Como configurar o pfSense com o ExpressVPN (OpenVPN)

Este tutorial irá mostrar-lhe como configurar o ExpressVPN no seu dispositivo pfSense, usando uma configuração do pfSense OpenVPN.

Para os fins deste tutorial, assumiremos que você está configurando sua rede para uma configuração de rede genérica 192.168.1.0/24.

Nota: Este guia foi testado na seguinte versão do pfSense: 2.3.3-RELEASE (amd64)

Faça o download dos arquivos de configuração da VPN

Faça login na sua conta ExpressVPN.

Tela de entrada ExpressVPN com o botão Entrar destacado.

Depois de fazer login no site, clique em Configurar em mais dispositivos.

Tela de configuração ExpressVPN com o botão Configurar em mais dispositivos destacado.

Clique em Configuração manual no lado esquerdo da tela e selecione o OpenVPN guia à direita.

Você verá primeiro o seu nome do usuário senha e então uma lista de Arquivos de configuração OpenVPN.

Sob seu nome de usuário e senha, faça o download do arquivo de configuração do OpenVPN para o local ao qual você deseja se conectar. Mantenha este arquivo à mão, pois você extrairá informações para a instalação do pfSense.

Painel de configuração com os campos Nome de usuário e Senha e uma lista de arquivos de configuração realçada.

Definir configurações do pfSense

Para definir as configurações da VPN pfSense, faça login no seu dispositivo pfSense e navegue até Sistema > Cert. Gerente.

Tela do dispositivo pfSense com o gerenciador de certificação do sistema destacado.

Em “CAs”, clique no ícone Adicionar botão.

Digite o seguinte:

  • Nome descritivo: ExpressVPN
  • Método: Importar uma autoridade de certificação existente
  • Dados do certificado: abra o arquivo de configuração OpenVPN que você baixou e abra-o com seu editor de texto favorito. Procure o texto que está dentro da  parte do arquivo. Copiando a sequência inteira de —– COMEÇAR CERTIFICADO—– para ENVIAR CERTIFICADO.
  • Chave privada de certificado (opcional): deixe em branco
  • Serial para o próximo certificado: deixe em branco

Depois de inserir as informações, sua tela deve ficar assim:

insira os detalhes da sua autoridade de certificação e salve suas configurações.

Clique Salve .

Fique nesta página e clique em Certificados no topo.

clique em certificados

Na parte inferior da tela, clique em Adicionar.

Em “Adicionar um novo certificado”, digite o seguinte:

  • Método: Importar um certificado existente
  • Nome descritivo: ExpressVPN Cert (ou algo significativo para você)
  • Dados do certificado: abra o arquivo de configuração OpenVPN que você baixou e abra-o com seu editor de texto favorito. Procure o texto que está dentro da  parte do arquivo. Copie a sequência inteira de —– COMEÇAR CERTIFICADO—– para ENVIAR CERTIFICADO
  • Dados da chave privada: com o editor de texto ainda aberto, procure o texto que está dentro da pasta parte do arquivo. Copie a sequência inteira de – COMECE A CHAVE PRIVADA DA RSA – para ENVIAR CHAVE PRIVADA RSA-

Depois de inserir as informações, sua tela deve ficar assim:

insira seus dados de chave privada no espaço fornecido.

Clique Salve .

Na parte superior da tela, navegue até VPN > OpenVPN.

Na parte superior da tela, navegue até VPN e clique em OpenVPN.

Selecione Clientes.

clique em clientes

Na parte inferior da tela, clique em Adicionar.

Digite as seguintes informações:

Informação geral:

  • Desativado: deixe essa caixa desmarcada
  • Modo servidor: Ponto a ponto (SSL / TLS)
  • Protocolo: UDP
  • Modo de dispositivo: tun
  • Interface: WAN
  • Porta local: deixe em branco
  • Host ou endereço do servidor: abra o arquivo de configuração do OpenVPN que você baixou e abra-o com o seu editor de texto favorito. Procure o texto que começa com controlo remoto, seguido por um nome de servidor. Copie a string do nome do servidor para este campo (por exemplo, server-address-name.expressnetw.com)
  • Porta do servidor: copie o número da porta do arquivo de configuração do OpenVPN para esse campo (por exemplo, 1195)
  • Host ou endereço de proxy: deixe em branco
  • Porta proxy: deixe em branco
  • Autenticação de Proxy. – Opções extras – nenhuma
  • Resolução do nome do host do servidor: Marque esta caixa
  • Descrição: Algo significativo para você. por exemplo, ExpressVPN Dallas

