{"id":5116,"date":"2022-10-06T13:45:48","date_gmt":"2022-10-06T11:45:48","guid":{"rendered":"https:\/\/nsix.pl\/kb\/?p=5116"},"modified":"2022-11-02T10:21:45","modified_gmt":"2022-11-02T09:21:45","slug":"serwer-openvpn-w-systemie-opnsense","status":"publish","type":"post","link":"https:\/\/nsix.pl\/kb\/serwer-openvpn-w-systemie-opnsense\/","title":{"rendered":"Serwer OpenVPN w systemie OPNsense"},"content":{"rendered":"\n

System OPNsense poza spe\u0142nianiem swojej funkcji jako brama dost\u0119powa do sieci dla serwer\u00f3w kt\u00f3re znajduj\u0105 si\u0119 za nim, posiada tak\u017ce funkcj\u0119 serwera OpenVPN. Dzi\u0119ki takiemu rozwi\u0105zaniu mo\u017cemy w bezpieczny spos\u00f3b \u0142\u0105czy\u0107 si\u0119 do naszych maszyn bez konieczno\u015bci wystawiania ich na sie\u0107 publiczn\u0105 i nara\u017cania ich na ataki.<\/p>\n\n\n\n

Nale\u017cy pami\u0119ta\u0107, \u017ce po\u0142\u0105czenia OpenVPN zu\u017cywaj\u0105 zasoby fizyczne proporcjonalnie do ilo\u015bci klient\u00f3w. Je\u017celi zamierzamy utworzy\u0107 wiele po\u0142\u0105cze\u0144, warto rozwa\u017cy\u0107 zwi\u0119kszenie ilo\u015bci zasob\u00f3w na danej maszynie.<\/p><\/blockquote>\n\n\n\n

Aby\u015bmy mogli po\u0142\u0105czy\u0107 si\u0119 z serwerem VPN z ka\u017cdej lokalizacji, wymagany jest publiczny adres IP.<\/p><\/blockquote>\n\n\n\n

W tym artykule przedstawimy w jaki spos\u00f3b mo\u017cna utworzy\u0107 w\u0142asny serwer OpenVPN na zaporze OPNsense.<\/p>\n\n\n\n

Aby utworzy\u0107 nowy serwer OpenVPN, logujemy si\u0119 do panelu sterowania OPNsense i przechodzimy do zak\u0142adki VPN > OpenVPN > Servers<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nast\u0119pnie uruchamiamy kreator tworzenia nowego serwera poprzez klikni\u0119cie w ikon\u0119 r\u00f3\u017cd\u017cki po prawej stronie ikony plusa.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

W pierwszym kroku, zostawiamy domy\u015bln\u0105 opcj\u0119 „Local User Access” i przechodzimy dalej.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Kolejny krok polega na utworzeniu nowego „Urz\u0119du certyfikacji” dla naszego serwera. Wype\u0142niamy w nim pola tak aby znalaz\u0142y si\u0119 w nich wszystkie potrzebne dane.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po uzupe\u0142nieniu wszystkich p\u00f3l, zatwierdzamy nasze dane przyciskiem u do\u0142u strony.<\/p>\n\n\n\n

Nast\u0119pna strona to utworzenie certyfikatu dla naszego serwera VPN. Wybieramy opcj\u0119 „Utw\u00f3rz nowy certyfikat” a nast\u0119pnie nadajemy mu odpowiedni\u0105 nazw\u0119 i zmieniamy d\u0142ugo\u015b\u0107 klucza na 4096 bit\u00f3w. Reszt\u0119 ustawie\u0144 mo\u017cemy zostawi\u0107 jako domy\u015blne i zaakceptowa\u0107 utworzenie nowego certyfikatu.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Kolejny krok to wprowadzenie ustawie\u0144 dla serwera VPN. W pierwszej cz\u0119\u015bci dotycz\u0105cej g\u0142\u00f3wnych ustawie\u0144, mo\u017cemy zostawi\u0107 wszystko jako domy\u015blne a jedyne co musimy wprowadzi\u0107 to nazw\u0119 dla naszego serwera. Je\u017celi jednak chcemy udost\u0119pni\u0107 nasz VPN na w\u0142asnym wybranym porcie, nale\u017cy wpisa\u0107 go w polu „Local Port”. Je\u017celi zostawimy to pole puste, zostanie wybrany port domy\u015blny (1194) b\u0105d\u017a kolejny je\u017celi posiadamy ju\u017c jaki\u015b serwer.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Kolejna cz\u0119\u015b\u0107 ustawie\u0144 dotyczy szyfrowania. Ustawienia dotycz\u0105ce klucza TLS mo\u017cemy zostawi\u0107 jako domy\u015blne, natomiast dla zwi\u0119kszenia bezpiecze\u0144stwa, warto zmieni\u0107 u\u017cywany algorytm szyfrowania na AES-256-CBC oraz algorytm uwierzytelniania na SHA256.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

