PfSense – Opret forbindelse til VPN PIA

Sørg for at abonnere nedenfor for at blive underrettet øjeblikkeligt om det næste emne, og som altid sørg for at fortælle mig, hvis du har nogen anmodninger om emner.

Opsæt en PIA VPN med Pfsense 2.4.5

Mange af os bruger en VPN på en eller anden måde i disse dage, de har set en stigning i popularitet i det sidste årti eller deromkring med mange mennesker, der søger at bruge dem som midler til at omgå indholdsbegrænsninger med Netflix eller andre streamingtjenester, som en måde at oprette forbindelse til hjemmet eller arbejde for at få adgang til dokumenter på farten eller for bare at beholde så meget af vores privatliv online, som vi kan.

Som en del af de nylige pandemiske foranstaltninger her i Storbritannien fik jeg for nylig til opgave at designe en løsning til vores virksomhed til at skalere vores nuværende VPN-løsning, som ville se omkring 100-150 brugere dagligt, for at kunne håndtere 1000+ brugere samtidigt i Bare et par timer. Næsten 3 måneder senere fungerer denne løsning stadig usædvanligt godt hver dag. Men vi får lidt emne her..

Efter at have været PfSense -bruger i næsten 8 år nu og en privat internetadgang (PIA) -bruger til at komme op til 4 år, besluttede jeg, at det giver mening at dokumentere, hvordan man opsætter en PIA VPN med PFSense som en permanent VPN -forbindelse, så vi vil dække, hvordan man dirigerer visse enheder gennem PIA, mens alle andre trafik efterlader uberørt.

Dette guide bruger Pfsense 2.4.5-frigivelse, som er den aktuelle version fra skrivningstidspunktet. Alt gælder for mest Ældre versioner Selvom din grænseflade måske ser lidt anderledes ud afhængigt af din version.

Guide

Der er et par forskellige indstillinger, du kan bruge med hensyn til sikkerhed, hvad. Hvis ydelsen ikke er helt op til det, du forventede, kan du prøve at bruge den svage profil, men jeg vil anbefale at gå med mediumindstillingerne, hvis det er muligt. Med det i tankerne varierer de anbefalede og stærke indstillinger lidt i deres portvalg og certifikater:

• Anbefalet: UDP -port 1198 med AES-128 til kryptering
• Stærk: UDP -port 1197 med AES-256 til kryptering

For at give dig en vis reference er APU2, som jeg gennemgik her. Måske tid til at opgradere..

Certifikatinstallation

Først skal vi installere PIA CA -certifikater i PfSense, så vi kan bruge dem inden for VPN -konfigurationen.

Download først det korrekte certifikat her:

Når den er downloadet, skal du åbne filen i Notepad/Notepad ++ og fremhæve alt inden for filen og kopiere til udklipsholder:

Derefter skal du gå til System> Certifikatchef og sørg for at være på Cas Fanen. Klik Tilføje At oprette en ny certifikatmyndighed. Giv et beskrivende navn og skift metoden til “Importer en eksisterende certifikatmyndighed“. Så i Certifikatdata Boks, indsæt de certifikatdata, du kopierede:

Endelig ramt Gemme At skabe det CA. Hvis alt fungerede, vil du nu have en ny CA, der er anført i tabellen, og kolonnen “Distinguished Name” (DN) vil have præ-befolkede oplysninger:

OpenVPN -opsætning

Vi er nødt til at beslutte, hvilken serverplacering vi vil oprette forbindelse til, PIA har i øjeblikket 3300 servere på 68 lokationer i 47 lande, så en ganske bred vifte.

Gå til dette link her.

Vælg derefter den server, du vil bruge, du kan gentage dette for så mange servere, som du vil bruge, du vil måske have en i Storbritannien og en i USA. Vælg et sted, og kopier derefter den adresse, du vil bruge. For eksempel afslører klik på Storbritannien 3 VPN -servere, vælg adressen på den, du vil bruge, jeg bruger London One i dette eksempel:

Kopier denne adresse. jeg bruger UK-London.PrivateInternetAccess.com For dette eksempel.

Gå over til VPN> Kunder> Tilføj At tilføje en ny VPN -klient.

