تأكد من الاشتراك أدناه للحصول على إخطار على الفور بالموضوع التالي ، وكما هو الحال دائمًا ، تأكد من إخباري إذا كان لديك أي طلبات للموضوعات.
إعداد PIA VPN مع PFSense 2.4.5
يستخدم الكثير منا VPN بطريقة أو بأخرى هذه الأيام ، لقد رأوا زيادة في شعبيتها على مدار العقد الماضي أو نحو ذلك مع العديد من الأشخاص الذين يسعون إلى استخدامها كوسيلة لتجاوز قيود المحتوى مع Netflix أو خدمات البث الأخرى ، كطريقة من الاتصال بالمنزل أو العمل للوصول إلى المستندات أثناء التنقل ، أو للاحتفاظ بأكبر قدر ممكن من خصوصيتنا عبر الإنترنت.
كجزء من تدابير الوباء الحديثة هنا في المملكة المتحدة ، تم تكليفي مؤخرًا بتصميم حل لمؤسستنا لتوسيع نطاق حل VPN الحالي ، والذي سيشهد حوالي 100-150 مستخدمًا يوميًا ، لأتمكن من التعامل مع 1000+ مستخدم في وقت واحد في وقت واحد في وقت واحد فقط بضع ساعات. بعد حوالي 3 أشهر ، لا يزال هذا الحل أداءً جيدًا كل يوم بشكل استثنائي. لكننا نحصل على القليل من الموضوع هنا..
بعد أن كنت مستخدمًا لـ PFSense منذ ما يقرب من 8 سنوات ومستخدم خاص للوصول إلى الإنترنت (PIA) ليصبح ما يصل إلى 4 سنوات ، قررت أنه من المنطقي توثيق كيفية إعداد VPN PIA مع PFSense كاتصال دائم VPN سوف يغطي كيفية توجيه أجهزة معينة من خلال بيا مع ترك جميع حركة المرور الأخرى دون مساس.
يستخدم هذا الدليل PFSense 2.4.5-RELEASE وهو الإصدار الحالي اعتبارًا من وقت الكتابة. كل شيء ينطبق على معظم الإصدارات القديمة على الرغم من أن واجهتك قد تبدو مختلفة بعض الشيء اعتمادًا على نسختك.
مرشد
هناك بعض الإعدادات المختلفة التي يمكنك استخدامها فيما يتعلق بالأمان ، ما يعتبر “ضعيف” “موصى به/متوسط” و “قوي” – سأقدم توصيات للملفات الشخصية المتوسطة والقوية لأنني أرى أنها مقبولة. إذا لم يكن الأداء متروكًا تمامًا لما كنت تتوقعه ، فيمكنك محاولة استخدام ملف التعريف الضعيف ولكن أوصي بالذهاب مع الإعدادات المتوسطة إذا كان ذلك ممكنًا. مع وضع ذلك في الاعتبار ، تختلف الإعدادات الموصى بها والقوية قليلاً في اختيار المنفذ وشهاداتها:
موصى به: منفذ UDP 1198 مع AES-128 للتشفير
قوي: منفذ UDP 1197 مع AES-256 للتشفير
لإعطائك بعض المرجع ، يكون APU2 الذي قمت بمراجعته هنا قادرًا على 100 ميغابت في الثانية على VPN باستخدام الأمان الموصى به الذي نراه هنا ، لكن لا يمكن الاقتراب من 300 ميجابت في الثانية في رابطتي. ربما حان الوقت للترقية..
تثبيت الشهادة
أولاً ، نحتاج إلى تثبيت شهادات PIA CA في PFSense حتى نتمكن من استخدامها ضمن تكوين VPN.
قم أولاً بتنزيل الشهادة الصحيحة هنا:
بمجرد التنزيل ، افتح الملف في Notepad/Notepad ++ وقم بتمييز كل شيء داخل الملف ونسخه إلى الحافظة:
بعد ذلك ، توجه إلى النظام> مدير الشهادات وتأكد من أنك على كاس فاتورة غير مدفوعة. انقر يضيف لإنشاء سلطة شهادة جديدة. إعطاء اسم وصفي وقم بتغيير الطريقة إلى “استيراد سلطة شهادة موجودة“. ثم في بيانات الشهادة مربع ، الصق بيانات الشهادة التي نسختها:
ضرب أخيرا يحفظ لإنشاء تلك كاليفورنيا. إذا نجح كل شيء ، سيكون لديك الآن CA جديد مدرج في الجدول وسيحتوي عمود “الاسم المتميز” (DN) على معلومات محددة مسبقًا:
OpenVPN إعداد
نحتاج إلى تحديد موقع الخادم الذي نريد الاتصال به ، ويحتوي PIA حاليًا على 3300 خادم في 68 موقعًا في 47 دولة ، وبالتالي مجموعة واسعة.
توجه إلى هذا الرابط هنا.
ثم حدد الخادم الذي تريد استخدامه ، يمكنك تكرار ذلك للعديد من الخوادم التي تريد استخدامها ، قد ترغب في ذلك في المملكة المتحدة وواحد في الولايات المتحدة. حدد موقعًا ، ثم انسخ العنوان الذي تريد استخدامه. على سبيل المثال ، النقر على المملكة المتحدة يكشف عن 3 خوادم VPN ، حدد عنوان العنوان الذي تريد استخدامه ، وأنا أستخدم One One في هذا المثال:
انسخ هذا العنوان. انا استخدمالمملكة المتحدة-ليندون.PrivateInternetAccess.كوم لهذا المثال.
رئيس لأكثر من VPN> العملاء> إضافة لإضافة عميل VPN جديد.
يمكن ترك العديد من الإعدادات بشكل افتراضي ، إذا لم أذكرها ، فهي إعدادات الأسهم ، لذا راجع الصور لما ينبغي أن تكون عليه.
معلومات عامة
في قسم المعلومات العامة ، قم بتغيير القيم التالية:
مضيف أو عنوان الخادم: المملكة المتحدة-ليندون.PrivateInternetAccess.كوم (أو أي مكان قمت بنسخه أعلاه.
