забележете как пише Gateway Down за PIA Gateway? Не е нужно да коригираме това на думата, но трябва да запазим нещата, които се маркират като надолу в дневниците:

Pfsense PIA VPN шлюз надолу

Отидете на Система> Маршрутизиране и редактирайте автоматично създадения PIA шлюз. В Монитор IP, Въведете IP, който да използвате като алтернатива, аз използвам 8.8.4.4 тук:

PFSense Gateway Редактиране на мониторинг IP

Сега се върнете към Статус> шлюзове И потвърдете, че PIA Gateway е онлайн:

Pfsense Monitoring Gateway онлайн

Създаване на псевдоними

Псевдоним ни позволява да дефинираме групи от IP или мрежи заедно, за да можем да използваме един псевдоним за бързото споменаване на всички мрежи, които искаме да използваме, вместо да ги въвеждаме всеки път.

Насочете се към Защитна стена> псевдоними и натиснете Add. Забележка В горната част имате различни видове псевдоними – IP, портове и URL адреси. Засега просто използваме IP псевдоним.

Назовете това PIA_TRAFFIC, Дайте му описание и изберете Мрежи като типа. Въведете всички подмрежи/мрежи, които искате да отидете през PIA. Можете да въведете отделни IP адреси, като използвате маската /32, която ще ви покажа сега:

Можете да добавите колкото искате, аз просто добавям такъв за този пример, което прави някакво побеждаване на целта, но все пак бих го посъветвал, тъй като ви позволява бързо да добавите повече в бъдеще.

Натиснете Save и след това приложете промени.

Изходящи Nats

Превод на мрежов адрес или NAT е процесът на пренареждане на IP адрес, тъй като пакетите са в транзит. Най -често срещаният тип това вероятно се случва, без да осъзнавате – когато имате достъп до интернет от вашия компютър/лаптоп/телефон, всички тези устройства са изложени като един единствен публичен IP адрес.

Както и да е, ние трябва да създадем изходящ NAT, за да изпращаме трафик чрез PIA VPN. Отидете на Защитна стена> nat> изходящи и променете изходящия NAT режим от Автоматично до хибрид. Можете да използвате ръководство, ако желаете, но аз предпочитам хибрид за скорост.

Ще забележите, че сега имате раздел за картографиране (който е празен) и раздел за автоматични правила, който ще има всички автоматично генерирани правила за адресите на WAN. Продължете напред и щракнете върху Добавяне, за да добавите ново картографиране.

Задайте следното:

  • Интерфейс –Уверете се да изберете интерфейса PIA, който създадохме по -рано.
  • Адрес на семейството – IPv4+IPv6
  • Протокол– всеки
  • Източник – Изберете мрежа като тип, след това въведете PIA в полето за източник и псевдоним, който създадохме по -рано, ще се покаже. Щракнете, за да го изберете.
  • Дестинация –всеки
  • Описание – Пиа Нат

Правилото ще изглежда така:

pfsense pia изходящ nat

След това създайте друг със същите настройки, с изключение на този път ние зададем порт за местоназначение като този:

pfsense pia outband nat

Обърнете внимание как се проверява и статичната кутия.

Уверете се, че правилата изглеждат така на изходящата страница на NAT:

pfsense pia изходящ nat

Продължете напред и натиснете Приложете промени.

Правила на защитната стена

Почти стигнахме! Това е последната стъпка. Отидете на Защитна стена> Правила и изберете интерфейса (ите), на който се намира вашата мрежа (вероятно LAN, ако не сте сигурни). Тук трябва да създадем 2 правила, което позволява трафик от псевдонимите на PIA_TRAFFIC до PIA шлюза, а друг точно под него, който го отрича за всички останали трафик. Това означава, че ако загубите връзка с VPN, трафикът няма да започне да тече през обикновения WAN интерфейс.

Натиснете Add и създайте правило така:

Преди да запазите, щракнете Дисплей е разширен и в Шлюз Кутия Задайте PIA Gateway:

Натиснете Save, след това създайте второ правило като това:

Няма нужда да задавате шлюза този път:

Правило за защитна стена на PfSense PIA

Натиснете Save. Уверете се правила. Трябва да изглежда нещо подобно:

Преглед на правилото за защитна стена на pfsense pia

Уверете се, че ударите прилагайте промени, след като сте щастливи.