O pfSense

Configurações de autenticação do usuário

  • Nome de usuário: seu nome de usuário ExpressVPN
  • Senha: sua senha ExpressVPN

O pfSense

Configurações criptográficas

  • Autenticação TLS: Marque esta caixa
  • Chave: abra o arquivo de configuração OpenVPN que você baixou e abra-o com seu editor de texto favorito. Procure o texto que está dentro do  parte do arquivo. Ignore as entradas “chave estática do OpenVPN de 2048 bits” e comece a copiar a partir de —– COMEÇA a chave estática OpenVPN V1—– para ENVIAR chave estática OpenVPN V1
  • Autoridade de certificação de mesmo nível: selecione a entrada “ExpressVPN” que você criou anteriormente no Cert. Etapas do gerente
  • Certificado de cliente: selecione a entrada “ExpressVPN Cert” que você criou anteriormente no Cert. Etapas do gerente
  • Algoritmo de criptografia: abra o arquivo de configuração OpenVPN que você baixou e abra-o com seu editor de texto favorito. Procure o texto cifra. Neste exemplo, a configuração do OpenVPN é listada como “cifra AES-256-CBC”, portanto, selecionaremos “AES-256-CBC (chave de 256 bits, bloco de 128 bits) no menu suspenso
  • Algoritmo de síntese de autenticação: abra o arquivo de configuração OpenVPN que você baixou e abra-o com seu editor de texto favorito. Procure o texto auth seguido pelo algoritmo depois. Neste exemplo, vimos “auth SHA512”, por isso vamos selecionar “SHA512 (512 bits)” na lista suspensa
  • Criptografia de hardware: a menos que você saiba que seu dispositivo suporta criptografia de hardware, deixe isso em Sem aceleração de criptografia de hardware

Etapas adicionais para o pfSense 2.4:

  • Desmarque Gerar automaticamente uma chave TLS
  • Defina o Modo de uso como Autenticação TLS
  • Desmarque Habilitar parâmetros criptográficos negociáveis
  • Ignore o Algoritmos NCP seção

insira as configurações criptográficas abrindo o arquivo de configuração do OpenVPN que você baixou anteriormente.

Configurações do túnel

  • Rede de túneis IPv4: deixe em branco
  • Rede de túneis IPv6: deixe em branco
  • Rede (s) remota (s) IPv4: deixe em branco
  • Rede (s) remota (s) IPv6: deixe em branco
  • Limitar a largura de banda de saída: a seu critério, mas para este tutorial – deixe em branco.
  • Compactação: ativada com compactação adaptável
  • Topologia: deixe o padrão “Sub-rede – um endereço IP por cliente em uma sub-rede comum”
  • Tipo de serviço: deixe desmarcada
  • Desative o IPv6: Marque esta caixa
  • Não puxe rotas: Marque esta caixa
  • Não adicione / remova rotas: deixe desmarcada

Etapas adicionais para o pfSense 2.4:

  • Defina Compactação como Compressão LZO adaptável
  • Observe que não há mais caixa de seleção para “Desativar IPv6”

entrar nas configurações do túnel

Configuração avançada

  • Opções personalizadas: essas opções são derivadas da configuração do OpenVPN que você está consultando. Iremos retirar todas as opções personalizadas que não usamos anteriormente. Copie e cole o seguinte:
    fast-io; persist-key; persist-tun; remote-random; pull; comp-lzo; tls-client; verifique-x509-name Nome do servidor prefixo; remote-cert-tls server; key-direction 1; route- método exe; route-delay 2; tun-mtu 1500; fragmento 1300; mssfix 1450; verbo 3; sndbuf 524288; rcvbuf 524288
  • Nível de verbosidade: 3 (recomendado)

Etapas adicionais para o pfSense 2.4:

  • Verifica E / S rápida UDP
  • Buffer de recebimento de envio: 512 KB
  • Criação de gateway: Apenas IPV4

copie e cole o seguinte para entrar na configuração avançada.

Clique Salve .

