Serwer OpenVPN w systemie pfSense

System pfSense pozwala na stworzenie serwera OpenVPN w celu zestawienia połączenia niewielkiej ilości klientów.

Należy pamiętać, że duża ilość użytkowników VPN podłączonych do maszyny z systemem pfSense w znaczącym stopniu wykorzystuje moc obliczeniową. W takim wypadku zalecane jest skorzystanie z dedykowanego serwera OpenVPN.

W celu skorzystania z serwera OpenVPN wymagane jest posiadanie publicznego adresu IP.

Po zalogowaniu się do systemu pfSense należy przejść do do zakładki VPN->OpenVPN. Następnie w nowym oknie kliknąć na pozycję wizards

Tworzenie certyfikatów

kreator openvpn

Pierwszym etapem jest określenie sposobu autoryzacji. Należy zostawić domyślną opcję.

Następnie należy kliknąć przycisk „Next”. W kolejnym kroku trzeba podać dane dotyczące certyfikatu CA:

  • Descriptive name wymyślona nazwa,
  • Key lenght: 4096 b:it,
  • livetime: 3650,
  • Country code: kod kraju np. PL,
  • State or Rovince: województwo,
  • City: miasto,
  • Organization: nazwa organizacji.

Po uzupełnieniu danych należy kliknąć na przycisk „Add new CA”. 

Kolejnym krokiem jest utworzenie certyfikatu dla serwera. W tym celu wystarczy podać nazwę certyfikatu i wybrać „Key lenght” o wartości 4096 bit, pozostałe informacje zostaną uzupełnione automatycznie.

W celu utworzenia certyfikatu dla serwera wystarczy kliknąć przycisk „Create new Certificate”.

Konfiguracja serwera OpenVPN

 

W dalszej kolejności system przedstawi konfigurację serwera OpenVPN. Należy odnaleźć dwie pozycje „DH parameters lenght” oraz „Tunel Network”. W „DH parameters lenght” należy wpisać 4096 bit, z kolei w „Tunel Network” trzepa podać z jakiej sieci będą przydzielane adresy dla klientów serwera vpn. Adres należy podać w notacji CIDR. Pierwszy adres zostanie automatycznie przydzielony dla serwera, pozostałe będą wykorzystywane dla klientów. Na potrzeby poradnika zostanie wykorzystana sieć o adresie 10.0.6.0/24. 

Po uzupełnieniu pół należy przejść na koniec strony i kliknąć przycisk „Next”.

konfiguracja serwera

W kolejnym kroku system pozwoli na automatyczne dodanie reguł firewall i OpenVPN.Pozwalają one na zestawienie połączenia z serwerem vpn od strony interfejsu wan i dostęp do sieci internetowej poprzez połączenie vpn Aby tego dokonać należy zaznaczyć obydwie pozycje.

role fw pfSense

Kliknięcie przycisku „Next” spowoduje przejście do ostatniego kroku.

Ostatnią fazą jest informacja o ukończeniu konfiguracji. Kliknięcie przycisku „Finish” spowoduje przejście do listy serwerów VPN.

Instalowanie narzędzia do eksportowania paczek klienckich.

Po ukończeniu konfiguracji serwera należy przejść do zakładki System->Package Manager. Następnie należy kliknąć zaznaczoną pozycję.

okno paczek

W nowym widoku trzeba znaleźć pakiet o nazwie „openvpn-client-export” a następnie go zainstalować.

pakiet exportu openvpn

Po zainstalowaniu wskazane jest przejście do zakładki „Installed Packages” i upewnienie się, że pakiet został pomyślnie zainstalowany.

zainstalowane pakiety

Tworzenie użytkownika

W dalszej części należy utworzyć nowego użytkownika. Z menu znajdującego się w górnej części strony należy przejść do System-> User Manager. Zostanie otwarty widok przedstawiający użytkowników znajdujących się w systemie pfSense.

okno uzytkownikow

W celu utworzenia użytkownika trzeba kliknąć na przycisk „Add”. 

W części „USER Properties” należy podać login użytkownika, hasło, pełną nazwę i zaznaczyć opcję „Click to create a user certificate”.

Poniżej, w części „Create certificate user” należy podać nazwę certyfikatu, najlepiej wpisać to co znajduje się w polu „Full name” z dopiskiem Certificate np. „vpn user Certificate”

W polu „Key lenght” ustawić 4096 bit, natomiast lifetime na 3650.

certyfikat urzytkownika

Na samym dole strony znajduje się przycisk „Save”. Jego kliknięcie spowoduje utworzenie nowego użytkownika i stworzenie certyfikatu. Widok użytkowników systemu prezentuje się następująco.

dodany nowy użytkownik

Eksportowanie paczki klienta serwera OpenVPN

Po utworzeniu nowego użytkownika należy przejść do zakładki VPN->OpenVPN. W niej odnaleźć i kliknąć zaznaczoną pozycję.

okno serwera vpn

Po przejściu do „Client Export” należy odnaleźć pozycję „OpenVPN Clients” i w części „Bundled Configuration” kliknąć przycisk „Archive”.

archiwum do pobrania

Zostanie pobrany plik z rozszerzeniem .zip. Jego zawartość obejmuje folder, w którym znajdują się certyfikaty oraz plik konfiguracyjny dla klienta OpenVPN służące do zestawienia połączenia.

Zezwolenie na połączenie na interfejsie WAN

W celu zezwolenia na połączenie z routerem na interfejsie WAN należy przejść do zakładki Interfaces->WAN. Nastepnie na samym dole strony odznaczyć dwie pozycje w części „Reserved Networks”, następnie kliknąć „Save”.

seci zwrotne

Po zapisaniu należy kliknąć na „Apply Changes” w celu zastosowania zmian

Instalacja i konfiguracja klienta OpenVPN

Proces instalacji klienta OpenVPN został opisany w tym artykule.

Po wykonaniu procesu instalacji należy przejść do folderu C:\Program Files\OpenVPN\config i wypakować zawartość pobranego pliku .zip. Następnie trzeba uruchomić program OpenVPN. W prawej części paska zadań zostanie ukazana ikona programu.

ikona ovpn

Należy kliknąć na nią prawym przyciskiem myszy,wybrać pozycję o takiej samej nazwie jak pobrany plik .zip i kliknąć połącz.

zestawienie połączenia vpn

W kolejnym kroku należy podać nazwę utworzonego użytkownika oraz hasło. Zaznaczając opcję „Save password” program zapamięta login oraz hasło i nie będzie wymagane ich ponowne wpisanie.

logowanie

Po poprawnym zestawieniu połączenia zostanie wyświetlona wiadomość informująca o uzyskanym adresie IP.

adres ip vpn

Oraz ikona OpenVPN zmieni kolor na zielony.

pomyślnie zestawione połączenie ovpn

W celu sprawdzenia poprawności połączenia została wykonana procedura ping na adres 10.0.6.1 będący adresem routera.

ping vpn test
Tagi: