Opsætning af ExpressVpn

Gentag Oprettelse af denne regel for ethvert LAN-, OPT- eller VLAN -grænseflader i PfSense, som du skal rute gennem ExpressVPN -tunnelen.

ExpressVPN -opsætning af begyndere for begyndere

Afsnit 1 – Opsætning af OpenVPN / ExpressVPN -interface
Først skal du gøre nogle indledende opsætninger og planlægning:

  1. Forbered dig på logning/fejlfinding af firewall -regler:
    Jeg anbefaler at tænde logning for alle firewall -regler, der er til stede (anbefaler også. Vælg et standardformat til beskrivelserne på eventuelle regler, du opretter. noget i retning af “myrule- [Interfacename]give lov til. “eller” myrule- [Interfacename]blok”. Når du ser på systemlogfilerne til firewall, giver dette dig mulighed for at finde ud af, hvilke regler der driver hvilken adfærd.
  2. Forbered dig på overvågning af VPN -forbindelsen:
    -en. Få ExpressVPN -id og adgangskode, som du har brug for at bruge. Gå til følgende sted og log ind på din konto.
    https: // www.Expressvpn.com/opsætning#manuel b. Vælg et ExpressVPN -sted/server, du skal bruge til PfSense OpenVPN -forbindelsen/VPN -tunnelen. c. Når du har valgt dette, skal du downloade .OVPN -fil til den server, du skal bruge. Åbn derefter filen og få vært/servernavnet inde i filen. Derefter gør en ping på denne server. Du har brug for dette senere, når du opsætter “Monitor IP” til ExpressVPN -gatewayen, der vil blive oprettet. Du kan gøre ping fra inde i pfsense, hvis du vil bruge diagnosticering> ping.

Eksempel til ExpressVPN Dallas Server:

> Ping USA-dallas-xxxxx.xxxxxx.com
Pinging USA-dallas-xxxxx.xxxxxx.com [xx.xxx.xxx.xx]

  1. Vælg nu nogle ExpressVPN DNS -server IP -adresser, der skal bruges som dine DNSE’er:
  • Hvis du opretter en VPN -tunnel til ExpressVPN, har du allerede en ExpressVPN -konto. Hvis du har en konto, kan du også bruge Client VPN -applikationen til at starte en VPN -forbindelse fra en pc eller anden enhed.
    • Brug klientapplikationen til at indstille en forbindelse til et sted, hvis DNS du vil bruge som din DNS på din firewall OpenVPN -forbindelse.
    • Brug ExpressVPN -websiden til at identificere DNS -serveren (e) til det sted (vælg en eller flere IP -adresser. Jeg anbefaler at gemme dem i en fil, hvorfra du kan kopiere senere).
      https: // www.Expressvpn.com/dns-leak-test
    • Bemærk: Da du kan oprette en liste over flere DNS -servere i PfSense, kan du måske gentage trin A og B med andre placeringer for at få en liste over DNS -servere fra flere ExpressVPN -placeringer.
      Når du har samlet disse oplysninger, skal du stoppe VPN -klientforbindelsen. For mig, hvis jeg har VPN -klienten, kan jeg ikke få adgang til Pfsense WebConfigurator.

    c. Gå til System> Generelt opsætning og skift dine DNS -servere til at bruge en eller flere af disse ExpressVPN DNS -servere som DNS, der bruges af Firewall, i din PfSense Firewall -webkonfigurator. Dette vil sikre dig, at du ikke bruger nogen offentlig DNS.

    • Bemærk: Hvis du opretter andre LAN’er eller VLAN’er, kan hver DHCP -opsætning holde op til 4 DNSE’er, så du muligvis har brug for disse DNS IP -adresser igen senere. Gennemgå dine DHCP -servergrupper under Services> DHCP -server og se, om du vil skifte nogen af ​​dem til at bruge Express VPN DNS -servere.
    1. Installer nogle nyttige pakker på din pfsense
      Brug af OpenVPN Clent -importøren gemmer noget arbejde, når man opsætter certifikat- og certifikatmyndigheden senere.
      -en. System> Package Manager> Tilgængelige pakker> OpenVPN-Client-Import
      b. System> Pakkeadministrator> Tilgængelige pakker> OpenVPN-Client-Export

    123123 @123123
    отредактировано 123123
    pladsholder. Jeg kombinerer ting ovenfor nu, hvor spam -checkeren vil lade mig.
    123123 @123123
    отредактировано 123123

    • Jeg brugte oprindeligt ExpressVPN Setup Guide og nogle andre indlæg på forummet til at finde ud af dette. Her er guiden fra ExpressVpn, men den virker lidt gammel. Nogle ting ser ud til at være forældet.
    • Denne vejledning indeholder, hvad jeg mener er det blotte minimum antal ændringer, der kræves på dette tidspunkt for at få en fungerende ExpressVPN -tunnel på plads efter at have importeret en standard .OVPN -fil, især i afsnittet “Brugerdefinerede indstillinger”, du vil se nedenfor. Jeg er ikke ekspert, så der kunne være andre ting, der vil blive anbefalet for at optimere adfærd eller maksimere ydeevnen.
    1. Hvis du ikke allerede har det, skal du downloade .Opvn -fil til det sted, du skal bruge til din tunnel fra https: // www.Expressvpn.com/setup#manual
    2. Gå til VPN> OpenVPN> Klientimport på din PfSense
      • Bemærk: Hvis du ikke har denne “klientimport” -mulighed, skal du installere pakken til dette fra “System> Package Manager> Tilgængelige pakker> OpenVPN-Client-Import”
      • Vælg .OVPN Config -fil, du har downloadet, vælg “Peer to Peer (SSL/TLS)”, Vælg grænsefladen, der skal bruges, når du opretter VPN -tunnelen, indtast brugerid og adgangskode fra siden “Manuel opsætning” på ExpressVPN -webstedet, udfyld enhver anden anden Felter, og klik på Importer.
        Dette burde have skabt:
      • En ny certifikatmyndighed under System> Certificate Manager> CAS
      • Et nyt certifikat under System> Certificate Manager> CAS
      • En ny klient under vpn> openvpn> klienter
    3. På ethvert tidspunkt, hvis du vil se, hvad problemerne er med opsætningen af ​​importen af ​​”off hylden” .OVPN -fil eller efter at du har foretaget nogle ændringer, kan du først gå til status> OpenVPN, prøve at starte forbindelsen (afspilningsikon), gå derefter til status> Systemlogfiler> OpenVPN, gå til bunden af ​​loggen og læse gennem logposter. Du kan også ændre Verbosity -indstillingerne på OpenVPN -klienten for at se flere detaljer eller mindre detaljer i loggen.

    123123 @123123
    отредактировано 123123

    1. Vi er nødt til at løse problemerne med .OVPN -import ved at justere OpenVPN -klientoplysningerne
      • Gå til VPN> OpenVPN> Klienter, og klik på den nyoprettede klient (skal være den nederste på listen), og rediger den (klik på blyantikonet).
      • Find indstillingen “Validering” Validering af servercertifikat for tast og kontroller “Håndhæv nøglebrug”
      • Find indstillingen “Don’t Pull Routes”, og kontroller den (ikke 100% sikker på, at dette er påkrævet)
      • Find indstillingen “Don’t Add/Fjern ruter”, og kontroller den (ikke 100% sikker på, at dette er påkrævet)
      • Find indstillingen “Træk DNS”, og kontroller den (ikke 100% sikker på, at dette er påkrævet)
      • Find indstillingen “Komprimering”, og skift den til “Adaptiv LZO -komprimering”
      • Ændre feltet “brugerdefinerede indstillinger”:
        • Fjern linjen “Keysize 256”
        • Skift linjen “NS-cert-type server” til “Remote-CERT-TLS-server”
        • Tilføj en linje i slutningen “Author-Nocache” (uden dette ville jeg se advarsler i loggen om ting, der muligvis bliver cacheet.)
        • Tilføj en linje i slutningen “vedvarende nøgle”
        • Tilføj en linje i slutningen “Persist-Tun”
        • (Sørg for ikke at have nogen tomme linjer i slutningen af ​​marken)
      • Find indstillingen “Gateway Creation”, og indstil den til “IPv4 kun”

    Bemærk – Dette er mine resulterende brugerdefinerede muligheder:
    vedvarende nøgle
    PERSENT-TUN
    fjerntliggende random
    tls-klient
    Bekræft-X509-NAME-servernavn-præfix
    Remote-CERT-TLS-server
    Rute-metode Exe
    Rute-forsinkelse 2
    Tun-MTU 1500
    Fragment 1300
    MSSFIX 1200
    SNDBUF 524288
    RCVBUF 524288

    • Find “Verbosity Level”, og indstil det til 5 (dette ændrer det detaljeringsniveau, du vil se i status> Systemlogfiler> OpenVPN). Prøv forskellige indstillinger for at finde det detaljeringsniveau, der fungerer for dig. ExpressVPN -guiden anbefaler 3, men jeg kan godt lide, hvad 5 viser i loggen.
    1. Klik på Gem
    2. Gå til status> openvpn og start eller genstart den klient, du har oprettet.
      Med held skal status vises som “tilsluttet (succes)” eller “op”

    Aktivér den nye interface / gateway i PfSense

    1. Gå til grænseflader> Opgaver. Vælg den klient, du lige har konfigureret på den nye række i bunden, i rullelisten.
    2. Gå til menuen Grænseflader, og klik på navnet på det interface, du lige har oprettet.
    3. Marker afkrydsningsfeltet “Aktivér interface”, og klik på “Gem”. Klik derefter på “Anvend ændringer”.

