In diesem Tutorial sehen wir uns an, wie man OpenVPN auf pfSense einrichtet.
Ich habe ein paar OpenVPN-Tutorials mit einem Raspberry Pi oder Synology NAS erstellt, aber von allen Implementierungen ist dies mein „Favorit“. Durch die Verwendung von pfSense können Sie OpenVPN auf Ihrem Router ausführen und den Dienst auf das Gerät auslagern, auf dem es wohl am besten ausgeführt werden kann.
OpenVPN ist auf pfSense etwas komplexer einzurichten als auf einem Raspberry Pi oder Synology NAS, aber genau so ist pfSense. Tonnen von Optionen (die meistens übersprungen oder umgangen werden können), aber diese Optionen bieten Ihnen eine Menge Flexibilität, die Sie normalerweise nicht haben. Mein Ziel ist es, den Prozess so gut wie möglich zu vereinfachen und zu zeigen, wie man OpenVPN auf pfSense so einfach wie möglich einrichtet.
Bitte beachten Sie, dass Sie keine statische externe IP-Adresse haben (was die meisten Leute nicht tun), müssen Sie DDNS einrichten. DDNS steht für Dynamic DNS und verfolgt Ihre externe IP-Adresse, um sicherzustellen, dass Sie sich IMMER mit Ihrem Heimnetzwerk verbinden, wenn Sie diesen Domainnamen verwenden. Wenn Sie eine eigene Domain besitzen, können Sie DDNS auf Cloudflare einrichten. Wenn Sie jedoch keinen Domainnamen haben, ist DuckDNS die beste (und einfachste) Lösung, die ich verwendet habe. DuckDNS ist völlig kostenlos und hat keine lästigen 30-tägigen Aktualisierungsintervalle wie No-IP. Bitte folgen Sie dieser Anleitung, um DuckDNS auf pfSense einzurichten.
Dieses Tutorial (So richten Sie OpenVPN auf pfSense ein) wird aus der Sicht von Heimanwendern behandelt.
1. OpenVPN-Server-Setup
Der einfachste Weg, OpenVPN einzurichten, ist die Verwendung des OpenVPN-Assistenten. Es führt Sie durch den größten Teil des Prozesses.
1. Wählen Sie VPN und dann OpenVPN . Wählen Sie dort Assistenten aus .
2. Behalten Sie den Servertyp bei als Lokaler Benutzer Zugriff und wählen Sie dann Weiter aus .
3. OpenVPN benötigt eine eigene Zertifizierungsstelle . Wählen Sie Neue Zertifizierungsstelle hinzufügen aus Geben Sie dem Zertifikat auf dem nächsten Bildschirm einen Namen. Füllen Sie die Standortinformationen aus, wenn Sie möchten.
4. Als Nächstes erstellen wir einen Server Zertifikat . Geben Sie dem Zertifikat einen Namen und füllen Sie wie im letzten Schritt die Standortinformationen aus, wenn Sie möchten.
5. Geben Sie im nächsten Schritt dem OpenVPN-Server eine Beschreibung . Verlassen Sie die Oberfläche , Protokoll und lokal Port als Standard (WAN, UDP nur auf IPv4, 1194).
6. Die kryptografischen Einstellungen können als Standard und in den Tunnel-Einstellungen verbleiben , stellen Sie sicher, dass Sie ein Subnetz auswählen, das derzeit NICHT verwendet wird. Im Lokal Netzwerk Geben Sie im Abschnitt Ihr LAN-Subnetz ein, damit das lokale Netzwerk über OpenVPN zugänglich ist. Wenn Sie eine maximale Anzahl gleichzeitiger Verbindungen festlegen möchten, können Sie diese Einstellung hier ändern. Die restlichen Einstellungen können als Standard bleiben. Es ist nicht erforderlich, weitere Einstellungen zu ändern, aber wenn Sie einen bestimmten DNS-Server verwenden möchten, können Sie dies unter Client ändern Einstellungen . Wenn Sie mit allem fertig sind, wählen Sie Weiter .
7. Stellen Sie auf dem nächsten Bildschirm sicher, dass Sie die Firewall-Regel automatisch erstellen und die OpenVPN-Regel und wählen Sie dann Weiter aus . Die Serverkonfiguration ist nun abgeschlossen!
2. Client-Exportpaket &Benutzerkonten – So richten Sie OpenVPN auf pfSense ein
Bevor Sie fortfahren, müssen zwei Voraussetzungen erfüllt sein:
Stellen Sie sicher, dass Sie den openvpn-client-export installieren Paket aus dem Paket-Manager (System> Paket-Manager> Verfügbare Pakete). ).