Mange af indstillingerne kan efterlades som standard, hvis jeg ikke nævner dem, er de aktieindstillingerne, så henvis til billederne for, hvad de skal være.

Generel information

I afsnittet Generelt information ændre følgende værdier:

• Server vært eller adresse: UK-London.PrivateInternetAccess.com (eller hvilket sted du kopierede ovenfor.
• Serverport: 1198 eller 1197 afhængigt af hvilket sikkerhedsniveau du ønsker.
• Beskrivelse: Privat internetadgang London VPN

Du skulle have noget, der ligner dette:

Brugergodkendelse

I afsnittet Brugergodkendelsesindstillinger skal du indtaste dit PIA -brugernavn og din adgangskode. Du kan finde dit brugernavn på din konto på PIA -webstedet, det starter normalt med bogstavet “P” efterfulgt af tal.

Jeg vil personligt efterlade godkendelse, der er tilbage igen i kontrolleret, som automatisk vil forbinde igen, hvis forbindelsen falder. Hvis du har problemer med dette, kan du markere boksen for at deaktivere det.

Kryptografiske indstillinger

Under sektionen Cryptographic Settings Sørg for at ændre følgende indstillinger:

• TLS -konfiguration – Fjern markeringen
• Peer Certificate Authority –PIA-2048-CA (det beskrivende navn, du gav CA tidligere)
• Krypteringsalgoritme –AES-128-CBC
• Aktivér NCP – Fjern markeringen
• Auth Digest -algoritme -SHA1 (160-bit) til medium sikkerhed, SHA256 (256-bit) for stærk sikkerhed.
• Hardware krypto -Hvis du har AES-NI-acceleration tilgængelig, skal du vælge det fra listen, eller forlade indstillet til “Ingen hardware-kryptoacceleration” oprindeligt og kom tilbage og skifte bagefter for at finpusse ydeevnen.

Du skal have noget, der ligner følgende:

Tunnelindstillinger

Der er kun et par indstillinger til ændringer i dette afsnit, og de er:

• Topologi –NET30
• Træk ikke ruter – Hvis du vil have, at alle enheder på dit netværk skal gå gennem VPN, skal du forlade denne ukontrollerede. Hvis du selektivt vil kontrollere, hvilke enheder der går gennem VPN, og hvilket ikke, skal du markere dette felt.

Det er alt, hvad vi har brug for at ændre til netop denne opsætning, skal se sådan ud:

Avanceret konfiguration

Endelig, i den avancerede konfiguration, skal du indtaste følgende værdier:

Remote-CERT-TLS Server Persist-Tun Pers-Key Reneg-Sec 0

Indstil derefter følgende:

• UDP hurtig I/O –Kontroller dette for at forbedre ydeevnen, du kan komme tilbage og fjerne markeringen det senere, hvis du har problemer.
• Send/modtag buffer – Du kan lege med denne indstilling, men jeg har altid fundet, at 512 kib -indstilling er temmelig god. Tweak disse indstillinger senere for at se, hvad der giver dig bedre hastighed.
• Gateway -skabelse – IPv4

Med de endelige indstillinger, der ser sådan ud:

Endelig ramt Gemme!

Kontrolstatus

Vi kan nu kontrollere, at VPN -forbindelsen er etableret, gå over til Status> OpenVPN og under Klientinstansstatistik Afsnit Du skal se den VPN -forbindelse, vi lige har oprettet. Se i statusboksen, og bekræft, at status er “op”:

Så gå over til Google og skriv “hvad er min IP”, og du vil se din IP -adresse er ændret til PIA -adressen til højre? Forkert.

Vi har ikke ændret nogen af ​​routingen inden for PfSense, så det ved endnu ikke at sende trafikken over VPN snarere end WAN. Lad os ændre det.

Oprettelse af grænseflader

Det er ikke påkrævet, men jeg foretrækker at oprette en grænseflade til den nyoprettede VPN.