منفذ الخادم: 1198 أو 1197 اعتمادًا على مستوى الأمان الذي تريده.
الوصف: الإنترنت الخاص الوصول إلى لندن VPN
يجب أن يكون لديك شيء يبدو مثل هذا:
مصادقة المستخدم
في قسم إعدادات مصادقة المستخدم ، أدخل اسم مستخدم PIA وكلمة المرور الخاصة بك. يمكنك العثور على اسم المستخدم الخاص بك في حسابك على موقع PIA ، وعادة ما يبدأ بالحرف “P” متبوعًا بأرقام.
أود شخصيا أن أترك محاكاة المصادقة دون رادع والتي ستعيد الاتصال تلقائيًا إذا تم إسقاط الاتصال. إذا كانت لديك مشكلات مع هذا ، فيمكنك وضع علامة على المربع لتعطيله.
إعدادات التشفير
ضمن قسم إعدادات التشفير ، تأكد من تغيير الإعدادات التالية:
تكوين TLS – فك
سلطة شهادة الأقران –PIA-2048-CA (الاسم الوصفي الذي أعطيته CA في وقت سابق)
تشفير الأجهزة -إذا كان لديك تسارع AES-NI متاحًا ، فحدد ذلك من القائمة ، أو ترك مجموعة “لا توجد أجهزة تسارع”.
يجب أن يكون لديك شيء يشبه ما يلي:
إعدادات النفق
لا يوجد سوى عدد قليل من الإعدادات التي يجب تغييرها في هذا القسم وهي:
البنية –صافي 30
لا تسحب الطرق – إذا كنت تريد أن تمر جميع الأجهزة على شبكتك من خلال VPN ، اترك هذا دون رادع. إذا كنت ترغب في التحكم بشكل انتقائي للأجهزة التي تمر عبر VPN وأيها لا ، حدد هذا المربع.
هذا كل ما نحتاج إلى تغييره لهذا الإعداد بالذات ، يجب أن يبدو هكذا:
التكوين المتقدم
أخيرًا ، في التكوين المتقدم ، أدخل القيم التالية:
خادم CERT-TLS عن بُعد مستمر-رنيج-سي
ثم اضبط ما يلي:
UDP Fast I/O –تحقق من ذلك لتحسين الأداء ، يمكنك العودة وإلغاء تحديده لاحقًا إذا كان لديك مشكلات.
إرسال/استلام المخزن المؤقت – يمكنك اللعب مع هذا الإعداد ، لكنني وجدت دائمًا أن إعداد 512 KIB جيدًا. قم بتعديل هذه الإعدادات لاحقًا لمعرفة ما يمنحك سرعة أفضل.
خلق بوابة – IPv4
مع الإعدادات النهائية تبدو هكذا:
ضرب أخيرا يحفظ!
التحقق من الحالة
يمكننا الآن التحقق من أنه تم إنشاء اتصال VPN ، توجه إلى الحالة> OpenVPN وتحت إحصائيات مثيل العميل القسم يجب أن ترى اتصال VPN الذي قمنا به للتو. انظر في مربع الحالة وتأكد من أن الحالة “UP”:
لذا ، توجه إلى Google واكتب “ما هو IP الخاص بي” وسوف ترى عنوان IP الخاص بك قد تغير إلى عنوان PIA بشكل صحيح? خطأ.
لم نقم بتغيير أي من التوجيه داخل PFSense ، لذلك لا يعرف بعد إرسال حركة المرور عبر VPN بدلاً من WAN. دعونا نغير ذلك.
إنشاء واجهات
ليس مطلوبًا ولكني أفضل إنشاء واجهة لـ VPN التي تم إنشاؤها حديثًا.
اذهب إلى واجهات> الواجبات.من هناك ، سيكون لديك قائمة بجميع واجبات الواجهة التي لديك على نظامك ، لا تقلق إذا لم يكن لديك الكثير من أعمالي ، فمن المحتمل أن يكون لديك فقط شبكه عالميه و LAN. في ال منافذ الشبكة المتاحة المنسدلة ، حدد خيار PIA VPN من القائمة ، ثم اضغط على إضافة:
سيتم إنشاء واجهة جديدة تسمى OPTx, المضي قدما وانقر على هذا لتحريره. من صفحة التحرير, حدد مربع تمكين وتغيير وصف لشيء أكثر ملاءمة. اضغط على حفظ ثم اضغط على تطبيق التغييرات:
من هنا ، انتقل إلى الحالة> بوابات.لاحظ كيف تقول بوابة بوابة بيا? لا نحتاج إلى تصحيح هذا لكل قول ، لكن يجب أن ننقذ الأشياء التي تضع علامة لأعلى في السجلات:
اذهب إلى النظام> التوجيه وتعديل بوابة PIA التي تم إنشاؤها تلقائيًا. في ال مراقبة IP, أدخل عنوان IP لاستخدامه كبديل ، أنا أستخدم 8.8.4.4 هنا:
الآن عد إلى الحالة> بوابات وتأكيد بوابة PIA على الإنترنت:
إنشاء الأسماء المستعارة
يتيح لنا الاسم المستعار تحديد مجموعات من شبكات IP أو الشبكات معًا حتى نتمكن من استخدام الاسم المستعار واحد للرجوع بسرعة من جميع الشبكات التي نريد استخدامها بدلاً من كتابتها في كل مرة.
رئيس ل جدار الحماية> المستعار وضغط إضافة. ملاحظة في الجزء العلوي ، لديك أنواع مختلفة من الاسم المستعار – IP ، المنافذ وعناوين URL. نحن فقط نستخدم الأسماء المستعارة IP في الوقت الحالي.
اسم هذا pia_traffic, امنحه وصفًا واختر الشبكات كنوع. أدخل جميع الشبكات الفرعية/الشبكات التي تريد الذهاب إليها عبر PIA. يمكنك إدخال عناوين IP الفردية باستخدام قناع /32 ، والذي سأريكه الآن:
يمكنك إضافة أكبر عدد ممكن.
