pfSense设置OpenVPN

由于pfSense是防火墙解决方案的首选,因此我们可以在其上设置VPN解决方案。在这个教程中,我们将创建OpenVPN SSL点对点连接。

我们的目标是在没有额外付费服务的情况下设置OpenVPN。这意味着必须创建自己的证书,管理自己的CA和吊销列表。

本教程的网络配置:

  • 主机:Windows Server 2016 – IP地址:10.20.20.2/16
  • 防火墙/ VPN:pfSense 2.3.4 – LAN接口IP地址:10.20.20.1 / 16
  • WAN接口:静态IP
  • 客户端的OpenVPN接口:192.168.1.0/28
  • 连接到OpenVPN的计算机操作系统为Windows Server 2012, IP地址随机。

第一步, 添加本地证书颁发机构

导航到System -Cert.Manager -CAs -Add,添加如下字段:

  • 描述性名称:输入CA的名称
  • 方法:创建内部证书颁发机构
  • 密钥长度:2048(您可以随时使用更强)
  • 摘要算法:sha256
  • 有效期(天):3650(您可以选择更短或更长的时间段)
  • 国家代码:HR(选择你的国家)

输入您的个人或公司数据,通用名称保留原样,然后点击底部的保存按钮。

完成后如下图所示:

第二步,添加服务器和客户端证书

首先,我们将创建服务器证书

导航到System-Cert.Manager-Certificates -Add,添加如下定段:

  • 方法:创建内部证书
  • 描述性名称:输入您将识别的内容
  • 证书颁发机构:(是我们刚创建的服务器)
  • 密钥长度和摘要算法应与CA相同。(在本例中是2048和sha256)
  • 证书类型:服务器证书
  • 有效期(天)(这里是10年)

与CA数据一样,输入城市、组织、电子邮件等,通用名称:为服务器输入内容,替代名称:再次输入内容,点击底部的保存按钮。

完成后列表如下图所示。

第三步:创建新用户+用户/客户端证书

导航到System – User Manager-Add

此用户无法登录应选中,这样VPN用户就无法登录到你的防火墙设备, 输入用户名、密码、描述、到期日期等信息(如果你想续订用户证书的话)。

组成员资格,用户不能是管理员组的成员。 移动到下面,单击添加来创建用户证书。

  • 输入描述性名称
  • 证书颁发机构选择我们一开始创建的(默认情况下应该选择)
  • 密钥长度应该与CA 中的相同(在本例中是2048)
  • 有效期选3650天(10年)

点击保存

完成后如下图:

添加完的证书如下图所示:

将证书导出进行备份是个好的习惯,你可以使用CA和证书选项卡上的导出选项来执行此操作。

第四步,安装插件

导航到System |Package Manager | Available Packages

找到openvpn-client-export并选择Install

单击确认。

执行安装。

安装完成!

在Installed Packages部分,可以看到已安装完成的插件。

第五步,配置OpenVPN服务器

导航到VPN -OpenVPN-Wizards

服务器类型选: Local User Access,点下一步。

在这里选择CA ,前面我们已经创建了一个CA,在这里选中它,点下一步。

服务器证书也已创建,选中,点下一步。

服务器设置:

  • 接口:WAN
  • 协议UDP
  • 本地端口1194
  • 说明(根据需要输入内容)

加密设置,如果你是从一开始就遵循所有的设置,则如下图所示。 如果你以不同方式输入CA证书的加密设置,在这里要确保它们是相同的。

隧道设置:隧道网络是客户端在连接到网络时将获得IP地址,在此处定义范围(范围应与你的生产网络不同), 其他字段如下图所示。

DNS服务器(填写你ISP的DNS或其他公共DNS,如Google ……)。

如果你需要设置NTP,这里可以使用NetBIOS或WINS

继续点下一步

防火墙和OpenVPN规则选择两者自动配置。这里要注意,如果你有自定义的LAN防火墙规则,这是不会影响你的VPN连接的,你不必在LAN防火墙接口上执行任何操作来使VPN正常工作。

完成!

回到服务器列表选项卡,在我们创建的服务器的右侧,单击编辑。

这是适用于我的OpenVPN服务器配置:

  • 服务器模式:点对点(SSL / TLS)
  • 协议:UDP
  • 设备模式:tap
  • 接口:WAN
  • 本地端口:1194
  • 描述 :输入这个服务器的描述内容

加密设置:通常,证书颁发机构(CA)、服务器证书、客户端证书和OpenVPN设置下的加密设置应该相同。

隧道设置 – 在OpenVPN向导设置中定义

高级配置是重要的部分,特别是对远程子网的访问,我们需要在自定义选项字段中的自定义命令才能通过VPN连接成功访问LAN资源。

在本教程结束时就可以成功连接到VPN,至于访问对端LAN子网,还需要进行另外其他的设置。

点击保存。

第六步,启用OpenVPN接口

导航到Interfaces | (assign) | Interface Assignments

在“接口分配”-“可用网络端口”下应该有可用的网络端口,单击“添加”

如下图所示,已完成OPT1接口的添加。

导航到Interfaces,找到刚才启用的接口OPT1,打开接口页面,选中启用接口,单击保存。

应用更改!

现在,让我们检查一下这个设置是否正常, 我们将导出我们的配置并希望将其导入客户端,然后连接到VPN。

导航到VPN – OpenVPN -Client Export

在这里可以下载各种VPN客户端。

“如果列表中缺少客户端,则可能是由于OpenVPN服务器实例与客户端证书之间的CA不匹配,或者此防火墙上不存在客户端证书。

OpenVPN 2.4需要Windows Vista或更高版本

“Win6”Windows安装程序包含一个新的tap-windows6驱动程序,仅适用于Windows Vista及更高版本。

“XP”Windows安装程序适用于Windows XP及更高版本。“

如果没有可用下载的VPN客户端,请按以下步骤进行操作:

导航到VPN-OpenVPN-Servers,在我们创建的VPN服务器的右侧单击编辑。

将服务器模式从“Peer to Peer”更改为“Remote Access(SSL / TLS)”,其他选项不需要做任何修改,单击保存。

现在回到VPN- OpenVPN- Client Export – 滚动到页面底部。

现在,选择所需要的VPN客户端进行下载,在这里,我选择Standard Configurations -Archive。

查看你的浏览器下载文件夹,应该有包含所需配置文件的zip文件。

重要步骤:在我们结束服务器部分之前,请回到VPN-OpenVPN-Servers,在我们创建的VPN服务器上单击编辑。

将服务器模式改回点对点(SSL / TLS),保持其他选项不变,单击保存。

现在我们在pfSense上已经建立了一个功能强大的OpenVPN。下一步将为OpenVPN配置客户端,你可以参阅这篇文章。

发表评论

电子邮件地址不会被公开。 必填项已用*标注