在PFSense 2.4上设置OpenVPN

  防火墙

在PFSense 2.4.x 上设置OpenVPN是一个简单但相当漫长的过程,但是希望本分步指南可以为您提供尽可能轻松地实现此解决方案的指导。在PFSense上安装和配置OpenVPN的三个主要步骤:

  1. 创建证书基础结构
  2. 在PFSense上配置OpenVPN
  3. 配置客户端访问

VPN是非常通用的基础架构解决方案,使您能够启用对本地环境的远程访问。与直接通过Internet公开远程访问协议(例如RDP或SSH)相比,它们也是一种更安全的解决方案,并且当您从不安全的位置使用Internet时,它们还为您提供一定程度的隐私和安全性。

让我们开始吧。

创建PFSense和OpenVPN所需的证书基础结构

OpenVPN使用证书来保护VPN服务的安全,以进行身份​​验证和加密。我们需要在PFSense上做的第一件事是创建证书颁发机构。如果已经配置了一个,则可以跳过此步骤。

在PFSense上创建证书颁发机构

该过程的第一步是导航到内置的PFSense证书管理器

 

PFSense认证经理

 

然后,您将看到一个仪表板,其中详细列出了服务器上安装的CA列表。在下面的示例中,没有一个,因此单击“ + Add ”创建一个新的。

 

 

接下来,我们需要填写 PFSense将用于创建证书颁发机构的表格。由于我们正在建立内部证书颁发机构,因此请从下拉列表中选择此选项,如下图所示,然后在提供的字段中填写有关您组织的必要详细信息。记住要给您一个有用的通用名称CA,您可以用来识别它。在我的示例中,我使用了PFSense_RootCA。完成后,单击“ 保存 ”,将创建您的内部证书颁发机构。

 

 

在PFSense上创建OpenVPN服务器证书

下一步是为OpenVPN服务器创建证书,客户端将在连接到服务器时使用该证书来验证服务器的身份。在“系统–证书管理器”下,导航到“证书”选项卡,然后单击“ +添加/签名 ”。

 

 

接下来,完成表单以创建证书。请注意,您需要选择“创建内部证书”方法,并确保选择“服务器证书”作为证书类型。填写其余的相关信息,完成后,单击“ 保存 ”。

 

 

OpenVPN所需的证书基础结构现已完成,因此我们可以进入下一阶段,创建OpenVPN服务

 

在PFSense上配置OpenVPN

 

我们将在此步骤中使用OpenVPN配置向导。要开始,请转到主菜单中的VPN,然后单击OpenVPN。

 

接下来,单击“ 向导 ”选项卡以开始配置序列。

 

 

现在,我们需要选择服务器的类型。在提供的下拉列表中,选择“ 本地用户访问 ”,然后单击“ 下一步 ”

 

 

下一步选择证书颁发机构,然后单击“ 下一步 ”。如果您尚未创建一个,请按照上述步骤操作。

 

 

下一步是选择VPN服务器证书。完成后,单击“ 下一步 ”。同样,如果您还没有创建一个,请按照上述步骤操作。

 

 

接下来,您将需要完成“服务器设置”表单,该表单包括四个部分:“常规OpenVPN服务器信息”,“加密设置”,“隧道设置”和“客户端设置”。由于每种环境都不同,因此您可能需要调整这些以满足特定要求。以下设置是默认设置,可确保隐私并使用PFSense作为DNS服务器等。

首先,让我们配置“ 常规OpenVPN服务器信息”。如果您按照以下示例进行选择,则将所有内容保留为默认值,并为您的VPN提供描述。

 

 

在“ 加密设置”下,将所有内容保留为默认设置,但请按照以下示例将Auth Digest Algorithm更改为SHA256,因为SHA1不太安全。

 

 

在“ 隧道设置”下,以CIDR表示法为隧道网络输入IP地址范围(这将是OpenVPN用于将IP分配给VPN客户端的IP地址范围)。您还需要勾选标记为“重定向网关”的复选框,以确保所有客户端仅将VPN用于其所有流量。接下来,以CIDR表示法输入本地网络IP地址范围(通常是您的LAN),然后设置最大并发连接数。

 

 

在我的配置示例中,我将所有客户端设置保留为默认状态。在这里您可能要指定DNS服务器等。完成后,单击“ 下一步 ”。

 

 

接下来,向导将要创建防火墙规则配置。根据以下示例选择防火墙规则和OpenVPN规则,然后单击“ 下一步 ”

 

 

最终,配置完成。点击“ 完成 ”。

 

 

现在,您应该已经配置了OpenVPN服务器,一个新创建的WAN防火墙规则以及在防火墙规则下配置了OpenVPN规则的OpenVPN选项卡。下面的例子。

 

 

在PFSense上配置OpenVPN客户端访问

现在,OpenVPN服务器已启动并正在运行,我们需要配置VPN客户端访问。

在PFSense上创建OpenVPN客户端

导航至VPN – OpenVPN,然后单击“ 客户端 ”选项卡,然后单击“ +添加 ”。

 

 

这将打开OpenVPN客户端编辑表单,该表单包含5个部分,常规信息,用户身份验证设置,加密设置,隧道设置和高级配置。与服务器配置一样,您将需要配置这些设置以符合您的特定要求。以下是您需要进行的最小更改。

常规信息下,输入PFSense服务器的服务器IP地址或完全限定域名(FQDN)并提供描述。

 

 

在“ 用户身份验证设置”下,提供用户名和密码。

 

 

在“ 加密设置”下,选择“ SHA256”作为身份验证摘要算法

 

 

在“ 高级配置 ” 下,选择“仅IPv4”,然后单击“ 保存 ”

 

 

您现在应该具有适当配置的客户端配置

 

 

安装OpenVPN客户端导出软件包

现在,我们需要安装OpenVPN Client Export软件包,以便可以导出需要提供给客户端的客户端配置,以便它们可以连接到我们的OpenVPN服务器。

首先进入系统–程序包管理器

 

 

单击可用软件包,然后搜索OpenVPN。在返回的搜索结果中,单击“ 安装 ”以安装openvpn-client-export软件包

 

 

在下一个屏幕上,点击“ 确认 ”

 

 

然后将安装该软件包,如果安装成功,您将收到通知。

 

添加VPN用户

现在,我们需要创建VPN用户。为此,请转到系统–用户管理器,然后单击“ 添加 ”以创建一个新用户。填写用户名和密码,该名称和密码需要与您在OpenVPN客户端配置期间在“客户端设置”下创建的配置匹配。确保选中“ 单击以创建用户证书 ”,然后为证书命名并选择您的证书颁发机构。完成所有操作后,点击“ 保存 ”

 

 

您尚未完成OpenVPN设置。要下载客户端配置,请导航至OpenVPN菜单项下的客户端导出。

 

 

如果所有配置均正确,则现在将为您提供不同的下载选项,这些选项可为您提供配置客户端所需的OpenVPN配置设置,以便它们能够连接到PFSense OpenVPN服务器。