И това е всичко, което ще се радвате да знаете!

Тестване

Продължете напред и го дайте, като отидете в Google и въведете какво е моят IP – той трябва да бъде един от PIA, а не на вашия нормален.

Също така бих препоръчал да проведете тест за скорост и да се уверите, че получавате правилните скорости, които обикновено очаквате. След това можете да ощипвате с някои от настройките на VPN, ако е необходимо.

Допълнителни стъпки

Няколко неща, които трябва да вземете предвид, са гарантирани, че използвате PIA DNS сървърите, ако маршрутизирате целия трафик чрез VPN или ако го правите на база на устройство, помислете за настройка на DNS сървърите на PIA на тези устройства. Уверете се, че използвате DNS над TLS, за да сте сигурни, че получавате DNS защита на течовете.

Освен това може да искате да повторите стъпките по -горе, за да създадете различни VPN, за да можете да имате достъп до различни страни, ако така го изисквате.

Окончателни думи

Надявам се, че сте успели да накарате всичко да работи, създайте PIA VPN с PfSense, независимо дали става въпрос за получаване на допълнителни предавания чрез Netflix, заобикаляйки ограниченията на ISP или просто увеличаване на вашата поверителност онлайн.

Не забравяйте да се абонирате по -долу, за да получите уведомяване незабавно за следващата тема и както винаги не забравяйте да ме уведомите дали имате някакви искания за теми.

Регистрирайте се за повече подобни.

Въведете имейла си

Най -добрите сделки за Smart Home Prime Day 2023!

Най -добрите сделки за интелигентен дом за първи път 2023!

Amazon Prime Day 2023 е тук на 11 и 12 юли 2023 г! Това са всички най -добрите сделки за умни дома, които намерих за вас днес!

Люис Барклай 11 юли, 2023 г. • 1 мин

Всичко ново в домашния асистент 2023.5!

Всичко ново в домашния асистент 2023 г.5!

Надстройте вашата интелигентна домашна игра с най -новите функции на Home Assistant! Помощни тръбопроводи, умни високоговорители, VoIP и други!

Люис Барклай 8 май 2023 г. • 4 мин

Кралят на видео звънеца - Рецензия на Video Gover Reolink

Кралят на видео звънеца – Рецензия на Video Gover Reolink

Видео звънеца Reolink се отличава с добро качество на изображението, откриване на човек, POE, зони за движение, RTSP, интеграция на домашен помощник и други!

Pfsense – Свържете се с VPN PIA

Този урок Използване: https: // www.privateInternetAccess.com като VPN, но операцията ще бъде най -вече същата с друг доставчик.
Ще обясня как да свържете вашия pfsense с PIA VPN и ще избера с кое устройство искате да „защитите“.

В този урок ще използвам препоръчан шифринг, за балансиране на използването на процесора / сигурността.

Планът

Ето настройката без vpn, нормален pfsense, позволете устройства от LAN и DMZ да отидат на WAN.

Pfsense-Avant

Искаме: Втори pfsense, посветен на постоянна VPN връзка.
The Pfsense на върха е шлюз по подразбиране от всички устройства / сървър, Nammed Pfsense.PLA01.lbdg.Лан. Ще го използваме, за да насочим някои сървъри / устройства във VPN.
The Pfsense в дъното ще бъде VPN, той използва DMZ интерфейса, за да има интернет връзка.

Pfsense-vpn-1-

Информация

Име на хост LAN IP адрес Тема Описание
Pfsense.PLA01.lbdg.Лан 10.0.0.1 Нормално шлюз по подразбиране на всички мои устройства (в горната част на схемата)
Pfsense-Vpn-Tuto.PLA01.lbdg.Лан 10.0.0.5 червен PfSense, посветен на VPN (на дъното на схемата)

Цветна тема

Използвам различна тема PfSense, помага да се види разликата между двата pfsense

Орган за сертификат за внос

Първо, трябва да изтеглите и импортирате PIA CA на вашия pfsense (И така, целият сертификат от подписан от този CA ще бъде приет).

Тук можете да намерите CA: https: // www.privateInternetAccess.com/openvpn/ca.RSA.2048.CRT (Щракнете с десния бутон, запазете целта като)

Сега трябва да отворите CA.RSA.2048.Crt Файл с текстов редактор и копирайте съдържанието в клипборда.

