PfSense – Připojte se k VPN PIA

Nezapomeňte se přihlásit k odběru níže, abyste se okamžitě informovali o dalším tématu, a jako vždy mi dejte vědět, pokud máte nějaké požadavky na témata.

Nastavení pia vpn s pfsense 2.4.5

Nastavení PIA VPN s pfsense 2.4.5

Mnozí z nás v těchto dnech tak či onak používají VPN tak či onak, za poslední desetiletí zaznamenali nárůst popularity, když je mnoho lidí usilovalo o použití jako prostředek k obcházení obsahových omezení s Netflixem nebo jinými streamovacími službami jako připojení k domovu nebo práci pro přístup k dokumentům na cestách, nebo jen zachovat co nejvíce našeho soukromí online, jak můžeme.

V rámci nedávných pandemických opatření zde ve Velké Británii jsem byl nedávno pověřen navrhováním řešení pro náš podnik, aby se rozšiřoval naše současné řešení VPN, které by denně vidělo asi 100-150 uživatelů, abych mohl zvládnout 1000+ uživatelů současně v Jen pár hodin. Téměř o 3 měsíce později se toto řešení stále chová výjimečně dobře. Ale tady dostáváme trochu tématu..

Poté, co jsem byl uživatelem PFSense už téměř 8 let a uživatel soukromého přístupu k internetu (PIA), který se objevil až 4 roky, jsem se rozhodl zdokumentovat, jak nastavit PIA VPN s PFSENSE jako stálé připojení VPN, pak my bude pokrývat, jak nasměrovat určitá zařízení přes PIA, zatímco ponechá veškerý ostatní provoz nedotčený.

Tato příručka používá pfsense 2.4.5-vydání, které je aktuální verzí od doby psaní. Všechno se vztahuje na většina Starší verze, i když vaše rozhraní může vypadat trochu jinak v závislosti na vaší verzi.

Průvodce

Existuje několik různých nastavení, která můžete použít s ohledem na bezpečnost, to, co se považuje za „slabé“ „doporučené/střední“ a „silné“ – udělám doporučení pro střední a silné profily, protože je považuji za přijatelné. Pokud výkon není úplně na tom, co jste očekávali, můžete zkusit použít slabý profil, ale doporučuji jít s nastavením média, pokud je to možné. S ohledem na to se doporučená a silná nastavení trochu liší v jejich výběru a certifikátech:

  • Doporučeno: port UDP 1198 s AES-128 pro šifrování
  • Silný: port UDP 1197 s AES-256 pro šifrování

Abych vám uvedl odkaz, APU2, který jsem zde zkontroloval. Možná čas na upgrade..

Instalace certifikátu

Nejprve musíme nainstalovat certifikáty PIA CA do PFSense, abychom je mohli použít v konfiguraci VPN.

Nejprve si stáhněte správný certifikát zde:

Po stažení otevřete soubor v poznámkovém bloku/poznámkovém bloku ++ a zvýrazněte vše v souboru a zkopírujte do schránky:

PIA certifikační úřad

Dále se vydejte na Systém> Správce certifikátů a ujistěte se, že jste na CAS Tab. Klikněte Přidat vytvořit novou certifikační autoritu. Uveďte popisné jméno a změňte metodu na „Importujte stávající certifikační úřad“. Pak v Data certifikátu Box, vložte zkopírované údaje o certifikátu:

Pfsense importní certifikátní úřad

Nakonec zasáhl Uložit vytvořit to CA. Pokud všechno fungovalo, nyní budete mít v tabulce nový CA a sloupec „Distinguished Name“ (DN) bude mít předem naplněné informace:

Pfsense Certificate Authority s PIA

Nastavení OpenVPN

Musíme se rozhodnout, ke kterému umístění serveru se chceme připojit, PIA má v současné době 3300 serverů na 68 místech ve 47 zemích, takže poměrně široký rozsah.

Vydejte se zde na tento odkaz.

Poté vyberte server, který chcete použít, můžete jej opakovat pro tolik serverů, kolik chcete použít, možná budete chtít jeden ve Velké Británii a jeden v USA. Vyberte polohu a poté zkopírujte adresu, kterou chcete použít. Například kliknutí na Velké Británie odhalí 3 servery VPN, vyberte adresu, kterou chcete použít, v tomto příkladu používám London One:

Zkopírujte tuto adresu. používám UK-London.PrivateInternetaccess.com Pro tento příklad.

Zamířte do VPN> Klienti> Přidat Chcete -li přidat nového klienta VPN.