W nast\u0119pnej cz\u0119\u015bci wprowadzamy ustawienia dotycz\u0105ce generowanego tunelu. Ustawiamy w tym miejscu jakie adresy sieciowe maj\u0105 by\u0107 przyznawane klientom VPN w polu „IPv4 Tunnel Network”, natomiast pole „IPv4 Local Network” pozwala nam na wydzielenie dost\u0119pu do kt\u00f3rej\u015b z lokalnych podsieci. Aby tego dokona\u0107, wpisujemy jej adres wraz z mask\u0105 do tego pola.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dalej, mo\u017cemy ustali\u0107 ile maksymalnie klient\u00f3w mo\u017ce by\u0107 pod\u0142\u0105czone w tym samym momencie a tak\u017ce dostajemy mo\u017cliwo\u015b\u0107 zmiany potencjalnie niebezpiecznych ustawie\u0144, takich jak w\u0142\u0105czenie kompresji ruchu VPN, zezwolenie na komunikacj\u0119 mi\u0119dzy klientami czy zezwolenie na po\u0142\u0105czenie jednego klienta z kilku miejsc jednocze\u015bnie.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nast\u0119pna cz\u0119\u015b\u0107 to ustawienia klienta. Wszystkie ustawienia mo\u017cna tam pozostawi\u0107 nieuzupe\u0142nione, b\u0105d\u017a jako domy\u015blne.<\/p>\n\n\n\n

Sprawdzamy jeszcze raz czy wszystkie dane zosta\u0142y uzupe\u0142nione wed\u0142ug naszego upodobania a nast\u0119pnie zatwierdzamy je przyciskiem „Next” u do\u0142u strony.<\/p>\n\n\n\n

Ostatni krok to utworzenie regu\u0142 w zaporze ogniowej kt\u00f3re zezwol\u0105 na komunikacj\u0119 pomi\u0119dzy klientami a serwerem VPN.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po zatwierdzeniu dostajemy komunikat, \u017ce nasza konfiguracja jest zako\u0144czona co potwierdzamy przyciskiem „Finish”. W tej chwili system tworzy nasz\u0105 konfiguracj\u0119 aby po chwili prze\u0142adowa\u0107 stron\u0119 gdzie naszym oczom ukazuje si\u0119 serwer VPN kt\u00f3ry w\u0142a\u015bnie utworzyli\u015bmy.<\/p>\n\n\n\n

Teraz, aby mie\u0107 spos\u00f3b na po\u0142\u0105czenie do serwera, musimy doda\u0107 nowych u\u017cytkownik\u00f3w kt\u00f3rzy b\u0119d\u0105 mieli do niego dost\u0119p. W tym celu przechodzimy do zak\u0142adki System > Access > Users<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po przej\u015bciu na stron\u0119, klikamy przycisk plus w celu utworzenia nowego u\u017cytkownika. Uzupe\u0142niamy tam jego nazw\u0119 logowania, has\u0142o a tak\u017ce po zjechaniu na d\u00f3\u0142 zaznaczamy opcj\u0119 utworzenia certyfikatu u\u017cytkownika.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Po klikni\u0119ciu przycisku „Save” zostaniemy przekierowani do strony na kt\u00f3rej tworzymy certyfikat dla u\u017cytkownika. Aby to zrobi\u0107 musimy:
-Wybra\u0107 metod\u0119 utworzenia nowego certyfikatu wewn\u0119trznego,
-Wybra\u0107 „Urz\u0105d certyfikacji” kt\u00f3rym go podpiszemy, jest to ten sam kt\u00f3ry utworzyli\u015bmy we wcze\u015bniejszych krokach,
-Warto tak\u017ce zmieni\u0107 d\u0142ugo\u015b\u0107 klucza na 4096 bit dla wi\u0119kszego bezpiecze\u0144stwa,
Reszta ustawie\u0144 mo\u017ce zosta\u0107 domy\u015blna.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Po utworzeniu certyfikatu zostajemy przeniesieni do poprzedniej strony gdzie musimy zatwierdzi\u0107 u\u017cytkownika jeszcze raz.<\/p>\n\n\n\n