Gå til Grænseflader> Opgaver. Derfra har du en liste over alle de interfaceopgaver, du har på dit system, ikke rolig, hvis du ikke har så mange som mig, du har sandsynligvis bare Wan og Lan. I Tilgængelige netværksporte Drop down, vælg PIA VPN -indstillingen fra listen, og tryk derefter på Tilføj:

Der er oprettet en ny grænseflade kaldet OPTx, Gå videre og klik på dette for at redigere det. Fra redigeringssiden, Kontrol og ændre beskrivelse til noget mere egnet. Hit Gem, tryk derefter på Anvend ændringer:

Herfra, gå til Status> Gateways. Bemærk, hvordan det siger Gateway ned til Pia Gateway? Vi behøver ikke at rette op på dette pr. Siger, men vi skal spare ting, der markerer sig som nede i logfilerne:

Gå til System> Routing og rediger den automatisk oprettede PIA Gateway. I Overvåg IP, Indtast en IP for at bruge som et alternativ, jeg bruger 8.8.4.4 her:

Gå nu tilbage til Status> Gateways Og bekræft, at PIA Gateway er online:

Oprettelse af aliaser

Et alias giver os mulighed for at definere grupper af IP’er eller netværk sammen, så vi kan bruge et alias til hurtigt at henvise til alle netværk, vi vil bruge i stedet for at skrive dem ud hver gang.

Gå til Firewall> aliaser og tryk på Tilføj. Bemærk øverst, du har forskellige typer aliaser – IP, porte og URL’er. Vi bruger bare IP -aliaserne indtil videre.

Navngiv dette PIA_TRAFFIC, Giv den en beskrivelse og vælg Netværk som typen. Indtast alle de undernet/netværk, du vil gå via PIA. Du kan indtaste individuelle IP -adresser ved hjælp af /32 -masken, som jeg vil vise dig nu:

Du kan tilføje så mange, som du vil, jeg tilføjer bare en til dette eksempel, som slags besejrer formålet, men jeg vil stadig rådgive det, da det giver dig mulighed for hurtigt at tilføje mere i fremtiden.

Hit Gem og anvender derefter ændringer.

Udgående Nats

Netværksadresseoversættelse eller NAT er processen med at omdøbe en IP -adresse, da pakkerne er i transit. Den mest almindelige type af dette sker sandsynligvis uden at du er klar over – når du får adgang til internettet fra din computer/bærbare computer/telefon, udsættes alle disse enheder som en enkelt offentlig IP -adresse.

I hvert fald er vi nødt til at oprette en udgående NAT for at sende trafik via PIA VPN. Gå til Firewall> nat> udgående og ændre den udgående NAT -tilstand fra Automatisk til hybrid. Du kan bruge manuel, hvis du ønsker det, men jeg foretrækker hybrid til hastighed.

Du vil bemærke, at du nu har en kortlægningsafdeling (som er tom) og en automatisk reglerafdeling, der har alle de automatisk genererede regler for WAN -adresser. Gå videre og klik på Tilføj for at tilføje en ny kortlægning.

Indstil følgende:

• Interface –Sørg for at vælge den PIA -interface, vi oprettede tidligere.
• Adressere familie – IPv4+IPv6
• Protokol– Nogen
• Kilde – Vælg netværk som type, så skriv derefter PIA i kildetetværksboksen, og aliaset, vi oprettede tidligere, vises. Klik for at vælge det.
• Destination –nogen
• Beskrivelse – Pia Nat

Reglen vil se sådan ud:

Opret derefter en anden med de samme indstillinger, undtagen denne gang indstiller vi en destinationsport som denne:

Bemærk, hvordan den statiske portboks også kontrolleres.

Sørg for, at reglerne ser sådan ud på den udgående NAT -side:

Gå videre og tryk på Anvend ændringer.

Firewall -regler

Vi er næsten der! Dette er det sidste trin. Gå til Firewall> regler og vælg de (er) interface, som dit netværk er bosiddende på (sandsynligvis LAN, hvis du er usikker). Vi er nødt til at oprette 2 regler her, en, der tillader trafik fra pia_traffic aliaser til PIA Gateway, og en anden lige under det, der benægter den til al anden trafik. Dette betyder, at hvis du mister forbindelse til VPN, begynder trafik ikke.