Mnoho nastavení může být ponecháno ve výchozím nastavení, pokud je nezmíním o tom, jsou to nastavení zásob, proto najdete na obrázcích, jaké by měly být.

Obecná informace

V části Obecné informace změňte následující hodnoty:

  • Hostitel nebo adresa serveru: UK-London.PrivateInternetaccess.com (nebo kterékoli umístění jste zkopírovali výše.
  • Port serveru: 1198 nebo 1197 v závislosti na tom, jakou úroveň zabezpečení chcete.
  • Popis: Soukromý přístup k internetu London VPN

Měli byste mít něco takto vypadat:

Ověření uživatele

V části Nastavení ověřování uživatele zadejte své uživatelské jméno a heslo PIA. Najdete své uživatelské jméno na svém účtu na webových stránkách PIA, obvykle začíná písmenem „P“ následovaným čísly.

Osobně bych nechal ověřování opakování nekontrolovaného, ​​což se automaticky znovu připojí, pokud bude připojení vynecháno. Pokud s tím máte problémy, můžete jej zaškrtnout a deaktivovat jej.

Kryptografická nastavení

V části Cryptographic Settings Nezapomeňte změnit následující nastavení:

  • Konfigurace TLS – Zrušit zaškrtnutí
  • Authority certifikační certifikáty –PIA-2048-CA (popisné jméno, které jste dali CA dříve)
  • Šifrovací algoritmus –AES-128-CBC
  • Povolit NCP – Zrušit zaškrtnutí
  • Algoritmus auth digest -SHA1 (160-bit) Pro střední zabezpečení, SHA256 (256-bit) pro silnou bezpečnost.
  • Hardware Crypto -Pokud máte k dispozici zrychlení AES-NI, vyberte to ze seznamu nebo nechte nastavit na „Žádné hardwarové krypto zrychlení“ a poté se vrátíte a změňte se poté na vylepšení výkonu.

Měli byste mít něco, co vypadá jako následující:

Nastavení PfSense CRPYTOGRAFICKÉ

Nastavení tunelu

V této části je třeba změnit jen několik nastavení a jsou:

  • Topologie –net30
  • Nevytahujte trasy – Pokud chcete, aby všechna zařízení ve vaší síti prošla VPN, nechte toto nezaškrtnutí. Pokud chcete selektivně ovládat, která zařízení procházejí VPN a která ne, zaškrtněte toto políčko.

To je vše, co pro toto konkrétní nastavení musíme změnit, mělo by to vypadat takto:

Nastavení klientského tunelu PFSense VPN

Pokročilá konfigurace

Nakonec do pokročilé konfigurace zadejte následující hodnoty:

Server s dálkovým centem TLS přetrvávající-tun perzistence

Pak nastavte následující:

  • UDP Fast I/O –Zkontrolujte toto a zlepšit výkon, můžete se vrátit a zrušit zaškrtnutí později, pokud máte problémy.
  • Odeslat/přijmout vyrovnávací paměť – S tímto nastavením si můžete hrát, ale vždy jsem zjistil, že 512 nastavení kib je docela dobré. Vyladit tato nastavení později, abyste zjistili, co vám dává lepší rychlost.
  • Tvorba brány – IPv4

S konečným nastavením vypadajícím takto:

Nakonec zasáhl Uložit!

Kontrola stavu

Nyní můžeme zkontrolovat, zda bylo navázáno připojení VPN, přejděte na Stav> OpenVPN a pod Statistiky instance klienta Sekce byste měli vidět připojení VPN, které jsme právě vytvořili. Podívejte se do stavu stavu a potvrďte, že stav je „nahoru“:

Takže přejděte na Google a zadejte „Co je moje IP“ a uvidíte, že se vaše IP adresa změnila na adresu PIA správně? Špatně.

V rámci PFSense jsme nezměnili žádné směrování, takže dosud neví, že by provoz poslal přenos přes VPN než WAN. Pojďme to změnit.

Vytváření rozhraní

Není to nutné, ale raději vytvářím rozhraní pro nově vytvořené VPN.

