{"id":5211,"date":"2023-02-03T15:38:22","date_gmt":"2023-02-03T14:38:22","guid":{"rendered":"https:\/\/nsix.pl\/kb\/?p=5211"},"modified":"2023-02-03T15:38:23","modified_gmt":"2023-02-03T14:38:23","slug":"konfiguracja-serwera-openvpn-na-zaporze-sieciowej-opnsense","status":"publish","type":"post","link":"https:\/\/nsix.pl\/kb\/konfiguracja-serwera-openvpn-na-zaporze-sieciowej-opnsense\/","title":{"rendered":"Konfiguracja serwera OpenVPN na zaporze sieciowej OPNsense"},"content":{"rendered":"\n

Stworzenie w\u0142asnego serwera VPN jest bardzo przydatnym rozwi\u0105zaniem kiedy \u0142\u0105czymy si\u0119 do w\u0142asnej infrastruktury. Dzi\u0119ki temu, \u017ce jest to rozwi\u0105zanie kt\u00f3re mo\u017cemy ustawi\u0107, dostosowa\u0107 oraz udost\u0119pnia\u0107 we w\u0142asnym zakresie, poziom prywatno\u015bci oraz bezpiecze\u0144stwa jest w tym wypadku bardzo wysoki.<\/p>\n\n\n\n

Aby rozpocz\u0105\u0107 konfiguracj\u0119 serwera OpenVPN na zaporze OPNsense nale\u017cy w pierwszej kolejno\u015bci przej\u015b\u0107 przez pocz\u0105tkow\u0105 konfiguracj\u0119. Poradnik w jaki spos\u00f3b mo\u017cna tego dokona\u0107 znajduje si\u0119 w tym artykule<\/strong><\/a> na naszej stronie.<\/p>\n\n\n\n

Po poprawnym skonfigurowaniu podstawowych ustawie\u0144 zapory, pierwszym krokiem konfiguracji jest utworzenie certyfikat\u00f3w dla serwera. Dzi\u0119ki nim jeste\u015bmy w stanie w\u0142\u0105czy\u0107 szyfrowanie transmisji pomi\u0119dzy klientem ko\u0144cowym a serwerem VPN.
Aby tego dokona\u0107, w panelu konfiguracyjnym zapory przechodzimy do zak\u0142adki System > Trust > Authorities<\/strong><\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Tutaj mo\u017cemy zarz\u0105dza\u0107 tzw. urz\u0119dami certyfikacji (CA). Utworzenie nowego urz\u0119du certyfikacji pozwala zagwarantowa\u0107, \u017ce wydawane przez niego certyfikaty s\u0105 tymi kt\u00f3re pochodz\u0105 z naszej zapory. Poza tym jest on wymagany do utworzenia nowych certyfikat\u00f3w potrzebnych do uruchomienia serwera OpenVPN.
W celu utworzenia nowego urz\u0119du klikamy na ikon\u0119 plusa w prawej cz\u0119\u015bci ekranu kt\u00f3ra przeniesie nas do strony na kt\u00f3rej b\u0119dziemy mogli tego dokona\u0107.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Tutaj pierwsz\u0105 opcj\u0105 kt\u00f3r\u0105 musimy zmieni\u0107, jest wybranie metody. Domy\u015blnie jest to import ju\u017c istniej\u0105cego, jednak w naszym wypadku chcemy utworzy\u0107 nowy, dlatego wybieramy utworzenie nowego urz\u0119du certyfikacji.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Poni\u017cej pojawi\u0142y si\u0119 w tym momencie nowe opcje. Opcjami kt\u00f3re musimy ustawi\u0107 s\u0105:
– Nazwa dla CA – wybrana przez nas nazwa kt\u00f3ra pozwoli na jego p\u00f3\u017aniejsz\u0105 identyfikacj\u0119.
– Typ klucza – do wyboru dostajemy klucz RSA lub klucz oparty o krzywe eliptyczne. W tym wypadku u\u017cyjemy tego pierwszego ze wzgl\u0119du na wydajno\u015b\u0107 takiego typu szyfrowania.
-D\u0142ugo\u015b\u0107 klucza – zazwyczaj im d\u0142u\u017cszy klucz, tym trudniej jest go odszyfrowa\u0107, dlatego w tym wypadku wybieramy d\u0142ugo\u015b\u0107 8192 bit\u00f3w.
– Funkcja skr\u00f3tu (Digest algorithm) – nie nale\u017cy u\u017cywa\u0107 funkcji SHA-1 poniewa\u017c nie uwa\u017ca si\u0119 jej ju\u017c za bezpieczn\u0105. W tym przypadku u\u017cywamy funkcji SHA-256.
– Czas \u017cycia – jest to ustawienie odpowiedzialne za d\u0142ugo\u015b\u0107 wa\u017cno\u015bci CA. Po jego wyga\u015bni\u0119ciu serwer wymaga wygenerowania nowego poniewa\u017c to dotychczasowe przestaje dzia\u0142a\u0107.
– Wszystkie pozosta\u0142e warto\u015bci wype\u0142niamy zgodnie z nazw\u0105 w\u0142asnej organizacji, miasta, regionu, itd..<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po zako\u0144czeniu wype\u0142niania danych zatwierdzamy je przyciskiem Save. Je\u017celi konfiguracja zosta\u0142a wpisana poprawnie, zostaniemy przeniesieni do poprzedniej strony gdzie poka\u017ce si\u0119 nowo utworzony urz\u0105d certyfikacji.<\/p>\n\n\n\n