Tryk på Tilføj og opret en regel som sådan:

Før du gemmer, skal du klikke Vis avanceret og i Gateway Boks Indstil PIA Gateway:

Tryk på Gem, og opret derefter en anden regel som denne:

Ingen grund til at indstille gatewayen denne gang:

Tryk på Gem. Sørg for, at reglerne er konfigureret som det, jeg bruger pfblockerng, så jeg har en ekstra blokregel (den anden), men ellers burde PIA Accepter -regel være den første af disse 2, PIA -blokregel direkte under det, efterfulgt af den anden regler. Skal se sådan ud:

Sørg for at ramme Anvend ændringer, når du er glad.

Og det er alt, hvad du vil være glad for at vide!

Testning

Gå videre og giv den en test ved at gå til google og skrive hvad der er min IP – det skal være en af ​​PIA og ikke din normale.

Jeg vil også anbefale at køre en hastighedstest og sørge for, at du får de rigtige hastigheder, du normalt ville forvente. Så kan du finjustere nogle af VPN -indstillingerne, hvis det er nødvendigt.

Yderligere trin

Et par ting at overveje er at sikre, at du bruger PIA DNS -serverne, hvis du dirigerer al trafik via VPN, eller hvis du gør det på en pr. Enhedsbasis, skal du overveje at indstille DNS -serverne til PIA -dem på disse enheder. Sørg for, at du bruger DNS over TLS for at sikre dig, at du får DNS -lækagebeskyttelse.

Derudover kan du gentage trinnene ovenfor for at skabe forskellige VPN’er, så du kan have adgang til forskellige lande, hvis du kræver det.

Sidste ord

Jeg håber du formåede at få alt til.

Sørg for at abonnere nedenfor for at blive underrettet øjeblikkeligt om det næste emne, og som altid sørg for at fortælle mig, hvis du har nogen anmodninger om emner.

Tilmeld dig mere som dette.

Indtast din e -mail

The Best Smart Home Prime Day omhandler 2023!

Amazon Prime Day 2023 er her den 11. og 12. juli 2023! Disse er alle de bedste smarte hjemaftaler, jeg har fundet til dig i dag!

Lewis Barclay 11. juli 2023 • 1 min. Læsning

Alt nyt i hjemmeassistent 2023.5!

Opgrader dit smarte hjemmekamp med hjemmeassistentens seneste stemmefunktioner! Assistentrørledninger, esphome smarte højttalere, VoIP og mere!

Lewis Barclay 8. maj 2023 • 4 min. Læsning

Kongen af ​​Video Doorbells – Reolink Video Doorbell Review

Reolink -videodørklokken har god billedkvalitet, persondetektion, POE, bevægelseszoner, RTSP, hjemmeassistentintegration og mere!

PfSense – Opret forbindelse til VPN PIA

Denne tutorial brug: https: // www.PrivateInternetAccess.com som VPN, men operationen vil for det meste være den samme med en anden udbyder.
Jeg vil forklare, hvordan du forbinder din PfSense til PIA VPN og valgte, hvilken enhed du vil “beskytte” med.

I denne tutorial bruger jeg anbefales Ciffering, til en balanceanvendelse af CPU / sikkerhed.

Planen

Her er opsætningen uden VPN, normal Pfsense, lad enheder fra LAN og DMZ gå på WAN.

Vi ønsker: en anden pfsense, dedikeret til permanent VPN -forbindelse.
Det Pfsense øverst er Standard gateway Af al enhed / server, Nammed PfSense.PLA01.LBDG.Lan. Vi bruger ham til at rute nogle servere / enheder til VPN.
Det Pfsense i bunden Vil være VPN, han bruger DMZ -interface til at have en internetforbindelse.

Informationer

Værtsnavn	LAN IP -adresse	Tema	Beskrivelse
PfSense.PLA01.LBDG.Lan	10.0.0.1	Normal	Standard gateway på alle mine enheder (på toppen af ​​ordningen)
Pfsense-vpn-tuto.PLA01.LBDG.Lan	10.0.0.5	Rød	PfSense dedikeret til VPN (i bunden af ​​ordningen)

Jeg bruger forskellige pfsense -tema, det hjælper med at se forskellen mellem de to pfsense

Importcertifikatmyndighed

Først skal du downloade og importere Pia CA på din pfsense (Så alt certifikat fra underskrevet fra dette CA vil blive accepteret).

