Jak skonfigurować ExpressVPN na pfSense (OpenVPN)

Ten samouczek pokaże Ci jak skonfigurować ExpressVPN na pfSense z użyciem OpenVPN.

Nie wszystkie lokalizacje ExpressVPN mogą być dostępne dla ręcznie konfigurowanych połączeń.

Uwaga: Kolejne kroki zostały przetestowane na pfSense 2.4.5 i są przeznaczone dla użytkowników z podstawową konfiguracją sieci domowej (192.168.1.0/24): Internet > Modem > pfSense > Router/Punkty dostępowe.

1. Znajdź dane logowania do swojego konta ExpressVPN

Przejdź do strony konfiguracji ExpressVPN. Jeśli pojawi się monit, wprowadź swoje dane logowania ExpressVPN i kliknij Zaloguj się.

Wprowadź kod weryfikacyjny, który został wysłany na twój e-mail.

Po prawej stronie, z OpenVPN już wybranym dla Ciebie, zobaczysz swoją nazwę użytkownika, hasło i listę plików konfiguracyjnych OpenVPN.

Kliknij lokalizację, które chcesz, aby pobrać plik .ovpn.

Pozostaw otwarte to okno przeglądarki. Potrzebujesz tych informacji do późniejszej konfiguracji.

Potrzebujesz pomocy? Skontaktuj się z zespołem pomocy technicznej ExpressVPN, aby uzyskać natychmiastową pomoc.

Powrót na górę

2. Skonfiguruj VPN na pfSense

Zaloguj się do interfejsu webowego pfSense. (Domyślna nazwa użytkownika i hasło to admin i pfsense.) Kliknij ZALOGUJ.

Na górnym pasku nawigacyjnym kliknij System > Cert. Zarządzaj.

W zakładce CA kliknij Dodaj. Wprowadź następujące informacje:

Utwórz/ Edytuj CA

• Opisowa nazwa: Wprowadź dowolną nazwę, która pomoże Ci rozpoznać połączenie VPN. Na przykład: ExpressVPN.
• Metoda: Wybierz Importuj istniejącą jednostkę certyfikującą.

Istniejąca jednostka certyfikująca

• Dane certyfikatu: Kliknij prawym przyciskiem myszy plik konfiguracyjny .ovpn i otwórz go w dowolnym edytorze tekstu. Skopiuj tekst pomiędzy znacznikami <ca> i </ca> i wklej go w tym polu.
  
• Prywatny klucz certyfikatu (opcjonalnie): Pozostaw puste.
• Numer seryjny dla kolejnego certyfikatu: Pozostaw puste.

Kliknij Zapisz.

Kliknij Certyfikaty. Kliknij Dodaj/ Podpisz. Wprowadź następujące informacje:

Dodaj/ Podpisz nowy certyfikat

• Metoda: Wybierz Importuj istniejący certyfikat.
• Opisowa nazwa: Wprowadź dowolną nazwę. Na przykład: Certyfikat ExpressVPN.

Importuj certyfikat

• Dane certyfikatu: W edytorze tekstu, który otworzyłeś wcześniej, skopiuj tekst pomiędzy znacznikami <cert> i </cert> i wklej go w tym polu.
  
• Dane prywatnego klucza: W edytorze tekstu, który otworzyłeś wcześniej, skopiuj tekst pomiędzy znacznikami <key> i </key> i wklej go w tym polu.
  

Kliknij Zapisz.

W górnym pasku nawigacyjnym kliknij VPN > OpenVPN.

Kliknij Klienci, a następnie kliknij Dodaj. Wprowadź następujące informacje:

Informacje ogólne

• Wyłączone: Pozostaw niezaznaczone.
• Tryb serwera: Wybierz Peer to Peer (SSL/TLS).
• Protokół: Wybierz UDP tylko na IPv4.
• Tryb urządzenia: Wybierz tun – Tryb tunelowania warstwy 3.
• Interfejs: Wybierz WAN.
• Lokalny port: Pozostaw puste.
• Host lub adres serwera: W edytorze tekstu, który otworzyłeś wcześniej, skopiuj dowolny adres serwera wymieniony pomiędzy słowem „remote” a czterocyfrowym numerem portu. Wklej go w tym polu.
• Port serwera: Wprowadź numer (po adresie serwera), który znalazłeś powyżej.
• Host lub adres proxy: Pozostaw puste.
• Port proxy: Pozostaw puste.
• Uwierzytelnianie proxy: Wybierz żadne.
• Opis: Wprowadź dowolną nazwę, która pomoże Ci rozpoznać połączenie VPN. Na przykład: ExpressVPN NY.