    Opret Gateway Monitor

    1. Gå til System> Routing> Gateways
    2. Rediger gatewayen (klik på blyantikonet) for den rækkegrænseflade, du lige har oprettet
    3. I feltet “Monitor IP” skal du indtaste IP -adressen for den ExpressVPN -server, du har samlet ved at pinge navnet på den server, der er anført i .OVPN -fil.
    4. Klik på Gem, klik derefter på “Anvend ændringer”
    • Nu når du går til PfSense Main Web Configurator -siden eller status> Gateways, skal du se en nøjagtig status for den nye ExpressVPN Gateway.

    123123 @123123
    отредактировано 123123
    Это сощение уалено!
    123123
    отредактировано 123123
    Это сощение уалено!
    123123
    отредактирykke 11
    Это сощение уалено!
    123123
    отредактировано 123123

    • ExpressVPN-manuel installationsdokumentation beskriver denne proces, hvis mine kun tekstbeskrivelser er uklare.
    1. Gå til firewall> nat> udgående
    2. For feltet “Mode” skal du vælge radioknappen for “manuel udgående NAT -regelgenerering. (Aon – Avanceret udgående NAT) ”
      Klik på knappen “Gem” under feltet Mode.
    3. For alle eksisterende WAN NAT -regler skal du bruge Copy -indstillingen (Double Page Icon) til at gentage reglen. Ændre den resulterende nye regel indstilling.
      Gør dette for alle eksisterende WAN -udgående NAT -regler.
    4. Klik på “Anvend ændringer”

    123123
    отредактирykke 11

    1. https: // www.Expressvpn.com/hvad-er-my-ip
      • Det skal vise placeringen af ​​den ExpressVPN -server, som du konfigurerede OpenVPN -klienten
    2. https: // www.Expressvpn.com/dns-leak-test
      • det skulle ikke vise nogen DNS -lækager detekteret
    3. https: // www.Expressvpn.com/WebRTC-leak-test
      • Det skal ikke vise nogen WebRTC -lækager
    4. Tjek andre websteder. Sider skal indlæse med succes

    123123
    отредактировано 123123

    • Du kan stadig køre enhver VPN -klient (ExpressVPN Application) -software på dine enheder, der opretter forbindelse via PfSense Firewall. Dog – du er muligvis ikke i stand til at få adgang til PfSense -webkonfiguratoren, hvis du gør dette. Hvis du ikke har adgang.

    Jeg anbefaler at blive med dette trin og fortsæt ikke, før du har ExpressVPN -konfigurationen og eventuelle netværk/VLAN’er/firewall -regler, der arbejder, som du vil have ting til at fungere.

    • Hvis tingene ikke fungerer som du vil, anbefaler jeg at ændre alle de firewall -regler, du kan for at få “logning” tændt. Brug derefter status> Systemlogfiler> Firewall til at prøve at forstå, hvad der foregår på grund af firewall -reglerne, og foretag justeringer. Hvis der er en regel, der udfylder dine logfiler, skal.

    !!Når du får tingene til at fungere, som du vil, skal du tage en sikkerhedskopi af denne opsætning, inden du fortsætter.