اضغط على حفظ ثم تطبيق التغييرات.
ناتس خارج
ترجمة عنوان الشبكة أو NAT هي عملية إعادة عنوان عنوان IP لأن الحزم قيد العبور. ربما يحدث النوع الأكثر شيوعًا من هذا دون إدراكك – عند الوصول إلى الإنترنت من جهاز الكمبيوتر/الكمبيوتر المحمول/الهاتف ، يتم عرض جميع هذه الأجهزة كعنوان IP عام واحد.
على أي حال ، نحن بحاجة إلى إنشاء NAT صادرة من أجل إرسال حركة المرور عبر PIA VPN. اذهب إلى جدار الحماية> نات> خارج وتغيير وضع NAT الصادر من تلقائي إلى الهجين. يمكنك استخدام يدوي إذا كنت ترغب في ذلك ، لكني أفضل الهجين للسرعة.
ستلاحظ أن لديك الآن قسم تعيينات (وهو فارغ) وقسم القواعد التلقائي الذي سيكون له جميع القواعد التي يتم إنشاؤها تلقائيًا لعناوين WAN. المضي قدما وانقر فوق إضافة لإضافة تعيين جديد.
اضبط ما يلي:
واجهه المستخدم –تأكد من تحديد واجهة PIA التي أنشأناها في وقت سابق.
معالجة الأسرة – IPv4+IPv6
بروتوكول– أي
مصدر – اختر الشبكة كنوع ، ثم اكتب PIA في مربع الشبكة المصدر ، وسيظهر الاسم المستعار الذي أنشأناه سابقًا. انقر لتحديده.
وجهة –أي
وصف – بيا نات
ستبدو القاعدة هكذا:
ثم قم بإنشاء آخر مع نفس الإعدادات باستثناء هذه المرة ، قمنا بتعيين منفذ وجهة مثل هذا:
لاحظ كيف يتم فحص مربع المنفذ الثابت أيضًا.
تأكد من أن القواعد تبدو هكذا على صفحة NAT الصادرة:
المضي قدما وضغط تطبيق التغييرات.
قواعد جدار الحماية
نحن هناك تقريبا! هذه هي الخطوة الأخيرة. اذهب إلى جدار الحماية> القواعد وحدد الواجهة (الواجهة) التي تقع عليها شبكتك (ربما لم تكن متأكدًا). نحتاج إلى إنشاء قاعدتين هنا ، تلك التي تسمح بحركة المرور من الاسم المستعار PIA_Traffic إلى بوابة PIA ، وآخر تحته مباشرة إلى جميع حركة المرور الأخرى. هذا يعني أنه إذا فقدت الاتصال بـ VPN ، فلن تبدأ حركة المرور في التدفق عبر واجهة WAN العادية.
اضغط على إضافة وإنشاء قاعدة مثل ذلك:
قبل الادخار ، انقر فوق عرض متقدم وفي بوابة مربع تعيين بوابة بيا:
اضغط Save ، ثم قم بإنشاء قاعدة ثانية مثل هذا:
لا حاجة لتعيين البوابة هذه المرة:
اضغط حفظ. تأكد من تكوين القواعد مثل ذلك ، فأنا أستخدم pfblockerng ، لذا لدي قاعدة كتلة إضافية (القاعدة الثانية) ولكن على خلاف ذلك ، يجب أن تكون قاعدة قبول PIA هي الأولى من هذه القاعدة 2 ، PIA Bill أسفل ذلك مباشرةً ، تليها الآخر قواعد. يجب أن تبدو شيئا من هذا القبيل:
تأكد من ضرب التغييرات بمجرد أن تكون سعيدًا.
وهذا كل ما يسعدك معرفته!
اختبارات
المضي قدما واعطيه اختبارًا من خلال الذهاب إلى Google وكتابة ما هو IP الخاص بي – يجب أن يكون أحد الأشخاص الذين لا يزال.
أوصي أيضًا بإجراء اختبار السرعة والتأكد من حصولك على السرعات الصحيحة التي تتوقعها عادة. ثم يمكنك التعديل مع بعض إعدادات VPN إذا لزم الأمر.
خطوات أخرى
بعض الأشياء التي يجب مراعاتها هي التأكد من أنك تستخدم خوادم PIA DNS إذا كنت تقوم بتوجيه جميع حركة المرور عبر VPN ، أو إذا كنت تفعل ذلك على أساس لكل جهاز ، فكر في تعيين خوادم DNS على خوادم PIA على هذه الأجهزة. تأكد من أنك تستخدم DNS عبر TLS للتأكد من حصولك على حماية تسرب DNS.
بالإضافة إلى ذلك ، قد ترغب في تكرار الخطوات المذكورة أعلاه لإنشاء VPNs مختلفة حتى تتمكن من الوصول إلى بلدان مختلفة إذا كنت تتطلب ذلك.
الكلمات الأخيرة
آمل أن تكون قد تمكنت من الحصول على كل شيء على إنشاء PIA VPN مع PFSense ، سواء كان ذلك للحصول على عروض إضافية من خلال Netflix ، أو تجاوز قيود ISP أو مجرد زيادة خصوصيتك عبر الإنترنت.
تأكد من الاشتراك أدناه للحصول على إخطار على الفور بالموضوع التالي ، وكما هو الحال دائمًا ، تأكد من إخباري إذا كان لديك أي طلبات للموضوعات.
اشترك لأكثر من هذا القبيل.
أدخل بريدك الإلكتروني
أفضل صفقات يوم ذكي في المنزل 2023!
Amazon Prime Day 2023 موجود هنا في 11 و 12 يوليو 2023! هذه كلها أفضل صفقات منزلية ذكية وجدتها لك اليوم!
لويس باركلي 11 يوليو ، 2023 • 1 دقيقة قراءة
كل شيء جديد في المنزل مساعد 2023.5!