Kolejnym krokiem do utworzenia serwera VPN jest wygenerowanie nowego certyfikatu u\u017cywanego przez serwer do komunikacji z klientami. Aby takowy wygenerowa\u0107 wchodzimy w zak\u0142adk\u0119 obok, czyli Trust > Certificates<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Tutaj dost\u0119pny jest ju\u017c jeden certyfikat utworzony przez bram\u0119 na potrzeby komunikacji przez protok\u00f3\u0142 HTTPS, jednak my dla serwera utworzymy nowy. Klikamy na plus w prawej g\u00f3rnej cz\u0119\u015bci ekranu kt\u00f3ry przenosi nas do ekranu tworzenia nowego certyfikatu.<\/p>\n\n\n\n

Oczywi\u015bcie w tym przypadku tak\u017ce nale\u017cy zmieni\u0107 metod\u0119 na tworzenie nowego certyfikatu do u\u017cytku wewn\u0119trznego.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Poni\u017cej wpisujemy now\u0105 nazw\u0119 a nast\u0119pnie wybieramy parametry szyfrowania: Klucz RSA, d\u0142ugo\u015b\u0107 4096 bit, SHA256, d\u0142ugo\u015b\u0107 \u017cycia 3650 dni. Reszta parametr\u00f3w zostanie zaczytana z urz\u0119du certyfikacji kt\u00f3ry przed chwil\u0105 zosta\u0142 utworzony. Warto tak\u017ce w polu „Common name” wpisa\u0107 jak\u0105\u015b nazw\u0119 kt\u00f3ra pozwoli na \u0142atw\u0105 identyfikacj\u0119 certyfikatu w p\u00f3\u017aniejszych krokach. Wa\u017cnym krokiem jest tak\u017ce zmiana typu certyfikatu na „Server certificate” aby m\u00f3c z niego skorzysta\u0107 podczas tworzenia serwera OpenVPN.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dalszym krokiem przygotowuj\u0105cym jest utworzenie listy CRL do kt\u00f3rej w razie potrzeby mo\u017cna doda\u0107 certyfikat kt\u00f3ry nie mo\u017ce ju\u017c wi\u0119cej identyfikowa\u0107 si\u0119 z naszym CA. Wchodzimy w zak\u0142adk\u0119 Trust > Revocation<\/strong> gdzie dodanie nowej listy do ju\u017c istniej\u0105cego CA wymaga klikni\u0119cia w ikon\u0119 plusa przy jego nazwie.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po nadaniu nazwy wystarczy klikn\u0105\u0107 zapisz, bez wi\u0119kszych zmian w domy\u015blnej konfiguracji. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