Stellen Sie sicher, dass Sie über ein Benutzerkonto verfügen mit einem Benutzerzertifikat eingerichtet erstellt. Wählen Sie dazu System> Benutzer-Manager> Hinzufügen aus . Wählen Sie einen Nutzernamen und ein Passwort und dann klicken, um ein Nutzerzertifikat zu erstellen . Geben Sie dem Zertifikat einen Namen (im Allgemeinen Benutzername + OpenVPN-Zertifikat) und stellen Sie sicher, dass die OpenVPN_CA das wir zuvor erstellt haben, ist ausgewählt. Belassen Sie den Rest als Standard und speichern Sie.
3. OpenVPN-Client-Konfiguration – So richten Sie OpenVPN auf pfSense ein
Nachdem das Client-Export-Tool und das Benutzerkonto erstellt wurden, können wir mit dem Exportieren unserer Konfigurationsdatei fortfahren.
Wählen Sie in den OpenVPN-Einstellungen (VPN> OpenVPN) Client aus Exportieren . Wenn Sie eine statische externe IP-Adresse haben, verlassen Sie den Host Name Auflösung als Schnittstelle IP Adresse . Wenn Sie DDNS auf pfSense eingerichtet haben, wird der DDNS-Hostname in der Dropdown-Liste verfügbar sein. Wenn Sie DDNS auf einem anderen Gerät eingerichtet haben, wählen Sie Andere aus und geben Sie den DDNS-Hostnamen ein. Sie können dann speichern diese Einstellungen.
Ich empfehle generell die Verwendung der Datei OpenVPN Connect (iOS/Android). Dadurch wird eine ovpn-Konfigurationsdatei generiert, die auf Android-/iPhone-Geräten oder der neuen OpenVPN Connect-Anwendung unter Windows oder MacOS verwendet werden kann. Standardmäßig enthält die Konfigurationsdatei alle erforderlichen Informationen, die es Ihnen ermöglichen, sich wieder mit Ihrem lokalen Netzwerk zu verbinden.
Eine Sache möchte ich jedoch kurz ansprechen, wenn es darum geht, wie der Datenverkehr über diesen VPN-Tunnel gesendet wird. Das folgende Bild zeigt Ihnen den Unterschied zwischen einem Split-Tunnel- und einem Full-Tunnel-VPN.
Split-Tunnel-VPN :Datenverkehr wird nur dann durch Ihr Netzwerk gesendet, wenn versucht wird, auf eine interne Ressource zuzugreifen. Wenn Sie zu einer Website außerhalb Ihres Netzwerks navigieren, ist Ihre IP-Adresse die IP-Adresse des Netzwerks, in dem Sie sich gerade befinden.
Full-Tunnel-VPN :Der gesamte Datenverkehr wird über Ihr Heimnetzwerk gesendet. Ihre IP-Adresse für interne und externe Anfragen sind Ihre Heimnetzwerke.
HINWEIS :Dies ist nicht der genaue Netzwerkfluss. Ich vereinfache den Prozess so weit ich kann.
Bitte denken Sie daran, dass Sie zwei Konfigurationsdateien erstellen können (einen für Split-Tunnel und einen für Full-Tunnel), wenn Sie beide verwenden möchten. Fügen Sie für eine Full-Tunnel-VPN-Konfigurationsdatei den folgenden Text zu Ihrer Konfigurationsdatei hinzu (über dem Zertifikat).
redirect-gateway def1
Wenn Sie diese Zeile weglassen, wird die Konfigurationsdatei standardmäßig für ein Split-Tunnel-VPN verwendet.
Importieren Sie diese Datei in eine OpenVPN Connect-Anwendung und stellen Sie sicher, dass Sie sich nicht in Ihrem lokalen Netzwerk befinden. Der beste Ort zum Testen ist in einem Mobilfunknetz mit einem Mobiltelefon.
Wenn Sie die Split-Tunnel/Full-Tunnel-VPN-Konfiguration testen möchten, stellen Sie eine Verbindung zum Split-Tunnel-VPN her und suchen Sie dann in Google nach „What is my IP“. Die zurückgegebene IP-Adresse sollte die IP-Adresse Ihres Mobilfunknetzes sein (oder des Netzwerks, mit dem Sie verbunden sind). Wenn Sie dann die Verbindung zum Full-Tunnel-VPN trennen und wieder herstellen und dasselbe suchen, sollten Sie die IP-Adresse Ihres Heimnetzwerks (wo der VPN-Server konfiguriert ist) zurückgeben.
4. Fazit – So richten Sie OpenVPN auf pfSense ein
Dieses Tutorial zeigte, wie man OpenVPN auf pfSense einrichtet. Glücklicherweise ist der Prozess zum Einrichten eines OpenVPN auf pfSense durch die Verwendung des Assistenten und der Client-Export-Tools relativ einfach. Sie können jetzt so viele Benutzer erstellen, wie Sie möchten, ihre eigene Konfigurationsdatei exportieren und sie können sich mit Ihrem VPN-Server verbinden!
Vielen Dank, dass Sie sich das Tutorial zum Einrichten von OpenVPN auf pfSense angesehen haben. Wenn Sie Fragen haben, können Sie diese gerne in den YouTube-Kommentaren hinterlassen!