Jít do Rozhraní> Přiřazení. Odtud budete mít seznam všech úkolů rozhraní, které máte ve svém systému, nebojte se, pokud nemáte tolik jako já, pravděpodobně jen máte Wan a LAN. V Dostupné síťové porty Odpadněte dolů, vyberte možnost PIA VPN ze seznamu a poté stiskněte Add:

Bude vytvořeno nové rozhraní s názvem OPTX, Jděte do toho a klikněte na to a upravte to. Z stránky úprav, Zkontrolujte políčko povolení a změnit popis k něčemu vhodnějšímu. Stiskněte uložit a poté stiskněte změny aplikovat:

PFSENSENSE EDIT VPN rozhraní

Odtud jděte na Stav> Brány. Všimněte si, jak to říká brána dolů pro bránu Pia? Nemusíme to opravit, ale měli bychom ušetřit věci nahlásit jako dolů v protokolech:

Pfsense pia vpn brána dolů

Jít do Systém> směrování a upravit automaticky vytvořenou bránu PIA. V Monitorovat IP, zadejte IP, který chcete použít jako alternativu, používám 8.8.4.4 tady:

Pfsense Gateway Upravit monitorování IP

Nyní se vraťte zpět Stav> Brány a potvrďte, že brána PIA je online:

Brána monitorování pfsense online

Vytváření aliasů

Alias ​​nám umožňuje definovat skupiny IP nebo sítě společně, abychom mohli použít jeden alias k rychlému odkazu na všechny sítě, které chceme použít, místo toho, abychom je psali pokaždé.

Zamiřte Firewall> aliasy a stiskněte přidat. Poznámka nahoře máte různé typy aliasů – IP, porty a adresy URL. Prozatím právě používáme aliasy IP.

Pojmenujte to Pia_traffic, Dejte mu popis a vyberte si Sítě jako typ. Zadejte všechny podsítky/sítí, které chcete projít přes PIA. Jednotlivé adresy IP můžete zadat pomocí masky /32, kterou vám nyní ukážu:

Můžete přidat tolik, kolik chcete, jen přidám jeden pro tento příklad, který poráží účel, ale stále bych to doporučil, protože vám to umožňuje rychle přidat další v budoucnu.

Stiskněte Uložit a poté použít změny.

Odchozí Nats

Překlad síťové adresy nebo NAT je procesem přemapování IP adresy, protože pakety jsou v tranzitu. Nejběžnějším typem toho se pravděpodobně stane, aniž byste si uvědomili – když přistupujete k internetu z počítače/notebooku/telefonu, všechna tato zařízení jsou vystavena jako jedna jediná veřejná IP adresa.

Každopádně musíme vytvořit odchozí NAT, abychom mohli poslat provoz prostřednictvím PIA VPN. Jít do Firewall> Nat> odchozí a změnit odchozí režim NAT z Automatický až hybrid. Pokud si přejete, můžete použít manuál, ale dávám přednost hybridu pro rychlost.

Všimnete si, že nyní máte sekci mapování (která je prázdná) a sekce automatických pravidel, která bude mít všechna automaticky generovaná pravidla pro adresy WAN. Pokračujte a klikněte na Přidat a přidejte nové mapování.

Nastavte následující:

  • Rozhraní –Zajistěte výběr rozhraní PIA, které jsme vytvořili dříve.
  • Adresa rodina – IPv4+IPv6
  • Protokol– Any
  • Zdroj – Vyberte síť jako typ, poté zadejte PIA do zdrojové síťové pole a alias, který jsme vytvořili dříve, se zobrazí. Kliknutím vyberte jej.
  • Destinace –žádný
  • Popis – Pia Nat

Pravidlo bude vypadat tak:

pfsense pia odchozí Nat

Poté vytvořte další se stejným nastavením, s výjimkou této doby jsme nastavili cílový port, jako je tento:

pfsense pia outband Nat

Všimněte si, jak je také kontrolována krabice statického portu.

Ujistěte se, že pravidla vypadají takto na odchozí stránce NAT:

pfsense pia odchozí Nat

Pokračujte a stiskněte změny použít.

Pravidla firewallu

Už tam skoro jsme! Toto je poslední krok. Jít do Firewall> Pravidla a vyberte rozhraní, na kterém vaše síť sídlí (pravděpodobně LAN, pokud si nejste jisti). Musíme zde vytvořit 2 pravidla, která umožňuje provoz z aliasů pia_traffic k bráně Pia, a další těsně pod ní, který ji popírá všem ostatním provozu. To znamená, že pokud ztratíte spojení s VPN, provoz nezačne protékat běžným rozhraním WAN.

Stiskněte ADD a vytvořte pravidlo tak:

Před uložením klikněte Zobrazit pokročilé a v Brána Krabice Nastavte bránu pia:

Stiskněte Uložit a poté vytvořit druhé, jako je toto:

Tentokrát není třeba nastavit bránu:

Pfsense PIA Firewall Rule

Stiskněte uložení. Ujistěte se, že pravidla jsou nakonfigurována tak, že používám pfblockerng, takže mám pravidlo další blokové pravidlo (druhé), ale jinak by pravidlo přijímání PIA mělo být první z těchto 2, pravidlo PIA Block přímo pod tím, následované druhým pravidla. Měl by vypadat něco takového:

Pfsense PIA Firewall Přehled pravidel

Nezapomeňte zasáhnout změny aplikovat, jakmile budete šťastní.