W tym momencie mo\u017cemy przej\u015b\u0107 wreszcie do konfiguracji serwera OpenVPN. Wchodzimy w zak\u0142adk\u0119 VPN > OpenVPN > Servers<\/strong> i klikamy tam na symbol plusa aby wej\u015b\u0107 do ekranu konfiguracji.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Aby poprawnie skonfigurowa\u0107 serwer dla wielu klient\u00f3w \u0142\u0105cz\u0105cych si\u0119 za pomoc\u0105 certyfikat\u00f3w, wybieramy tryb dzia\u0142ania jako „Remote Access (SSL\/TLS)”. Pozwala on nam na generowanie certyfikat\u00f3w po\u0142\u0105czenia dla u\u017cytkownik\u00f3w i brak konieczno\u015bci wpisywania np. loginu i has\u0142a podczas \u0142\u0105czenia. W efekcie po zaimportowaniu certyfikatu do programu OpenVPN na komputerze u\u017cytkownika, jedyne co nale\u017cy zrobi\u0107 to klikn\u0105\u0107 „Po\u0142\u0105cz”. Protok\u00f3\u0142 komunikacji w wi\u0119kszo\u015bci przypadk\u00f3w mo\u017ce pozosta\u0107 jako UDP, port przez kt\u00f3ry b\u0119dzie odbywa\u0142a si\u0119 komunikacja te\u017c mo\u017cna pozostawi\u0107 jako domy\u015blny (1194).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Poni\u017cej mamy do wyboru opcje szyfrowania. Mo\u017cemy wybra\u0107 czy serwer ma szyfrowa\u0107 tylko identyfikacj\u0119 z u\u017cytkownikiem, czy mo\u017ce zaszyfrowany ma by\u0107 ca\u0142y ruch. Nale\u017cy jednak pami\u0119ta\u0107, \u017ce w przypadku szyfrowania ca\u0142ego ruchu pomi\u0119dzy klientem a serwerem, zapora OPNsense staje si\u0119 przez to bardziej obci\u0105\u017cona, dodatkowo zmniejsza si\u0119 wydajno\u015b\u0107 tunelu VPN.
Kolejne opcje to wybranie utworzonego uprzednio CA, CRL oraz certyfikatu dla serwera. Mo\u017cemy tak\u017ce wybra\u0107 jakie szyfrowanie ma zosta\u0107 zastosowane podczas po\u0142\u0105czenia.
Przyk\u0142ad poprawnego ustawienia znajduje si\u0119 na zdj\u0119ciu poni\u017cej.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Kolejne ustawienia odpowiadaj\u0105 za ustawienia tunelu. Najwa\u017cniejsze z nich s\u0105:
– IPv4 Tunnel Network – nale\u017cy wybra\u0107 jak\u0105\u015b podsie\u0107 z zakresu sieci prywatnych, np. 10.0.8.0\/24. Jest to adresacja na jakiej b\u0119d\u0105 porozumiewali si\u0119 klienci z serwerem VPN
– IPv4 Local Network – aby m\u00f3c dosta\u0107 si\u0119 do serwer\u00f3w w sieci prywatnej za bram\u0105, nale\u017cy tutaj wpisa\u0107 podsie\u0107 w jakiej si\u0119 znajduj\u0105.
– Concurrent Connections – czyli ile klient\u00f3w mo\u017ce by\u0107 pod\u0142\u0105czonych w tym samym czasie. Nale\u017cy pami\u0119ta\u0107, \u017ce warto\u015b\u0107 ta musi odpowiada\u0107 ilo\u015bci dost\u0119pnych adres\u00f3w w podsieci kt\u00f3r\u0105 wpisali\u015bmy w pierwszym kroku.
– Inter-client communication – po zaznaczeniu tej opcji pozwala na komunikacj\u0119 pomi\u0119dzy klientami w podsieci VPN.
– Duplicate Connections – po zaznaczeniu zezwala na wiele po\u0142\u0105cze\u0144 przy u\u017cyciu jednego certyfikatu. Jest to ustawienie niezalecane ze wzgl\u0119d\u00f3w bezpiecze\u0144stwa.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Kolejne ustawienia pozwalaj\u0105 na dostosowanie parametr\u00f3w po\u0142\u0105czenia po stronie klienta, jednak w celu u\u0142atwienia wdro\u017cenia mo\u017cemy pozostawi\u0107 je w domy\u015blnej konfiguracji.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

W ostatniej cz\u0119\u015bci konfiguracji mo\u017cemy wprowadzi\u0107 w\u0142asne konfiguracje, jednak nie zalecamy wprowadzania tam \u017cadnych zmian.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po wprowadzeniu wszystkich danych, klikamy przycisk zapisz aby utworzy\u0107 serwer. Po chwili powinni\u015bmy zobaczy\u0107 nasz nowo utworzony serwer na li\u015bcie.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aby doko\u0144czy\u0107 konfiguracj\u0119, nale\u017cy doda\u0107 jeszcze port kt\u00f3ry ustawili\u015bmy dla serwera VPN do wyj\u0105tk\u00f3w zapory sieciowej. W tym celu wchodzimy do zak\u0142adki Firewall > Rules > WAN<\/strong> i tam klikn\u0105\u0107 na znak plusa aby doda\u0107 now\u0105 regu\u0142\u0119. W nowo otwartym oknie, z rzeczy kt\u00f3re musimy zmieni\u0107 to:
– Protocol – wybieramy taki typ protoko\u0142u jaki wybrali\u015bmy dla serwera VPN wcze\u015bniej.
– Destination – wybieramy tam adres WAN aby to dla niego by\u0142a aktywna dana regu\u0142a.
– Destination port range – dostajemy gotowy port w przypadku je\u017celi w konfiguracji zostawili\u015bmy go z domy\u015blnym 1194. W innym wypadku nale\u017cy wybra\u0107 opcj\u0119 inny a nast\u0119pnie wpisa\u0107 go.
– Description – warto doda\u0107 opis regu\u0142y aby w mo\u017cna j\u0105 by\u0142o \u0142atwo zidentyfikowa\u0107.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Po wpisaniu poprawnych ustawie\u0144, klikamy przycisk zapisz u do\u0142u strony a nast\u0119pnie przechodzimy do drugiej kategorii regu\u0142 odpowiedzialnych za ruch wewn\u0105trz tunelu. Po wej\u015bciu do zak\u0142adki Firewall > Rules > OpenVPN<\/strong> dodajemy regu\u0142\u0119 kt\u00f3ra zezwala na ca\u0142y ruch w tunelu. Do zrobienia tego wystarczy wej\u015b\u0107 w kreator dodawania nowej regu\u0142y i pozostawienie wszystkich ustawie\u0144 jako domy\u015blnych. Pozwoli to na ca\u0142y ruch w tunelu bez wzgl\u0119du na to od kt\u00f3rego klienta pochodzi.<\/p>\n\n\n\n