ترقية لعبتك المنزلية الذكية مع أحدث ميزات صوتية للمساعد المنزلي! خطوط أنابيب مساعد ، مكبرات صوت ذكية Esphome ، VoIP ، وأكثر من ذلك!
لويس باركلي 8 مايو ، 2023 • 4 دقائق قراءة
The King of Video Doorbells – Reolink Video Doorbell Review
يتميز جرس Doorbell Reolink Video بجودة صورة جيدة ، واكتشاف الشخص ، POE ، مناطق الحركة ، RTSP ، تكامل مساعد المنزل والمزيد!
PFSense – الاتصال بـ VPN PIA
هذا استخدام البرنامج التعليمي: https: // www.PrivateInternetAccess.com كـ VPN ولكن العملية ستكون في الغالب مع مزود آخر. سأشرح كيفية توصيل PFSense الخاص بك بـ PIA VPN واختر الجهاز الذي تريد “حمايته”.
في هذا البرنامج التعليمي سأستخدم أوصت التشفير ، لاستخدام توازن وحدة المعالجة المركزية / الأمن.
الخطة
إليك الإعداد بدون VPN ، PFSense العادي ، السماح للأجهزة من LAN و DMZ بالاستمرار في WAN.
نريد: pfsense ثانية ، مكرسة لتوصيل VPN الدائم. ال pfsense في الأعلى هل البوابة الافتراضية من جميع الأجهزة / الخادم ، nammed pfsense.PLA01.LBDG.LAN. سنستخدمه لتوجيه بعض الخوادم / الأجهزة في VPN. ال pfsense في القاع سيكون VPN ، يستخدم واجهة DMZ ، للحصول على اتصال بالإنترنت.
معلومات
اسم المضيف
عنوان IP LAN
سمة
وصف
pfsense.PLA01.LBDG.LAN
10.0.0.1
طبيعي
بوابة افتراضية لجميع أجهزتي (في الجزء العلوي من المخطط)
PfSense-VPN-Tuto.PLA01.LBDG.LAN
10.0.0.5
أحمر
PFSense مخصص ل VPN (في أسفل المخطط)
أستخدم موضوع PFSense مختلف ، فهو يساعد على رؤية الفرق بين اثنين من PFSense
سلطة شهادة استيراد
أولاً ، يجب عليك تنزيل واستيراد PIA CA على PFSense الخاص بك (لذلك ، سيتم قبول جميع الشهادة من هذا CA).
هنا يمكنك العثور على CA: https: // www.PrivateInternetAccess.com/openvpn/ca.RSA.2048.CRT (انقر بزر الماوس الأيمن ، احفظ الهدف كـ)
الآن ، تحتاج إلى فتح كاليفورنيا.RSA.2048.CRT ملف مع محرر نصوص ، ونسخ المحتوى في الحافظة.
على pfsense-vpn-tuto ، انتقل إلى: النظام => cert. مدير
في بيانات الشهادة ، لصق محتوى ملف CA
اختر الخادم الذي تريده
يعطيك PIA اختيار الكثير من الخادم ، وإليك الصفحة للاختيار: https: // www.PrivateInternetAccess.com/pages/network/
أولاً ، أردت استخدام خادم منا ، لذلك اختبرته بعضًا:
خادم عشوائي ، في كاليفورنيا قم بإجراء الاختبار و . والنتيجة سيئة للغاية (ping = فهي)
لقد أجريت بعض الاختبارات الأخرى ، وأخيراً وجدت ما هو جيد:
خادم VPN هو: المملكة المتحدة-ليندون.PrivateInternetAccess.كوم (تذكر هذا)
الاتصال بـ VPN
في تكوين VPN ، قم بالتمرير إلى OpenVPN => العميل ، أضف عميلًا جديدًا تحتاج إلى ملء:
خادم اسم المضيف الذي تم استرداده من الاختبارات (المملكة المتحدة-ليندون.PrivateInternetAccess.كوم)
ال الميناء 1198
اسم المستخدم وكلمة المرور الخاصة بك من PIA
PIA لا تستخدم مفتاح TLS, لذا ، قم بإلغاء تحديدها. سوف يستخدمون AES-128-CBC (وهو جيد جدا) و NCP مع Algo: AES-128-CBC و AES-256-CBC. يجب أن يكون Auth Digest SHA1. بالنسبة إلى Crypto للأجهزة ، سيعتمد ذلك على أجهزتك ، ولكن استخدم محرك BSD Cryptodev إذا استطعت
يترك إعدادات النفق بشكل افتراضي
في ال التكوين المتواضع إضافة المعلمات التالية إلى خيارات مخصصة :
يستمر مفتاح الاستمرار في خادم Cert-TLS Reneg-Sec 0
يستخدم سريع I/O و تغيير حجم المخزن المؤقت, التوازن المثالي بالنسبة لي ، هو 1 ميغابايت.
واضغط على زر حفظ.
الآن ، نحن بحاجة إلى تحقق مما إذا تم تركيب VPN. انقر فوق حالة, انتقل إلى OpenVPN :
إذا بقيت الحالة تحت يكون migh مشكلة تكوين / منفذ فتح من خلال WAN.
خلاف ذلك VPN الآن قيد التشغيل !
الوصول إلى VPN
نحن الآن متصل بـ “بوابة” جديدة. لذلك نحن بحاجة إلى تكوين NAT ، إلى سمح للجهاز بـ NAT على هذه “البوابة”.
تغيير واجهة WAN ، بواسطة واجهة OpenVPN, وتغيير الوصف.
الآن ، يمكن لأجهزتنا nat على OpenVPN “بوابة”.
طريق إلى VPN من Gateway الافتراضي
الآن ، علينا أن نعمل على بوابةنا الافتراضية ، وهي pfsense.PLA01.LBDG.LAN. علينا أن أعلن البوابة الجديدة PfSense-VPN-Tuto (10.0.0.5) للشبكة المحلية.