Her kan du finde CA: https: // www.PrivateInternetAccess.com/openvpn/ca.RSA.2048.CRT (Højreklik, gem målet som)

Nu skal du åbne CA.RSA.2048.CRT Fil med en teksteditor, og kopier indholdet i udklipsholderen.

På PfSense-VPN-tuto, gå til: System => cert. Manager

I certifikatdata indsættes indhold

Vælg den server, du ønsker

PIA giver dig valget af meget server, her er siden at vælge: https: // www.PrivateInternetAccess.com/sider/netværk/

Først ønskede jeg at bruge en server fra os, så jeg testede den på nogle:

Tilfældig server i Californien

Kør testen

Og . Resultatet er temmelig dårligt (ping = sparsomt)

Jeg lavede nogle andre tests og fandt til sidst den gode:

VPN -serveren er: UK-London.PrivateInternetAccess.com (Husk dette)

Opret forbindelse til VPN

Tilføj en ny klient i VPN -konfigurationen


Du skal udfylde:

• HostName Server hentet fra testene (UK-London.PrivateInternetAccess.com)
• det Port 1198
• Dit brugernavn og din adgangskode fra PIA

PIA bruger ikke TLS -nøglen, Så fjerne markeringen af ​​det.
De bruger AES-128-CBC (hvilket er ret godt) og NCP med algo: AES-128-CBC & AES-256-CBC. Auth Digest skal være Sha1.
For hardware -krypto afhænger det af din hardware, men brug BSD Cryptodev -motor, hvis det kan

Forlade Tunnelindstillinger som standard

I Adanced Configuration
Tilføj følgende parametre til Brugerdefinerede muligheder :

Vedvarende nøgle Persist-Tun Remote-CERT-TLS Server Reneg-Sec 0 

Brug Hurtig I/O OG Skift bufferstørrelse, Den perfekte balance for mig er 1 MB.

Og tryk på knappen Gem.

Nu skal vi Kontroller, om VPN er monteret. Klik på status, rul til OpenVpn :

Hvis statusopholdet ned Det skal være et konfigurationsproblem / port, der åbner gennem WAN.

Ellers
VPN er nu i gang !

Få adgang til VPN

Vi er nu forbundet til en ny “gateway”. Så vi er nødt til at konfigurere Nat til Tillad enhed til NAT På denne “gateway”.

Skift WAN -interface, efter OpenVPN -interface, og ændre beskrivelsen.

Nu kunne vores enheder nat på OpenVPN “Gateway”.

Rute til VPN fra standard gateway

Nu er vi nødt til at arbejde på vores standard gateway, som er PfSense.PLA01.LBDG.Lan. Vi skal erklære den nye gateway Pfsense-vpn-tuto (10.0.0.5) For LAN.

Livebox_dmz er min internetforbindelse (ISP leverer ikke en brodetilstand)

Opret porten på LAN

Nu kunne vi bruge denne gateway på regler, hvad vi skal gøre.

Regler, at rute gennem VPN

Fordi vi vil Vælg hvilken enhed der passerer gennem VPN, Vi opretter specifikke regler for det :

Lave en Ny enkel regel, IPv4, All Protocol (afhænger af, hvad du vil), som kilde, enheden Du vil passere gennem VPN (10.0.0.52 er min laptot) og destination (enhver)

På den avancerede mulighed, søg efter tilstandstype og vælg ingen

Lavere, skift Gateway til pfsense_vpn_tuto

Endelig regel:

Nu, hvis reglen matcher, vil Connexion blive dirigeret til 10.0.0.5 og nattede til VPN

Resultater

Min forrige IP -adresse på internettet

Nu med VPN og reglerne:

Tak for at have læst, hvis du har spørgsmål, er du velkommen til at reagere på denne Reddit -tråd: Reddit -tråd

Bonus

Min Pfsensen, dedikeret til VPN, er virtualiseret. De eneste ting, du har brug for for at sikre, er:

• Brug virtio som interface
• Deaktiver hardware offload.

Vincent c.

Læs flere indlæg af denne forfatter.