Ustawienia uwierzytelniania użytkownika

• Nazwa użytkownika: Wprowadź nazwę użytkownika, którą znalazłeś wcześniej.
• Hasło: Wprowadź hasło, które znalazłeś wcześniej dwa razy.

Ustawienia kryptograficzne

• Konfiguracja TLS: Zaznacz to pole.
• Automatycznie generuj klucz TLS: Odznacz to pole.
• Klucz TLS: W edytorze tekstu, który otworzyłeś wcześniej, skopiuj tekst pomiędzy znacznikami <tls-auth> i </tls-auth> i wklej go w tym polu.
  
• Tryb użycia klucza TLS: Wybierz Uwierzytelnianie TLS.
• Jednostka certyfikująca partnera: Wybierz wpis (np. ExpressVPN), który utworzyłeś wcześniej.
• Certyfikat klienta: Wybierz wpis (np. Certyfikat ExpressVPN), który utworzyłeś wcześniej.
• Algorytm szyfrowania: W edytorze tekstu, który otworzyłeś wcześniej, znajdź słowo „cipher”. Wybierz algorytm pokazany po „cipher” w menu rozwijanym. Na przykład: AES-256-GCM.
• Włącz NCP: Odznacz to pole.
• Algorytmy NCP: Pozostaw puste.
• Algorytm skondensowany auth: W edytorze tekstu, który otworzyłeś wcześniej, znajdź słowo „auth”. Wybierz algorytm pokazany po „auth” w menu rozwijanym. Na przykład: SHA512.
• Kryptografia sprzętowa: O ile nie wiesz, że twoje urządzenie obsługuje kryptografię sprzętową, wybierz Brak przyspieszenia kryptografii sprzętowej.

Ustawienia tunelu

• Sieć tunelowa IPv4: Pozostaw puste.
• Sieć tunelowa IPv6: Pozostaw puste.
• Sieć(i) zdalna IPv4: Pozostaw puste.
• Sieć(i) zdalna IPv6: Pozostaw puste.
• Ogranicz wychodzącą przepustowość: Pozostaw puste.
• Kompresja: Wybierz Odrzuć każdą inną kompresję niż stub (Najbardziej bezpieczna)
• Topologia: Pozostaw bez zmian.
• Typ usługi: Pozostaw nieoznaczone.
• Nie pobieraj tras: Zaznacz to pole.
• Nie dodawaj/usuwaj tras: Pozostaw nieoznaczone.

Zaawansowana konfiguracja

• Opcje niestandardowe: Skopiuj i wklej następujące:
  fast-io;persist-key;persist-tun;remote-random;pull;comp-lzo no;tls-client;verify-x509-name Server name-prefix;remote-cert-tls server;key-direction 1;route-method exe;route-delay 2;tun-mtu 1500;fragment 1300;mssfix 1450;verb 3;sndbuf 524288;rcvbuf 524288
• Szybkie we/wy UDP: Zaznacz to pole.
• Bufory wysyłania/odbioru: Wybierz 512 KiB.
• Tworzenie bramy: Wybierz tylko IPv4.
• Poziom szczegółowości: Wybierz 3 (zalecane).

Kliknij Zapisz.

Potrzebujesz pomocy? Skontaktuj się z zespołem pomocy technicznej ExpressVPN, aby uzyskać natychmiastową pomoc.

Powrót na górę

3. Trasuj WAN przez tunel VPN

Po uruchomieniu tunelu musisz trasować swój ruch WAN przez tunel.

W górnym pasku nawigacyjnym kliknij Interfejsy > Przydziały.

Kliknij Dodaj. Utworzony zostanie nowy interfejs. Dla OPT1, wybierz ovpnc1. Kliknij Zapisz.

W górnym pasku nawigacyjnym kliknij Interfejsy > OPT1.