LiveBox_DMZ هو اتصال الإنترنت الخاص بي (ISP لا يوفر وضع الجسر) قم بإنشاء البوابة على الشبكة المحلية الآن ، يمكننا استخدام هذه البوابة على القواعد ، وماذا سنفعل.
القواعد ، للتوجيه من خلال VPN
لأننا نريد ذلك اختر الجهاز الذي سيمر عبر VPN, سنخلق قواعد محددة من أجل هذا : إنشاء قاعدة بسيطة جديدة ، IPv4 ، جميع البروتوكول (سوف يعتمد على ما تريد) ، مثل المصدر ، الجهاز تريد المرور عبر VPN (10.0.0.52 هو جهاز الكمبيوتر المحمول الخاص بي) ، و الوجهة (أي) على الخيار المتقدم ، ابحث عن نوع الدولة واختيار لا أحد أقل ، تغيير بوابة إلى pfsense_vpn_tuto القاعدة النهائية:
الآن ، إذا تطابق القاعدة ، سيتم توجيه Connexion إلى 10.0.0.5 و ninated إلى VPN
نتائج
عنوان IP السابق على الإنترنت الآن ، مع VPN والقواعد:
شكرًا على القراءة ، إذا كان لديك أي سؤال ، فلا تتردد في الرد على موضوع Reddit هذا: Thread Reddit
علاوة
بلدي pfsensen ، مكرسة ل VPN ، هو افتراضي. الأشياء الوحيدة التي تحتاجها للتأكد من ذلك ، هي:
الوصول إلى الإنترنت الخاص بـ PFSense
VPN 0 Comments
PFSense – الاتصال بـ VPN PIA
إعداد PIA VPN مع PFSense 2.4.5
يستخدم الكثير منا VPN بطريقة أو بأخرى هذه الأيام ، لقد رأوا زيادة في شعبيتها على مدار العقد الماضي أو نحو ذلك مع العديد من الأشخاص الذين يسعون إلى استخدامها كوسيلة لتجاوز قيود المحتوى مع Netflix أو خدمات البث الأخرى ، كطريقة من الاتصال بالمنزل أو العمل للوصول إلى المستندات أثناء التنقل ، أو للاحتفاظ بأكبر قدر ممكن من خصوصيتنا عبر الإنترنت.
كجزء من تدابير الوباء الحديثة هنا في المملكة المتحدة ، تم تكليفي مؤخرًا بتصميم حل لمؤسستنا لتوسيع نطاق حل VPN الحالي ، والذي سيشهد حوالي 100-150 مستخدمًا يوميًا ، لأتمكن من التعامل مع 1000+ مستخدم في وقت واحد في وقت واحد في وقت واحد فقط بضع ساعات. بعد حوالي 3 أشهر ، لا يزال هذا الحل أداءً جيدًا كل يوم بشكل استثنائي. لكننا نحصل على القليل من الموضوع هنا..
بعد أن كنت مستخدمًا لـ PFSense منذ ما يقرب من 8 سنوات ومستخدم خاص للوصول إلى الإنترنت (PIA) ليصبح ما يصل إلى 4 سنوات ، قررت أنه من المنطقي توثيق كيفية إعداد VPN PIA مع PFSense كاتصال دائم VPN سوف يغطي كيفية توجيه أجهزة معينة من خلال بيا مع ترك جميع حركة المرور الأخرى دون مساس.
يستخدم هذا الدليل PFSense 2.4.5-RELEASE وهو الإصدار الحالي اعتبارًا من وقت الكتابة. كل شيء ينطبق على معظم الإصدارات القديمة على الرغم من أن واجهتك قد تبدو مختلفة بعض الشيء اعتمادًا على نسختك.
مرشد
هناك بعض الإعدادات المختلفة التي يمكنك استخدامها فيما يتعلق بالأمان ، ما يعتبر “ضعيف” “موصى به/متوسط” و “قوي” – سأقدم توصيات للملفات الشخصية المتوسطة والقوية لأنني أرى أنها مقبولة. إذا لم يكن الأداء متروكًا تمامًا لما كنت تتوقعه ، فيمكنك محاولة استخدام ملف التعريف الضعيف ولكن أوصي بالذهاب مع الإعدادات المتوسطة إذا كان ذلك ممكنًا. مع وضع ذلك في الاعتبار ، تختلف الإعدادات الموصى بها والقوية قليلاً في اختيار المنفذ وشهاداتها:
لإعطائك بعض المرجع ، يكون APU2 الذي قمت بمراجعته هنا قادرًا على 100 ميغابت في الثانية على VPN باستخدام الأمان الموصى به الذي نراه هنا ، لكن لا يمكن الاقتراب من 300 ميجابت في الثانية في رابطتي. ربما حان الوقت للترقية..
تثبيت الشهادة
أولاً ، نحتاج إلى تثبيت شهادات PIA CA في PFSense حتى نتمكن من استخدامها ضمن تكوين VPN.
قم أولاً بتنزيل الشهادة الصحيحة هنا:
بمجرد التنزيل ، افتح الملف في Notepad/Notepad ++ وقم بتمييز كل شيء داخل الملف ونسخه إلى الحافظة:
بعد ذلك ، توجه إلى النظام> مدير الشهادات وتأكد من أنك على كاس فاتورة غير مدفوعة. انقر يضيف لإنشاء سلطة شهادة جديدة. إعطاء اسم وصفي وقم بتغيير الطريقة إلى “استيراد سلطة شهادة موجودة“. ثم في بيانات الشهادة مربع ، الصق بيانات الشهادة التي نسختها:
ضرب أخيرا يحفظ لإنشاء تلك كاليفورنيا. إذا نجح كل شيء ، سيكون لديك الآن CA جديد مدرج في الجدول وسيحتوي عمود “الاسم المتميز” (DN) على معلومات محددة مسبقًا:
OpenVPN إعداد
نحتاج إلى تحديد موقع الخادم الذي نريد الاتصال به ، ويحتوي PIA حاليًا على 3300 خادم في 68 موقعًا في 47 دولة ، وبالتالي مجموعة واسعة.
