GNU/Linux >> Znalost Linux >  >> Panels >> OpenVPN

Nastavení OpenVPN serveru s pfSense a Viscosity

Virtuální privátní sítě (VPN) lze využít pro řadu velmi užitečných aplikací. Můžete se bezpečně připojit k jakémukoli veřejnému WiFi hotspotu. Můžete překonat omezení geografického blokování na svých oblíbených webových stránkách. A dokonce se můžete připojit ke své domácí nebo kancelářské síti odkudkoli na světě, jako byste seděli přímo u svého stolu. Tato příručka vás provede procesem nastavení vašeho vlastního serveru OpenVPN a připojení k němu pomocí vaší kopie Viscosity.

Provozování vlastního serveru OpenVPN vám umožní zašifrovat vše, co děláte na internetu, takže můžete bezpečně provádět online bankovnictví na bezplatné WiFi ve vaší oblíbené kavárně. Vše, co odešlete přes připojení VPN, bude z vašeho zařízení šifrováno, dokud se nedostane na váš server OpenVPN doma. Nastavením vašeho OpenVPN serveru pro přístup k vaší domácí nebo kancelářské síti získáte plný přístup ke všem vašim souborům ve vaší síti.

Tato příručka vás provede kroky, které se týkají nastavení serveru OpenVPN na instanci pfSense, která vám umožní bezpečně přistupovat k vaší domácí/kancelářské síti ze vzdáleného místa a volitelně přes ni odesílat veškerý síťový provoz, abyste měli přístup k internetu. také bezpečně.

Tato příručka se nebude zabývat žádnými problémy souvisejícími s nastavením routeru. Server, na kterém běží pfSense, pravděpodobně sám funguje jako router, takže budeme předpokládat, že server pfSense je přímo připojen k internetu se svou vlastní IP adresou.

Příprava

Pro tuto příručku předpokládáme:

  • Již jste nainstalovali nejnovější verzi pfSense (2.3 v době psaní tohoto článku)
  • pfSense byl nastaven alespoň s rozhraním WAN a LAN
  • Během této příručky jste se svým klientským zařízením připojeni k serveru pfSense prostřednictvím jeho rozhraní LAN
  • Tato instalace pfSense je nová instalace
  • Na klientském zařízení již máte nainstalovanou kopii aplikace Viscosity

Pokud si potřebujete stáhnout a nainstalovat kopii pfSense, informace naleznete na https://www.pfsense.org/download/. Nebudeme se zabývat podrobnostmi nastavení instance pfSense, mnoho průvodců lze nalézt online. Pokud používáte jinou verzi pfSense, je velmi pravděpodobné, že mnoho nebo dokonce všechny kroky popsané v této příručce budou stále platit. Pokud chcete nastavit server OpenVPN na jiném operačním systému, podívejte se prosím na naše další průvodce.

Vaše klientské zařízení musí být připojeno k serveru pfSense přes LAN rozhraní. To je nezbytné, abyste měli přístup k webConfigurator a nastavili konfiguraci pfSense. Specifika toho, jak toho můžete dosáhnout, závisí na konkrétní konfiguraci sítě.

Pokud ještě nemáte na svém klientovi nainstalovanou kopii Viscosity, podívejte se prosím na tuto instalační příručku pro instalaci Viscosity (Mac | Windows).

Podpora

Bohužel nemůžeme poskytnout žádnou přímou podporu pro nastavení vašeho vlastního OpenVPN serveru. Tuto příručku poskytujeme jako laskavost, která vám pomůže začít s vaší kopií Viscosity a využít ji na maximum. Důkladně jsme otestovali kroky v této příručce, abychom zajistili, že pokud budete postupovat podle pokynů podrobně uvedených níže, měli byste být na dobré cestě využívat výhod provozování vlastního serveru OpenVPN.

pfSense nabízí komunitní i komerční podporu, pokud hledáte další informace nebo pomoc, podívejte se na jejich možnosti na https://www.pfsense.org/get-support/

Začínáme

Nejprve se musíte přihlásit do webConfiguratoru ze svého klientského zařízení připojeného k LAN rozhraní serveru pfSense. Otevřete prohlížeč na svém klientovi a přejděte na IP adresu rozhraní LAN vašeho serveru pfSense (něco jako https://10.0.0.1 nebo https://192.168.0.1 ). Budete se muset přihlásit. Výchozí přihlašovací údaje jsou:

User: admin
Password: pfsense

Pokud se do webConfigurator přihlašujete poprvé, pokusí se vás provést průvodcem. Přeskočte tento krok kliknutím na logo pfSense a přejděte na hlavní panel.


Z bezpečnostních důvodů by mělo být změněno heslo správce pfSense. Klikněte na System> User Manager . Upravte heslo kliknutím na ikonu úprav v části Akce pro účet správce.


Změňte heslo zadáním nového hesla a jeho potvrzením a poté klikněte na Save ve spodní části.