Po zapianiu konfiguracji nale\u017cy jeszcze zastosowa\u0107 utworzone wcze\u015bniej regu\u0142y klikaj\u0105c w przycisk „Apply changes” u g\u00f3ry ekranu.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ostatnim krokiem b\u0119dzie utworzenie certyfikatu dla u\u017cytkownika i wyeksportowanie go.<\/p>\n\n\n\n

Utworzenie certyfikatu dla u\u017cytkownika wygl\u0105da w taki sam spos\u00f3b jak tworzenie certyfikatu serwera z tak\u0105 tylko r\u00f3\u017cnic\u0105, \u017ce wybieramy typ certyfikaty „User certificate”<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n

Po klikni\u0119ciu zapisz, wchodzimy w zak\u0142adk\u0119 VPN > OpenVPN > Client Export<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Po wej\u015bciu nale\u017cy skonfigurowa\u0107 eksport dla serwera kt\u00f3ry w\u0142a\u015bnie utworzyli\u015bmy a tak\u017ce wybra\u0107 typ eksportu jako jeden plik. Aby to zrobi\u0107, z listy „Remote Access Server” wybieramy serwer kt\u00f3ry w\u0142a\u015bnie utworzyli\u015bmy a nast\u0119pnie z listy „Export type” wybra\u0107 „File Only”. Warto sprawdzi\u0107 tak\u017ce czy nazwa hosta (kt\u00f3ra mo\u017ce by\u0107 tak\u017ce adresem IP) oraz port zgadzaj\u0105 si\u0119 ze stanem rzeczywistym.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Po sprawdzeniu poprawno\u015bci danych powy\u017cej, w dolnej cz\u0119\u015bci strony znajduje si\u0119 lista certyfikat\u00f3w dla kt\u00f3rych konfiguracj\u0119 mo\u017cemy pobra\u0107. Wystarczy znale\u017a\u0107 ten kt\u00f3ry przed chwil\u0105 utworzyli\u015bmy i klikn\u0105\u0107 ikon\u0119 pobierania z prawej strony.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

W taki spos\u00f3b zaczyna si\u0119 pobieranie certyfikatu OpenVPN kt\u00f3ry w tym momencie mo\u017cna zaimportowa\u0107 do klienta OpenVPN na swoim komputerze.<\/p>\n","protected":false},"excerpt":{"rendered":"

Stworzenie w\u0142asnego serwera VPN jest bardzo przydatnym rozwi\u0105zaniem kiedy \u0142\u0105czymy si\u0119 do w\u0142asnej infrastruktury. Dzi\u0119ki temu, \u017ce jest to rozwi\u0105zanie kt\u00f3re mo\u017cemy ustawi\u0107, dostosowa\u0107 oraz udost\u0119pnia\u0107 we w\u0142asnym zakresie, poziom prywatno\u015bci oraz bezpiecze\u0144stwa jest w tym wypadku bardzo wysoki. Aby rozpocz\u0105\u0107 konfiguracj\u0119 serwera OpenVPN na zaporze OPNsense nale\u017cy w pierwszej kolejno\u015bci przej\u015b\u0107 przez pocz\u0105tkow\u0105 konfiguracj\u0119. […]<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[393],"tags":[67,155,21,392,347,389],"class_list":["post-5211","post","type-post","status-publish","format-standard","hentry","category-opnsense","tag-konfiguracja","tag-nsix","tag-openvpn","tag-opnsense","tag-serwer-openvpn","tag-zapora-sieciowa"],"_links":{"self":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/comments?post=5211"}],"version-history":[{"count":3,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5211\/revisions"}],"predecessor-version":[{"id":5238,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5211\/revisions\/5238"}],"wp:attachment":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/media?parent=5211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/categories?post=5211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/tags?post=5211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}