توجه إلى هذا الرابط هنا.
ثم حدد الخادم الذي تريد استخدامه ، يمكنك تكرار ذلك للعديد من الخوادم التي تريد استخدامها ، قد ترغب في ذلك في المملكة المتحدة وواحد في الولايات المتحدة. حدد موقعًا ، ثم انسخ العنوان الذي تريد استخدامه. على سبيل المثال ، النقر على المملكة المتحدة يكشف عن 3 خوادم VPN ، حدد عنوان العنوان الذي تريد استخدامه ، وأنا أستخدم One One في هذا المثال:
انسخ هذا العنوان. انا استخدم المملكة المتحدة-ليندون.PrivateInternetAccess.كوم لهذا المثال.
رئيس لأكثر من VPN> العملاء> إضافة لإضافة عميل VPN جديد.
يمكن ترك العديد من الإعدادات بشكل افتراضي ، إذا لم أذكرها ، فهي إعدادات الأسهم ، لذا راجع الصور لما ينبغي أن تكون عليه.
معلومات عامة
في قسم المعلومات العامة ، قم بتغيير القيم التالية:
يجب أن يكون لديك شيء يبدو مثل هذا:
مصادقة المستخدم
في قسم إعدادات مصادقة المستخدم ، أدخل اسم مستخدم PIA وكلمة المرور الخاصة بك. يمكنك العثور على اسم المستخدم الخاص بك في حسابك على موقع PIA ، وعادة ما يبدأ بالحرف “P” متبوعًا بأرقام.
أود شخصيا أن أترك محاكاة المصادقة دون رادع والتي ستعيد الاتصال تلقائيًا إذا تم إسقاط الاتصال. إذا كانت لديك مشكلات مع هذا ، فيمكنك وضع علامة على المربع لتعطيله.
إعدادات التشفير
ضمن قسم إعدادات التشفير ، تأكد من تغيير الإعدادات التالية:
يجب أن يكون لديك شيء يشبه ما يلي:
إعدادات النفق
لا يوجد سوى عدد قليل من الإعدادات التي يجب تغييرها في هذا القسم وهي:
هذا كل ما نحتاج إلى تغييره لهذا الإعداد بالذات ، يجب أن يبدو هكذا:
التكوين المتقدم
أخيرًا ، في التكوين المتقدم ، أدخل القيم التالية:
ثم اضبط ما يلي:
مع الإعدادات النهائية تبدو هكذا:
ضرب أخيرا يحفظ!
التحقق من الحالة
يمكننا الآن التحقق من أنه تم إنشاء اتصال VPN ، توجه إلى الحالة> OpenVPN وتحت إحصائيات مثيل العميل القسم يجب أن ترى اتصال VPN الذي قمنا به للتو. انظر في مربع الحالة وتأكد من أن الحالة “UP”:
لذا ، توجه إلى Google واكتب “ما هو IP الخاص بي” وسوف ترى عنوان IP الخاص بك قد تغير إلى عنوان PIA بشكل صحيح? خطأ.
لم نقم بتغيير أي من التوجيه داخل PFSense ، لذلك لا يعرف بعد إرسال حركة المرور عبر VPN بدلاً من WAN. دعونا نغير ذلك.
إنشاء واجهات
ليس مطلوبًا ولكني أفضل إنشاء واجهة لـ VPN التي تم إنشاؤها حديثًا.
اذهب إلى واجهات> الواجبات. من هناك ، سيكون لديك قائمة بجميع واجبات الواجهة التي لديك على نظامك ، لا تقلق إذا لم يكن لديك الكثير من أعمالي ، فمن المحتمل أن يكون لديك فقط شبكه عالميه و LAN. في ال منافذ الشبكة المتاحة المنسدلة ، حدد خيار PIA VPN من القائمة ، ثم اضغط على إضافة:
سيتم إنشاء واجهة جديدة تسمى OPTx, المضي قدما وانقر على هذا لتحريره. من صفحة التحرير, حدد مربع تمكين وتغيير وصف لشيء أكثر ملاءمة. اضغط على حفظ ثم اضغط على تطبيق التغييرات:
من هنا ، انتقل إلى الحالة> بوابات. لاحظ كيف تقول بوابة بوابة بيا? لا نحتاج إلى تصحيح هذا لكل قول ، لكن يجب أن ننقذ الأشياء التي تضع علامة لأعلى في السجلات:
اذهب إلى النظام> التوجيه وتعديل بوابة PIA التي تم إنشاؤها تلقائيًا. في ال مراقبة IP, أدخل عنوان IP لاستخدامه كبديل ، أنا أستخدم 8.8.4.4 هنا:
الآن عد إلى الحالة> بوابات وتأكيد بوابة PIA على الإنترنت:
إنشاء الأسماء المستعارة
يتيح لنا الاسم المستعار تحديد مجموعات من شبكات IP أو الشبكات معًا حتى نتمكن من استخدام الاسم المستعار واحد للرجوع بسرعة من جميع الشبكات التي نريد استخدامها بدلاً من كتابتها في كل مرة.
رئيس ل جدار الحماية> المستعار وضغط إضافة. ملاحظة في الجزء العلوي ، لديك أنواع مختلفة من الاسم المستعار – IP ، المنافذ وعناوين URL. نحن فقط نستخدم الأسماء المستعارة IP في الوقت الحالي.
اسم هذا pia_traffic, امنحه وصفًا واختر الشبكات كنوع. أدخل جميع الشبكات الفرعية/الشبكات التي تريد الذهاب إليها عبر PIA. يمكنك إدخال عناوين IP الفردية باستخدام قناع /32 ، والذي سأريكه الآن:
يمكنك إضافة أكبر عدد ممكن.
اضغط على حفظ ثم تطبيق التغييرات.