4-1

На Pfsense-Vpn-Tuto, отидете на: System => cert. мениджър

4-2
4-3
В данни за сертификат поставете съдържание на файлове на CA
4-4

Изберете сървъра, който искате

PIA ви дайте избора на много сървър, ето страницата за избор: https: // www.privateInternetAccess.com/страници/мрежа/

Първо, исках да използвам сървър от нас, затова го тествах някои:

5-1-1
Случаен сървър, в Калифорния
5-2
Изпълнете теста
5-3
И . Резултатът е доста лош (ping = ужасно)
5-4

Направих някои други тестове и най -накрая намерих добрия:

5-5

VPN сървърът е: Великобритания-Лондън.privateInternetAccess.com (запомни това)

Свържете се с VPN

В конфигурацията на VPN превъртете до OpenVPN => клиент, добавете нов клиент
6-1-1
6-2
Трябва да попълните:

  • Сървърът на HostName, извлечен от тестовете (Великобритания-Лондон.privateInternetAccess.com)
  • The Порт 1198
  • Вашето потребителско име и парола от PIA

6-3
PIA не използвайте TLS ключ, И така, премахнете отметка.
Те ще използват AES-128-CBC (което е доста добро) и NCP С Алго: AES-128-CBC & AES-256-CBC. Auth Digest трябва да бъде sha1.
За хардуерна криптовалута ще зависи от вашия хардуер, но използвайте BSD Cryptodev Engine, ако може
6-4

Оставете Настройки на тунела по подразбиране

В Адюсирана конфигурация
Добавете следните параметри към Персонализирани опции :

persist-key persist-tun дистанционно-cert-tls сървър reneg-sec 0 

Употреба Бърз I/O И Променете размера на буфера, Перфектният баланс за мен е 1 MB.

6-5
И натиснете бутона за запазване.
6-6

Сега трябва да Проверете дали VPN е монтиран. Кликнете върху Статус, Превъртете до Openvpn :

7-1

Ако статутът остане надолу Това е проблем с конфигурацията / отваряне на порта чрез WAN.

7-2
В противен случай The_greatest_showman_tada7-3
VPN вече работи и работи !

Достъп до VPN

Ние сме сега Свързан с нов „шлюз“. Така че трябва да конфигурираме Nat, да Разрешаване на устройство на NAT На този „шлюз“.

8-1
8-2
8-3
8-4
Променете интерфейса WAN, чрез OpenVPN интерфейс, и променете описанието.
8-5

Сега, нашите устройства биха могли да се настъпят на OpenVPN “Gateway”.

Маршрут до VPN от шлюза по подразбиране

Сега трябва да работим върху нашия шлюз по подразбиране, който е Pfsense.PLA01.lbdg.Лан. Ние трябва да Декларирайте новия шлюз Pfsense-VPN-TUTO (10.0.0.5) За LAN.

9-1-1
LiveBox_DMZ е моята интернет връзка (ISP не осигурява мостов режим)
9-2-1
Създайте портата на LAN
9-3-1
Сега бихме могли да използваме този шлюз по правила, какво ще правим.
9-4-1

Правила, да се насочат през VPN

Защото искаме Изберете кое устройство ще премине през VPN, Ще създадем специфични правила за това :
10-1-1
Създавам Ново просто правило, IPv4, всички протоколи (ще зависи от това, което искате), като източник, устройството Искате да преминете през VPN (10.0.0.52 е моят лаптот) и дестинация (всеки)
10-2-1
На варианта за разширено, потърсете Тип състоянието и изберете нито един
10-3-1
По -ниско, променете шлюз към pfsense_vpn_tuto
10-4-1
Окончателно правило:
10-5-1

Сега, ако правилото съвпада, връзката ще бъде насочена към 10.0.0.5 и Nated към VPN

Резултати

Предишният ми IP адрес в интернет
11-2
Сега, с VPN и правилата:
11-3

Благодаря за четенето, ако имате някакъв въпрос, не се колебайте да реагирате на тази нишка Reddit: Reddit Thread

Бонус

Моят pfsensen, посветен на VPN, е виртуализиран. Единствените неща, които трябва да се уверите, са:

  • Използвайте Virtio като интерфейс
  • Деактивирайте хардуерното разтоварване.

1
2

Винсент С

Винсент c.

Прочетете още публикации от този автор.