A to je všechno, co budete rádi vědět!

Testování

Jděte do toho a proveďte test ven tím, že půjdete na Google a píšete, co je moje IP – měla by to být jedna z těch pia a ne vaše normální.

Doporučuji také provést test rychlosti a ujistit se, že získáváte správné rychlosti, které byste normálně očekávali. Poté můžete v případě potřeby vyladit některá nastavení VPN.

Další kroky

Několik věcí, které je třeba zvážit, je zajistit, že používáte servery PIA DNS, pokud směrujete veškerý provoz prostřednictvím VPN, nebo pokud to děláte na základě zařízení. Ujistěte se, že používáte DNS přes TLS, abyste se ujistili, že dostáváte ochranu úniku DNS.

Kromě toho možná budete chtít opakovat výše uvedené kroky a vytvořit různé VPN, abyste mohli mít přístup do různých zemí, pokud to potřebujete.

Závěrečná slova

Doufám, že se vám podařilo zajistit, aby vše fungovalo, vytvořte pia VPN s PFSense, ať už jde o získání dalších pořadů prostřednictvím Netflixu, obcházení omezení ISP nebo jen zvýšení vašeho soukromí online.

Nezapomeňte se přihlásit k odběru níže, abyste se okamžitě informovali o dalším tématu, a jako vždy mi dejte vědět, pokud máte nějaké požadavky na témata.

Zaregistrujte se a takhle.

Vložte svůj e-mail

Nejlepší nabídky Smart Home Prime Day 2023!

Nejlepší inteligentní domov Prime Day 2023!

Amazon Prime Day 2023 je zde 11. a 12. července 2023! To jsou všechny nejlepší inteligentní dohody, které jsem pro vás dnes našel!

Lewis Barclay 11. července 2023 • 1 min čtení

Všechno nové v domácím asistentovi 2023.5!

Všechno nové v domácím asistentovi 2023.5!

Upgradujte svou inteligentní domácí hru pomocí nejnovějších hlasových funkcí domácího asistenta! Asistentské potrubí, inteligentní reproduktory Esphome, VoIP a další!

Lewis Barclay 8. května 2023 • 4 minuty čtení

King of Video Doorbells - Reolink Video Review

King of Video Doorbells – Reolink Video Review

Reolink Video Doorbell obsahuje dobrou kvalitu obrazu, detekci osob, POE, pohybové zóny, RTSP, integraci domácího asistenta a další!

PfSense – Připojte se k VPN PIA

Toto výukové použití: https: // www.PrivateInternetaccess.com jako VPN, ale operace bude většinou stejná s jiným poskytovatelem.
Vysvětlím, jak připojit váš pfsense s PIA VPN a zvolit, s jakým zařízením chcete „chránit“.

V tomto tutoriálu použiji doporučeno šifrování, pro rovnováhu použití CPU / zabezpečení.

Plán

Zde je nastavení bez VPN, normální pfsense, umožňují zařízením z LAN a DMZ WAN.

Pfsense-Avant

Chceme: Druhý PFSENSENS, věnovaný stálé VPN Connexion.
The Pfsense nahoře je výchozí brána ze všech zařízení / serveru, nammed pfsense.PLA01.lbdg.LAN. Použijeme ho ke směrování některých serverů / zařízení do VPN.
The Pfsense na dně bude VPN, používá rozhraní DMZ, aby měl připojení k internetu.

Pfsense-vpn-1-

Informace

Název hostitele IP adresa LAN Téma Popis
pfsense.PLA01.lbdg.LAN 10.0.0.1 Normální Výchozí brána všech mých zařízení (v horní části schématu)
pfsense-vpn-tuto.PLA01.lbdg.LAN 10.0.0.5 Červené PFSense věnovaný pro VPN (na konci schématu)

Barvy

Používám jiné téma PFSense, pomáhá vidět rozdíl mezi dvěma pfsense

Authoritační úřad importu

Nejprve byste si měli stáhnout a importovat PIA CA na PFSENSE (Takže veškerý certifikát z podepsaného z této CA bude přijat).

Zde najdete CA: https: // www.PrivateInternetaccess.com/openvpn/ca.RSA.2048.CRT (Klikněte pravým tlačítkem, uložte cíl jako)

Nyní musíte otevřít CA.RSA.2048.CRT soubor s textovým editorem a zkopírujte obsah do schránky.