ناتس خارج
ترجمة عنوان الشبكة أو NAT هي عملية إعادة عنوان عنوان IP لأن الحزم قيد العبور. ربما يحدث النوع الأكثر شيوعًا من هذا دون إدراكك – عند الوصول إلى الإنترنت من جهاز الكمبيوتر/الكمبيوتر المحمول/الهاتف ، يتم عرض جميع هذه الأجهزة كعنوان IP عام واحد.
على أي حال ، نحن بحاجة إلى إنشاء NAT صادرة من أجل إرسال حركة المرور عبر PIA VPN. اذهب إلى جدار الحماية> نات> خارج وتغيير وضع NAT الصادر من تلقائي إلى الهجين. يمكنك استخدام يدوي إذا كنت ترغب في ذلك ، لكني أفضل الهجين للسرعة.
ستلاحظ أن لديك الآن قسم تعيينات (وهو فارغ) وقسم القواعد التلقائي الذي سيكون له جميع القواعد التي يتم إنشاؤها تلقائيًا لعناوين WAN. المضي قدما وانقر فوق إضافة لإضافة تعيين جديد.
اضبط ما يلي:
ستبدو القاعدة هكذا:
ثم قم بإنشاء آخر مع نفس الإعدادات باستثناء هذه المرة ، قمنا بتعيين منفذ وجهة مثل هذا:
لاحظ كيف يتم فحص مربع المنفذ الثابت أيضًا.
تأكد من أن القواعد تبدو هكذا على صفحة NAT الصادرة:
المضي قدما وضغط تطبيق التغييرات.
قواعد جدار الحماية
نحن هناك تقريبا! هذه هي الخطوة الأخيرة. اذهب إلى جدار الحماية> القواعد وحدد الواجهة (الواجهة) التي تقع عليها شبكتك (ربما لم تكن متأكدًا). نحتاج إلى إنشاء قاعدتين هنا ، تلك التي تسمح بحركة المرور من الاسم المستعار PIA_Traffic إلى بوابة PIA ، وآخر تحته مباشرة إلى جميع حركة المرور الأخرى. هذا يعني أنه إذا فقدت الاتصال بـ VPN ، فلن تبدأ حركة المرور في التدفق عبر واجهة WAN العادية.
اضغط على إضافة وإنشاء قاعدة مثل ذلك:
قبل الادخار ، انقر فوق عرض متقدم وفي بوابة مربع تعيين بوابة بيا:
اضغط Save ، ثم قم بإنشاء قاعدة ثانية مثل هذا:
لا حاجة لتعيين البوابة هذه المرة:
اضغط حفظ. تأكد من تكوين القواعد مثل ذلك ، فأنا أستخدم pfblockerng ، لذا لدي قاعدة كتلة إضافية (القاعدة الثانية) ولكن على خلاف ذلك ، يجب أن تكون قاعدة قبول PIA هي الأولى من هذه القاعدة 2 ، PIA Bill أسفل ذلك مباشرةً ، تليها الآخر قواعد. يجب أن تبدو شيئا من هذا القبيل:
تأكد من ضرب التغييرات بمجرد أن تكون سعيدًا.
وهذا كل ما يسعدك معرفته!
اختبارات
المضي قدما واعطيه اختبارًا من خلال الذهاب إلى Google وكتابة ما هو IP الخاص بي – يجب أن يكون أحد الأشخاص الذين لا يزال.
أوصي أيضًا بإجراء اختبار السرعة والتأكد من حصولك على السرعات الصحيحة التي تتوقعها عادة. ثم يمكنك التعديل مع بعض إعدادات VPN إذا لزم الأمر.
خطوات أخرى
بعض الأشياء التي يجب مراعاتها هي التأكد من أنك تستخدم خوادم PIA DNS إذا كنت تقوم بتوجيه جميع حركة المرور عبر VPN ، أو إذا كنت تفعل ذلك على أساس لكل جهاز ، فكر في تعيين خوادم DNS على خوادم PIA على هذه الأجهزة. تأكد من أنك تستخدم DNS عبر TLS للتأكد من حصولك على حماية تسرب DNS.
بالإضافة إلى ذلك ، قد ترغب في تكرار الخطوات المذكورة أعلاه لإنشاء VPNs مختلفة حتى تتمكن من الوصول إلى بلدان مختلفة إذا كنت تتطلب ذلك.
الكلمات الأخيرة
آمل أن تكون قد تمكنت من الحصول على كل شيء على إنشاء PIA VPN مع PFSense ، سواء كان ذلك للحصول على عروض إضافية من خلال Netflix ، أو تجاوز قيود ISP أو مجرد زيادة خصوصيتك عبر الإنترنت.
تأكد من الاشتراك أدناه للحصول على إخطار على الفور بالموضوع التالي ، وكما هو الحال دائمًا ، تأكد من إخباري إذا كان لديك أي طلبات للموضوعات.
اشترك لأكثر من هذا القبيل.
أدخل بريدك الإلكتروني
أفضل صفقات يوم ذكي في المنزل 2023!
Amazon Prime Day 2023 موجود هنا في 11 و 12 يوليو 2023! هذه كلها أفضل صفقات منزلية ذكية وجدتها لك اليوم!
لويس باركلي 11 يوليو ، 2023 • 1 دقيقة قراءة
كل شيء جديد في المنزل مساعد 2023.5!
ترقية لعبتك المنزلية الذكية مع أحدث ميزات صوتية للمساعد المنزلي! خطوط أنابيب مساعد ، مكبرات صوت ذكية Esphome ، VoIP ، وأكثر من ذلك!
لويس باركلي 8 مايو ، 2023 • 4 دقائق قراءة
The King of Video Doorbells – Reolink Video Doorbell Review
يتميز جرس Doorbell Reolink Video بجودة صورة جيدة ، واكتشاف الشخص ، POE ، مناطق الحركة ، RTSP ، تكامل مساعد المنزل والمزيد!
PFSense – الاتصال بـ VPN PIA
هذا استخدام البرنامج التعليمي: https: // www.PrivateInternetAccess.com كـ VPN ولكن العملية ستكون في الغالب مع مزود آخر.