Wprowadź następujące informacje:

Ogólna konfiguracja

• Włącz: Zaznacz to pole.
• Opis: Wprowadź dowolną nazwę, która ma dla ciebie znaczenie. Na przykład: ExpressVPN.
• Adres MAC: Pozostaw puste.
• MTU: Pozostaw puste.
• MSS: Pozostaw to puste.

Zarezerwowane sieci

• Zablokuj prywatne sieci i adresy pętli zwrotnych: Pozostaw nieoznaczone.
• Zablokuj sieci Bogon: Pozostaw nieoznaczone.

Kliknij Zapisz.

Kliknij Zastosuj zmiany.

W górnym pasku nawigacyjnym kliknij Zapora sieciowa > Aliasy.

Kliknij Dodaj.

Podaj swojej sieci domowej „Alias”, który pozwala na przypisanie do niej przyjaznej nazwy. Wprowadź następujące informacje:

Właściwości

• Nazwa: Wprowadź znaczącą nazwę. Na przykład: Local_Subnets.
• Opis: Wprowadź coś, co ma dla ciebie znaczenie. Na przykład: Sieć domowa.
• Typ: Wybierz Sieć(i).

Sieć(i)

• Sieć lub FQDN: Wprowadź 192.168.1.0 i wybierz 24.

Kliknij Zapisz.

W górnym pasku nawigacyjnym kliknij Zapora sieciowa > NAT > Wychodzące.

Dla Tryb, wybierz Ręczne generowanie reguł wychodzących NAT. Kliknij Zapisz > Zastosuj zmiany.

Twój ruch potrzebuje celu, gdy opuszcza twoją sieć. Przewiń w dół do Mapowanie, będziesz musiał zmodyfikować swoje istniejące połączenia WAN, aby używać nowego wirtualnego interfejsu ExpressVPN.

Dla pierwszego wpisu połączenia WAN, kliknij .

Dla Interfejs, wybierz EXPRESSVPN.

Kliknij Zapisz.

Powtórz powyższe kroki dla innych wpisów WAN.

Po dodaniu wszystkich nowych reguł, kliknij Zastosuj zmiany na górze.

Teraz utwórz regułę przekierowującą cały lokalny ruch przez nowo utworzoną bramę OpenVPN. W górnym pasku nawigacyjnym kliknij Zapora sieciowa > Reguły.

Kliknij LAN. Kliknij Dodaj po lewej stronie.

Wprowadź następujące informacje:

Edytuj regułę zapory sieciowej

• Działanie: Wybierz Przejdź.
• Wyłączone: Pozostaw nieoznaczone.
• Interfejs: Wybierz LAN.
• Adres: Wybierz IPv4.
• Protokół: Wybierz Dowolne.

Źródło

• Źródło: Wybierz Pojedynczy host lub alias i wprowadź nazwę aliasu utworzonego wcześniej dla twojej sieci. Na przykład: Local_subnets.

Miejsce docelowe

• Miejsce docelowe: Wybierz dowolne.

Dodatkowe opcje

• Dziennik: Pozostaw nieoznaczone.
• Opis: Wprowadź coś, co ma dla Ciebie sens. Na przykład: Ruch LAN do ExpressVPN.

Kliknij Pokaż zaawansowane.

Opcje zaawansowane

• Brama: Wybierz EXPRESSVPN.

Kliknij Zapisz > Zastosuj zmiany.

Potrzebujesz pomocy? Skontaktuj się z zespołem pomocy technicznej ExpressVPN, aby uzyskać natychmiastową pomoc.

Powrót na górę

4. Potwierdź sukces połączenia

Teraz powinieneś być w stanie potwierdzić, że połączenie OpenVPN jest pomyślne. W górnym pasku nawigacyjnym kliknij Status > OpenVPN.

Jeśli tunel VPN jest online, Status powinien wskazywać „aktywny”.

Możesz również użyć Weryfikatora Adresu IP ExpressVPN, aby sprawdzić, czy jesteś połączony z VPN. Wyświetlony adres IP powinien odpowiadać lokalizacji, do której jesteś połączony przez OpenVPN. Jeśli nie, w sekcji Usługa, kliknij ikonę pauzy, a następnie ikonę startu, aby ponownie uruchomić VPN.

Potrzebujesz pomocy? Skontaktuj się z zespołem pomocy technicznej ExpressVPN, aby uzyskać natychmiastową pomoc.

Powrót na górę