    1. Gå til Diagnostics> Backup & Gendan og opret en sikkerhedskopieringsfil til dine indstillinger.

    123123
    отредактировано 123123

      Jeg satte dette op ved at følge den video, der er linket her. Hvis du har problemer med den flydende firewall/”Kill Switch” -regel, tværreferenceindstillinger mod videoen fra Lawrence Systems.
      YouTube -video
    1. Gå til firewall> Regler> LAN
    2. Klik på knappen “Tilføj” med pil op
    3. Udfyld indstillingerne:
      • Handling: Pass
      • Interface:
      • Adressefamilie: IPv4
      • Protokol: enhver
      • Kilde: Vælg “Single Host eller Alias” Indtast IP -adressen på enheder/netværk, der bruger VPN -tunnelen. Hvis du har alle enheder på 1 netværk/undernet, kan du indtaste det. Hvis du har flere netværk/undernet, skal du enten oprette flere regler eller oprette et alias under “firewall> aliaser” og bruge det alias på denne regel
      • Destination: *
      • Log: (Jeg anbefaler at kontrollere dette oprindeligt, så du kan bekræfte, at regeladfærd fungerer)
      • Beskrivelse: Giv det et navn, der er let at vælge en log (anbefale at starte med et standard unikt ord). Ligesom “Myrule-Allow ExpressVPN-enheder og tag”
      • Klik på knappen “Display Advanced”
      • Tag: Indtast en værdi, der skal bruges til at tagge VPN -pakker. Måske “tagvpn”
      • Gateway:
    4. Klik på Gem
    5. Klik på “Anvend ændringer”

    Gentag Oprettelse af denne regel for ethvert LAN-, OPT- eller VLAN -grænseflader i PfSense, som du skal rute gennem ExpressVPN -tunnelen.

    Tilføj kill switch flydende firewall -regel

    Hensigten med denne regel er at forhindre, at dine mærkede pakker (fra OpenVPN -grænsefladerne) går ud over den normale WAN. Du vil have dem til kun at gå ud af din firewall over ExpressVPN -interface.

    1. Gå til firewall> regler> flydende
      Klik på knappen “Tilføj” med op -pilen for at tilføje dette som den første regel.
      • Handling: Blok
      • Interface: WAN
      • Adressefamilie: IPv4
      • Protokol: enhver
      • Kilde: enhver
      • Destination: enhver
      • Log: Marker dette felt, så loggen fanger enhver trafik, der blokeres af denne regel.
      • Beskrivelse: Giv det et navn, der er let at vælge en log (anbefale at starte med et standard unikt ord). Ligesom “myrule-blok mærket trafik fra at bruge WAN til at få adgang til internettet”
      • Klik på knappen “Display Advanced”
      • Mærket: Indtast den samme tagværdi, som du brugte til at tagge pakker på din OpenVPN -regel.
    2. Klik på Gem
    3. Klik på “Anvend ændringer”

    Bliv med dette trin og fortsæt ikke, før du har dine netværk/vlans/firewall -regler, der fungerer som du vil have ting til at fungere.

    • Hvis tingene ikke fungerer som du vil, anbefaler jeg igen at ændre alle de firewall -regler, du kan for at få “logning” tændt. Brug derefter status> Systemlogfiler> Firewall til at prøve at forstå, hvad der foregår og foretage justeringer.

    !!Når du får tingene til at fungere, som du vil, skal du tage en sikkerhedskopi af denne opsætning, inden du fortsætter.

    1. Gå til Diagnostics> Backup & Gendan og opret en sikkerhedskopieringsfil til dine indstillinger.

    !!Kontroller MBUF -brug som en indikator for korrekt funktion!!
    (Opdatering fra juli 2023)
    Efter nogen tid havde jeg problemer med MBUF -brug (vist på forsiden af ​​webgui), der voksede meget hurtigt, og tingene fungerede generelt ikke godt. Websider ville indlæses nogle gange, andre gange ikke, og jeg skulle genstarte firewallen, når det udfyldte al mbuf. Jeg tilføjede endda en brugerdefineret parameter til MBUF -allokering og gav den en stor værdi, men der var tydeligvis et problem, da jeg kunne se nummeret gå op med 1000+ hver gang forsiden opdateres. Jeg fandt et indlæg, der fik mig til at tro, at det var noget i min OpenVPN -klient,. Jeg ville ønske, at jeg var i stand til at fortælle dig nøjagtigt, hvilken ændring jeg lavede løst problemet, men indtil videre har jeg ikke været i stand til at genskabe problemet ved at prøve at sætte tingene tilbage som de var. Men hvis du har dette problem, ser det ud til, at det sandsynligvis er relateret til en indstilling i din OpenVPN -klient.

    123123
    отредактировано 123123

    Slutningen (Undskyld for alle selvreplies og dårlige links. Spamfilteret er ikke tilfreds med mig) Jeg prøver at rydde op senere, når mit omdømme score forbedres. rettelse. Jeg kan ikke redigere det på grund af den 1 times redigeringstidsbegrænsning.