سأشرح كيفية توصيل PFSense الخاص بك بـ PIA VPN واختر الجهاز الذي تريد “حمايته”.
في هذا البرنامج التعليمي سأستخدم أوصت التشفير ، لاستخدام توازن وحدة المعالجة المركزية / الأمن.
الخطة
إليك الإعداد بدون VPN ، PFSense العادي ، السماح للأجهزة من LAN و DMZ بالاستمرار في WAN.
نريد: pfsense ثانية ، مكرسة لتوصيل VPN الدائم.
ال pfsense في الأعلى هل البوابة الافتراضية من جميع الأجهزة / الخادم ، nammed pfsense.PLA01.LBDG.LAN. سنستخدمه لتوجيه بعض الخوادم / الأجهزة في VPN.
ال pfsense في القاع سيكون VPN ، يستخدم واجهة DMZ ، للحصول على اتصال بالإنترنت.
معلومات
أستخدم موضوع PFSense مختلف ، فهو يساعد على رؤية الفرق بين اثنين من PFSense
سلطة شهادة استيراد
أولاً ، يجب عليك تنزيل واستيراد PIA CA على PFSense الخاص بك (لذلك ، سيتم قبول جميع الشهادة من هذا CA).
هنا يمكنك العثور على CA: https: // www.PrivateInternetAccess.com/openvpn/ca.RSA.2048.CRT (انقر بزر الماوس الأيمن ، احفظ الهدف كـ)
الآن ، تحتاج إلى فتح كاليفورنيا.RSA.2048.CRT ملف مع محرر نصوص ، ونسخ المحتوى في الحافظة.
على pfsense-vpn-tuto ، انتقل إلى: النظام => cert. مدير
في بيانات الشهادة ، لصق محتوى ملف CA
اختر الخادم الذي تريده
يعطيك PIA اختيار الكثير من الخادم ، وإليك الصفحة للاختيار: https: // www.PrivateInternetAccess.com/pages/network/
أولاً ، أردت استخدام خادم منا ، لذلك اختبرته بعضًا:
خادم عشوائي ، في كاليفورنيا
قم بإجراء الاختبار
و . والنتيجة سيئة للغاية (ping = فهي)
لقد أجريت بعض الاختبارات الأخرى ، وأخيراً وجدت ما هو جيد:
خادم VPN هو: المملكة المتحدة-ليندون.PrivateInternetAccess.كوم (تذكر هذا)
الاتصال بـ VPN
في تكوين VPN ، قم بالتمرير إلى OpenVPN => العميل ، أضف عميلًا جديدًا
تحتاج إلى ملء:
PIA لا تستخدم مفتاح TLS, لذا ، قم بإلغاء تحديدها.
سوف يستخدمون AES-128-CBC (وهو جيد جدا) و NCP مع Algo: AES-128-CBC و AES-256-CBC. يجب أن يكون Auth Digest SHA1.
بالنسبة إلى Crypto للأجهزة ، سيعتمد ذلك على أجهزتك ، ولكن استخدم محرك BSD Cryptodev إذا استطعت
يترك إعدادات النفق بشكل افتراضي
في ال التكوين المتواضع
إضافة المعلمات التالية إلى خيارات مخصصة :
يستخدم سريع I/O و تغيير حجم المخزن المؤقت, التوازن المثالي بالنسبة لي ، هو 1 ميغابايت.
واضغط على زر حفظ.
الآن ، نحن بحاجة إلى تحقق مما إذا تم تركيب VPN. انقر فوق حالة, انتقل إلى OpenVPN :
إذا بقيت الحالة تحت يكون migh مشكلة تكوين / منفذ فتح من خلال WAN.
خلاف ذلك
VPN الآن قيد التشغيل !
الوصول إلى VPN
نحن الآن متصل بـ “بوابة” جديدة. لذلك نحن بحاجة إلى تكوين NAT ، إلى سمح للجهاز بـ NAT على هذه “البوابة”.
تغيير واجهة WAN ، بواسطة واجهة OpenVPN, وتغيير الوصف.
الآن ، يمكن لأجهزتنا nat على OpenVPN “بوابة”.
طريق إلى VPN من Gateway الافتراضي
الآن ، علينا أن نعمل على بوابةنا الافتراضية ، وهي pfsense.PLA01.LBDG.LAN. علينا أن أعلن البوابة الجديدة PfSense-VPN-Tuto (10.0.0.5) للشبكة المحلية.
LiveBox_DMZ هو اتصال الإنترنت الخاص بي (ISP لا يوفر وضع الجسر)
قم بإنشاء البوابة على الشبكة المحلية
الآن ، يمكننا استخدام هذه البوابة على القواعد ، وماذا سنفعل.
القواعد ، للتوجيه من خلال VPN
لأننا نريد ذلك اختر الجهاز الذي سيمر عبر VPN, سنخلق قواعد محددة من أجل هذا :
إنشاء قاعدة بسيطة جديدة ، IPv4 ، جميع البروتوكول (سوف يعتمد على ما تريد) ، مثل المصدر ، الجهاز تريد المرور عبر VPN (10.0.0.52 هو جهاز الكمبيوتر المحمول الخاص بي) ، و الوجهة (أي)
على الخيار المتقدم ، ابحث عن نوع الدولة واختيار لا أحد
أقل ، تغيير بوابة إلى pfsense_vpn_tuto
القاعدة النهائية:
الآن ، إذا تطابق القاعدة ، سيتم توجيه Connexion إلى 10.0.0.5 و ninated إلى VPN
نتائج
عنوان IP السابق على الإنترنت
الآن ، مع VPN والقواعد:
شكرًا على القراءة ، إذا كان لديك أي سؤال ، فلا تتردد في الرد على موضوع Reddit هذا: Thread Reddit
علاوة
بلدي pfsensen ، مكرسة ل VPN ، هو افتراضي. الأشياء الوحيدة التي تحتاجها للتأكد من ذلك ، هي:
فنسنت ج.
اقرأ المزيد من المشاركات من قبل هذا المؤلف.