4-1

Na pfsense-vpn-tuto přejděte na: System => Cert. manažer

4-2
4-3
V datech certifikátů vložte obsah souboru CA
4-4

Vyberte požadovaný server

Pia vám dává výběr hodně serveru, zde je stránka, kterou si můžete vybrat: https: // www.PrivateInternetaccess.com/stránky/síť/

Nejprve jsem chtěl od nás použít server, takže jsem jej vyzkoušel:

5-1-1
Náhodný server, v Kalifornii
5-2
Spusťte test
5-3
A . Výsledek je docela špatný (ping = strašný)
5-4

Provedl jsem několik dalších testů a nakonec jsem našel ten dobrý:

5-5

Server VPN je: UK-London.PrivateInternetaccess.com (pamatujte si to)

Připojte se k VPN

V konfiguraci VPN přejděte na OpenVPN => klienta, přidejte nového klienta
6-1-1
6-2
Musíte vyplnit:

  • server hostitele načtený z testů (UK-London.PrivateInternetaccess.com)
  • The Port 1198
  • Vaše uživatelské jméno a heslo z PIA

6-3
Pia nepoužívejte klíč TLS, Zrušte to tedy zaškrtněte.
Budou používat AES-128-CBC (což je docela dobré) a NCP s Algo: AES-128-CBC & AES-256-CBC. Auth Digest by měl být SHA1.
U hardwarového krypta to bude záviset na vašem hardwaru, ale pokud můžete, použijte BSD Cryptodev Engine
6-4

Odejít Nastavení tunelu ve výchozím stavu

V upravená konfigurace
Přidejte následující parametry do Vlastní možnosti :

Persistent-Key Persistent-Tun Remote-Cert-TLS Server reneg-sec 0 

Použití Rychlé I/O A Změňte velikost vyrovnávací paměti, Perfektní rovnováha pro mě je 1 MB.

6-5
A stiskněte tlačítko Uložit.
6-6

Nyní musíme Zkontrolujte, zda je namontována VPN. Klikněte na postavení, přejděte na OpenVPN :

7-1

Pokud zůstatek zůstane dolů je to problém konfigurace / otevírání portů prostřednictvím WAN.

7-2
v opačném případě The_greatest_showman_tada7-3
VPN je nyní v provozu !

Přístup k VPN

Nyní jsme připojeno k nové „bráně“. Musíme tedy nakonfigurovat NAT, aby Povolit zařízení na NAT Na této „bráně“.

8-1
8-2
8-3
8-4
Změňte rozhraní WAN, rozhraním OpenVPN, a změnit popis.
8-5

Nyní by naše zařízení mohla natt na “bráně” OpenVPN “.

Trasa do VPN z výchozí brány

Nyní musíme pracovat na naší výchozí bráně, která je pfsense.PLA01.lbdg.LAN. Musíme Deklarujte novou bránu pfsense-vpn-tuto (10.0.0.5) Pro LAN.

9-1-1
Livebox_DMZ je moje připojení k internetu (ISP neposkytuje mostní režim)
9-2-1
Vytvořte bránu na LAN
9-3-1
Nyní bychom mohli použít tuto bránu podle pravidel, co uděláme.
9-4-1

Pravidla, na procházení přes VPN

Protože chceme Vyberte, které zařízení projde VPN, Vytvoříme konkrétní pravidla pro to :
10-1-1
Vytvořit Nové jednoduché pravidlo, IPv4, celý protokol (bude záviset na tom, co chcete), jako zdroj, zařízení chcete projít VPN (10.0.0.52 je můj laptot) a Cíl (jakýkoli)
10-2-1
Na možnost Advanced hledat typ stavu a vybrat žádný
10-3-1
Nižší, změňte Gateway do pfsense_vpn_tuto
10-4-1
Konečné pravidlo:
10-5-1

Nyní, pokud se pravidlo shoduje, bude Connexion směrována na 10.0.0.5 a napomáhající se na VPN

Výsledek

Moje předchozí IP adresa na internetu
11-2
Nyní s VPN a pravidly:
11-3

Děkujeme, že jste si přečetli, pokud máte nějakou otázku, neváhejte reagovat na toto vlákno Reddit: Reddit Thread

Bonus

Můj pfsensen, věnovaný VPN, je virtualizován. Jediné věci, které musíte zajistit, jsou:

  • Použijte virtio jako rozhraní
  • Zakázat hardware Offload.

1
2

Vincent C

Vincent c.

Přečtěte si více příspěvků tohoto autora.