    Wendellkbest @123123
    отредактирykke 11

    @123123 pakken “OpenVPN-Client-Import” er ikke længere tilgængelig. Har du nogen instruktioner til indtastning af indstillingerne manuelt? Ville også hjælpe med at give detaljer om de brugerdefinerede muligheder

    Gertjan @WendellKBest
    отредактировано Gertjan

    Ville også hjælpe med at give detaljer om de brugerdefinerede muligheder

    Lige nu har jeg en forbindelse til ExpressVPN med dette meget minimale: 462FB754-5494-40FB-B0F0-8E6FCADF6775-image.pngDa disse 3 indstillinger ikke findes i Pfsense GUI, men de er nødvendige (jeg gætter), når de bruger ExpressVPN. Uden dem: Manglende forbindelse. Jeg har fjernet alle andre foreslåede brugerdefinerede muligheder. Jeg har også indstillet “komprimering” til ‘nej’: B4E4204F-9A01-45BC-8061-7707E0C53C22-Image.pngMen det mere fremtidige bevis: B61849B5-A93D-4646-A6E3-9D7B0E387346-Image.pngser også ud til at fungere. 38EBBAF4-9219-4AAB-A99A-2CAE6A48756F-image.pngJeg kan ping -test ved hjælp af min ExpressVPN -interface: F56A104E-108E-41D3-A520-0995B84734D9-Image.pngog OpenVPN -klienten: Express VPN -interface: D7E4053B-B199-49ed-9218-D42A79A609E6-Image.pngBemærk: Jeg har ikke testet nogen routing i dette øjeblik, da jeg kun bruger klienten VPN ‘, når det virkelig var nødvendigt’. Også: Pfsense GUI er kun som sædvanlig frontend.
    PFSense bruger de klassiske OpenVPN -binære og konfigurationsfiler. Min/var/etc/openvpn/klientx/config/opvn (x kan være 1, 2 osv.) Ser ud som dette lige nu:

    dev ovpnc3 deaktiver-dco verb 3 dev-type tun dev-node/dev/tun3 skrivepid/var/run/openvpn_client3.PID #User Ingen #Group Ingen script-Security 3 Daemon Keepalive 10 60 Ping-Timer-Rem Persist-Tun Pers-Key Proto UDP4 Auth Sha512 UP/USR/Local/SBIN/OVPN-LINKUP Down/USR/LOCAL/SBIN/OVPN -Linkdown Local 192.168.10.4 Motor RDRAND TLS-CLIENCE LPORT 0 Management/var/etc/OpenVPN/Client3/Sock Unix Remote France-Strasbourg-Ca-Version-2.ExpressNetw.COM 1195 UDP4 PULL AUTH-User-PASS/VAR/ETC/OpenVPN/CLIENT3/UP AUTH-RETRY NOInterAct Remote-CERT-TLS Server Capath/var/etc/OpenVPN/Client3/CA cert/var/etc/openvpn/client3/ cert nøgle/var/etc/openvpn/client3/nøgle tls-autor -CBC Data-ciphers-Fallback AES-256-CBC Tilladskomprimering Asym Retolv-Retry Infinite Fast-io SNDBUF 524288 RCVBUF 524288 TUN-MTU 1500 FRAGMENT 1300 MSFIX 1200 Rute-Nopull 

    Du kan se, at den brugerdefinerede indstilling tilføjes i slutningen med en ekstra tom linje efter hver linje. Og en sidste “rute-nopull” tilføjes i slutningen. Kontroller og sammenlign altid denne fil med den originale Express -konfiguration.OVPN -fil.
    Forskellen kan eksistere, da vi ikke kan vide, hvad OpenVpn (version) ExpressVpn bruger.
    Pfsense 23.01 bruger:

    [23.01-frigivelse] [[email protected]]/cf/conf: openvpn --Version OpenVPN 2.6_beta1 AMD64-PORTBLD-FREEBSD14.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] [DCO] Bibliotekversioner: OpenSSL 1.1.1T-fri 7. februar 2023, LZO 2.10 . 

    ��

    Dejligt, en beta -version

    Nej “Hjælp mig” PM er tak. Brug forummet, samfundet vil takke dig.
    EDIT: Og hvor er logfilerne ??

    Opsætning af ExpressVpn

    О этой странице

    Ы зареοистрирykkeаи подозрителный трафик, иходий из Вашей сетии. С помdщ. Sl?

    Эта страницabet которые наршают уовиånden. Страunde. Эо этоia.

    Источникомапросов может сить вредносноærdighede по, подаred м н н и и и и и и и и и и и и и и и и и и и и и и и и и и и и edet. ызапросов. Если вы используете общий доступ в Интернет, проблема может быть с компьютером с таким же IP-адресом, как у вас. Обратитес к своiel. Подробнfe.

    Проверка по сову может таже поvende з € е ы п п п пember, еи вы водит U iel.