Kiedy u\u017cytkownik jest ju\u017c gotowy, mo\u017cemy przej\u015b\u0107 do ostatniego etapu jakim jest eksport gotowego pliku, kt\u00f3ry b\u0119dzie mo\u017cna zaimportowa\u0107 do klienta OpenVPN. Aby tego dokona\u0107, przechodzimy do zak\u0142adki VPN > OpenVPN > Client Export<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po jej otworzeniu musimy ustawi\u0107 kilka rzeczy, tak aby eksport zosta\u0142 wykonany poprawnie. Po pierwsze musimy wybra\u0107 serwer VPN kt\u00f3ry dopiero co utworzyli\u015bmy, nast\u0119pnie wybra\u0107 spos\u00f3b eksportu oraz wpisa\u0107 nasz\u0105 nazw\u0119 hosta b\u0105d\u017a adres IP.
Co do sposob\u00f3w eksportu, mamy do wyboru 4 r\u00f3\u017cne, jednak nas w tym przypadku b\u0119dzie interesowa\u0142 Samodzielny plik („File Only”).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po uzupe\u0142nieniu danych, mo\u017cemy klikn\u0105\u0107 w przycisk pobierania obok nazwy u\u017cytkownika kt\u00f3rego w\u0142a\u015bnie utworzyli\u015bmy w celu pobrania pliku.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po pobraniu na nasz komputer, plik importujemy do klienta OpenVPN a nast\u0119pnie \u0142\u0105czymy si\u0119 za jego pomoc\u0105. Podczas po\u0142\u0105czenia dostaniemy komunikat o potrzebie wpisania nazwy u\u017cytkownika oraz has\u0142a. Wpisujemy po\u015bwiadczenia kt\u00f3re ustanowili\u015bmy wcze\u015bniej i zatwierdzamy po\u0142\u0105czenie.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Je\u017celi ca\u0142a konfiguracja zosta\u0142a wykonana poprawnie, powinni\u015bmy ujrze\u0107 komunikat.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Dla potwierdzenia poprawno\u015bci konfiguracji mo\u017cemy wykona\u0107 komend\u0119 ping na adres serwera VPN.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

System OPNsense poza spe\u0142nianiem swojej funkcji jako brama dost\u0119powa do sieci dla serwer\u00f3w kt\u00f3re znajduj\u0105 si\u0119 za nim, posiada tak\u017ce funkcj\u0119 serwera OpenVPN. Dzi\u0119ki takiemu rozwi\u0105zaniu mo\u017cemy w bezpieczny spos\u00f3b \u0142\u0105czy\u0107 si\u0119 do naszych maszyn bez konieczno\u015bci wystawiania ich na sie\u0107 publiczn\u0105 i nara\u017cania ich na ataki. Nale\u017cy pami\u0119ta\u0107, \u017ce po\u0142\u0105czenia OpenVPN zu\u017cywaj\u0105 zasoby fizyczne […]<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[393],"tags":[154,42,67,155,21,392,200,112],"class_list":["post-5116","post","type-post","status-publish","format-standard","hentry","category-opnsense","tag-centrum-danych","tag-firewall","tag-konfiguracja","tag-nsix","tag-openvpn","tag-opnsense","tag-router","tag-vpn"],"_links":{"self":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/comments?post=5116"}],"version-history":[{"count":4,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5116\/revisions"}],"predecessor-version":[{"id":5149,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5116\/revisions\/5149"}],"wp:attachment":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/media?parent=5116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/categories?post=5116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/tags?post=5116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}