Server DNS

Nastavte IP adresu DNS serverů, které budeme používat:

  1. Klikněte na System> General Setup .
  2. V Nastavení serveru DNS v sekci nastavte první dva servery DNS na 8.8.8.8 a 8.8.4.4 (Google DNS). Pokud chcete používat různé servery DNS, můžete je místo toho použít zde.
  3. Klikněte na Save na dně.

Povolení těchto serverů DNS:

  1. Klikněte na Interfaces> WAN .
  2. V Obecné konfiguraci části, nastavte Typ konfigurace IPv4 na 'Statický IPv4'.
  3. V Statické konfiguraci IPv4 nastavte adresu IPv4 na WAN IP adresu vašeho pfSense serveru.
  4. Klikněte na Save dole.
  5. V horní části stránky se zobrazí žluté pole, klikněte na Apply changes pro resetování rozhraní WAN s novým nastavením DNS.



Tyto servery DNS budou předány připojeným klientům, protože DNS Resolver je ve výchozím nastavení povolen.

  1. Klikněte na Services> DNS Resolver pro úpravu nastavení DNS Resolveru.
  2. Zkontrolujte Přeposílání dotazů DNS pro aktivaci režimu přeposílání.
  3. Klikněte na Save dole.
  4. V horní části stránky se zobrazí žluté pole, klikněte na Apply changes .

Průvodce OpenVPN

Server OpenVPN lze nastavit pomocí vestavěného průvodce.

  1. Klikněte na VPN> OpenVPN a klikněte na Wizards tab.
  2. Budete vyzváni, abyste vybrali Typ backendu ověřování . Klikněte na Next přijmout výchozí nastavení „Přístup místního uživatele“.
  3. Nyní budeme muset vytvořit nový certifikát certifikační autority (CA). Nastavte popisný název na 'pfSense-CA'.
  4. Ponechte délku klíče na 2048 bitech a životnost na 3650 dnech.
  5. Zbývající parametry slouží k identifikaci osoby nebo organizace ovládající tuto certifikační autoritu. Nastavte je vhodně pro vaši situaci.



  6. Klikněte na Add new CA přejít na certifikát serveru.
  7. Nastavte popisný název na server a zachovat délku klíče 2048 bitů a životnost 3650 dní.
  8. Údaje o osobě/instituci již budou vyplněny z předchozí stránky. Nechte to tak, jak to je.
  9. Klikněte na Create new Certificate .
  10. Na další stránce v části Obecné informace o serveru OpenVPN v sekci Popis na 'server'.
  11. V Nastavení kryptografie v části zrušte výběr ověření TLS .
  12. Opusťte Šifrovací algoritmus jako „AES-256-CBC (256bitový klíč, 128bitový blok)“.
  13. V Nastavení tunelu zadejte Tunnel Network adresa jako 10.8.0.0/24.
  14. Chcete-li povolit přístup k počítačům v místní síti, zadejte do pole Místní síť rozsah místních adres IP. nastavení. Pravděpodobně to bude něco jako 10.0.0.0/24.
  15. Nastavte Kompresi na „Zakázáno – bez komprese“
  16. Zkontrolujte Komunikaci mezi klienty zaškrtávací políčko.
  17. V Nastavení klienta nastavte DNS Server 1 přejděte na server OpenVPN (10.8.0.1).
  18. V části Pokročilé do textového pole přidejte řádek:
    push "route 10.0.0.0 255.255.255.0";mute 10;
    , kde předpokládáme, že vaše podsíť LAN je 10.0.0.0/24. Upravte to podle toho.
  19. Zbývající nastavení můžeme ponechat tak, jak jsou, a kliknout na Next níže.
  20. Nyní přijměte výchozí pravidla brány firewall zaškrtnutím obou pravidel brány firewall a pravidlo OpenVPN polí a kliknutím na Next . Tato pravidla umožní vašemu klientovi připojit se k serveru OpenVPN a povolit provoz VPN mezi klientem a serverem.
  21. Nyní se vám zobrazí obrazovka dokončení. Klikněte na Finish .

Nyní jste vytvořili certifikát serveru. Než budeme pokračovat, musíme upravit několik nastavení, která nebyla v průvodci zahrnuta.

  1. Klikněte na ikonu úprav vedle serveru řádek pro úpravu konfigurace.
  2. V části Obecné informace sekce, změňte Režim serveru na 'Vzdálený přístup ( SSL/TLS )'.
  3. Stiskněte Save k uložení těchto změn.

Firewall

Nastavení brány firewall generuje automaticky průvodce. V závislosti na nastavení a verzi vaší brány firewall však možná budete muset zkontrolovat nastavení vytvořené průvodcem. Nejprve přejděte na Firewall -> Rules a vyberte WAN . Měli byste vidět pravidlo brány firewall povolující provoz IPv4 příchozí přes WAN přes port OpenVPN. To umožní klientům připojit se k VPN přes externí WAN rozhraní.

Pokud máte problémy se směrováním provozu přes VPN, přejděte na Firewall -> Nat , vyberte Outbound a ujistěte se, že je režim nastaven na "Automatické generování odchozích pravidel NAT. (včetně průchodu IPsec)".

Klientský certifikát

Pro připojení k našemu OpenVPN serveru musíme vygenerovat klientský certifikát pro každé zařízení, které se chceme k serveru připojit.

  1. Klikněte na System> User Manager a klikněte na + Add tlačítko pro přidání uživatele.
  2. Vyplňte uživatelské jméno a heslo. V našem příkladu nastavíme uživatelské jméno na klient1 .
  3. Nezapomeňte zkontrolovat Certifikát vytvořit uživatelský certifikát. To způsobí, že se sekce rozšíří.
  4. Dejte certifikátu popisný název (klient1 ).
  5. Certifikační autoritu, délku klíče a životnost ponechte na výchozí hodnoty.
  6. Klikněte na Save dokončit.



Nastavení viskozity

Pokud jste se dostali až sem, měli byste se nyní připojit k serveru OpenVPN, gratulujeme! Nyní můžeme nastavit viskozitu.

Export připojení z pfSense

pfSense poskytuje OpenVPN Client Export Package, který můžete použít k vytvoření spojení Viscosity, aniž byste se museli přímo zabývat jakýmikoli certifikáty nebo klíči.

  1. Chcete-li nainstalovat exportní balíček, klikněte na System> Package Manager a klikněte na Available Packages tab. Zobrazí se vám seznam všech balíčků, které můžete nainstalovat.
  2. Přejděte dolů a vyhledejte 'openvpn-client-export' a klikněte na + Install tlačítko pro jeho instalaci.
  3. Budete požádáni o potvrzení, klikněte na Confirm zahájíte instalaci.
  4. Po dokončení instalace můžete exportovat konfiguraci kliknutím na VPN> OpenVPN a kliknutím na Client Export tab.
  5. Vyberte server v Serveru vzdáleného přístupu sekce. U ostatních parametrů ponechte výchozí hodnoty.
  6. Přejděte dolů na Klienti OpenVPN a vyhledejte řádek odpovídající Název certifikátu uživatele, kterého jste vytvořili (klient1 ).



  7. Stáhněte si konfiguraci viskozity kliknutím na „Viscosity Inline Config“. Tím se stáhne konfigurační soubor .ovpn do vašeho klientského zařízení.

Importovat připojení do viskozity

Klikněte na ikonu Viskozita na liště nabídek (Windows :systémová lišta) a vyberte „Předvolby...“:




Zobrazí se seznam dostupných připojení VPN. Předpokládáme, že jste nedávno nainstalovali Viscosity, takže tento seznam je prázdný. Klikněte na tlačítko '+' a vyberte Import Connection> From File... :



Přejděte do umístění konfiguračního souboru viskozity a otevřete jej. Zobrazí se vyskakovací zpráva oznamující, že připojení bylo importováno.

(Volitelné) Povolení přístupu k internetu

Ve výchozím nastavení připojení VPN umožňuje přístup k souborovému serveru a dalším počítačům v domácí/kancelářské (LAN) síti. Pokud však také chcete, aby byl veškerý internetový provoz odesílán prostřednictvím připojení VPN, je nutné provést konečnou úpravu připojení:

  1. Poklepáním na připojení v okně Předvolby viskozity otevřete editor připojení
  2. Klikněte na Networking tab.
  3. Klikněte na rozbalovací nabídku „Veškerý provoz“ a vyberte možnost „Odeslat veškerý provoz přes připojení VPN“. Není nutné zadávat výchozí bránu.
  4. Klikněte na tlačítko Save tlačítko.

Připojení a používání připojení VPN

Nyní jste připraveni se připojit. Kliknutím na ikonu Viscosity na liště nabídky macOS nebo na systémové liště Windows otevřete nabídku Viscosity Menu, vyberte připojení, které jste importovali, a Viscosity se připojí.

Chcete-li zkontrolovat, zda je VPN v provozu, můžete otevřít okno Podrobnosti z nabídky Viskozita. To vám umožní zobrazit podrobnosti o připojení, provoz a protokol OpenVPN.



To je vše, nastavili jste svůj vlastní server OpenVPN. Gratulujeme, nyní můžete zdarma využívat výhod provozování vlastního serveru OpenVPN!


OpenVPN

  1. Jak nainstalovat a hostovat server OpenVPN pomocí Dockeru

  2. Nainstalujte a nastavte OpenVPN Server na Ubuntu 20.04

  3. Nainstalujte a nakonfigurujte OpenVPN Server FreeBSD 12

  1. Jak nastavit a nakonfigurovat server OpenVPN na Ubuntu 22.04

  2. Nastavení serveru Obfuscation s Obfsproxy a Viscosity

  3. Nastavení serveru OpenVPN s CentOS a viskozitou

  1. Nastavení serveru OpenVPN s DD-WRT a viskozitou

  2. Nastavení serveru OpenVPN s Netgear a viskozitou

  3. Nastavení serveru OpenVPN s webovou autentizací Okta Single Sign-on a viskozitou