Confirme o sucesso da conexão

Agora você deve poder confirmar que sua conexão OpenVPN foi bem-sucedida. Navegar para Status > OpenVPN.

status openvpn

Em “Estatísticas da instância do cliente”, na coluna “Status”, você verá a palavra acima, indicando que o túnel está online.

verifique as estatísticas das instâncias do cliente

Etapas adicionais para rotear a WAN através do túnel

Agora que o túnel está online, você precisa informar todo o seu tráfego para que o NAT esteja corretamente. Na parte superior da tela, selecione Interfaces e clique (atribuir).

interfaces atribuem

Clique no + botão. Uma nova interface será criada. Certificar-se de que ovpnc1 está selecionado e clique em Salve .

Navegar para Interfaces > OVPNC1:

Digite o seguinte:

Configuração geral

  • Habilitar: Marque esta caixa
  • Descrição: Algo significativo para você. por exemplo, EXPRESSVPN
  • Tipo de configuração IPv4: DHCP
  • Tipo de configuração IPv6: Nenhum
  • Endereço MAC: Deixe em branco
  • MTU: deixe em branco
  • MSS: deixe em branco

entrar na configuração geral

Configuração do Cliente DHCP

  • Opções: deixar desmarcada
  • Nome do host: deixe em branco
  • Endereço IPv4 alternativo: deixe em branco
  • Rejeitar concessões de: deixe em branco

configuração padrão do cliente dhcp

Configuração do Cliente DHCP6

  • Opções: deixar desmarcada
  • Use a conectividade IPv4 como interface pai: deixe desmarcada
  • Solicite apenas um prefixo IPv6: deixe desmarcado
  • Tamanho da delegação de prefixo DHCPv6: deixe o padrão em 64
  • Enviar dica de prefixo IPv6: deixe desmarcada
  • Depuração: deixe desmarcada
  • Não espere por um RA: deixe desmarcada
  • Não permitir liberação de PD / endereço: deixe desmarcada

digite dhcp6

Redes reservadas

  • Bloquear redes privadas e endereços de loopback: deixe desmarcada
  • Bloquear redes falsas: deixe desmarcada

redes reservadas padrão

Clique Salve .

Navegar para Firewall > Apelido.

aliases de firewall

Em “IP”, clique em Adicionar.

Você fornecerá à sua rede doméstica um “Alias” que permite que um nome amigável faça referência à sua rede.

Propriedades

  • Nome: Algo significativo para você. Para este tutorial, usaremos “Local_Subnets”
  • Descrição: Algo significativo para você
  • Tipo: Rede (s)

Rede (s)

  • Rede ou FQDN: 192.168.1.0 / 24

insira propriedades

Clique Salve .

Navegar para Firewall > NAT.

firewall nat

Clique em Saída no topo.

saída

Para “Modo NAT de saída”, selecione Geração de regra NAT de saída manual.

escolha o modo nat de saída

Clique Salve  e depois clique Aplicar mudanças.

configuração nat alterada

Debaixo Mapeamentos, você estará dizendo ao seu tráfego para onde ir quando ele sair da sua rede. Você essencialmente copiará as quatro conexões WAN padrão existentes e as modificará para usar sua nova interface virtual EXPRESSVPN.

No lado direito da tela, clique no botão cópia de próximo à primeira entrada da conexão WAN. É o ícone com um quadrado sobreposto a outro quadrado.

clique em copiar

Na janela que aparece, a única seleção que você estará alterando é a seção “Interface”. Clique no menu suspenso e mude de WAN para EXPRESSVPN.

insira entrada nat de saída avançada

Clique Salve .

Repita as etapas acima para as outras três regras da WAN existentes..

Depois que todas as quatro regras EXPRESSVPN forem adicionadas, clique no botão Salve  botão e clique Aplicar mudanças mais uma vez no topo.

Por fim, você precisa criar uma regra para redirecionar todo o tráfego local através do gateway EXPRESSVPN criado anteriormente. Navegar para Firewall > Regras:

regras de firewall

Clique em LAN.

lan

Clique no Adicionar botão com a seta para cima (o botão da extrema esquerda).

clique em adicionar

Digite o seguinte:

Editar regra de firewall

  • Açao: Passar
  • Desativado: deixe desmarcado
  • Interface: LAN
  • Endereço: IPv4
  • Protocolo: Qualquer

Fonte

  • Fonte: Selecione Host único ou alias e digite o nome do alias que você criou para sua rede anteriormente. Para este tutorial, usamos “Local_Subnets”.

Destino

  • Destino: qualquer

Opções Extra

  • Log: deixe desmarcada
  • Descrição: insira algo significativo para você. Neste tutorial, inseriremos “LAN TRAFFIC -> EXPRESSVPN ”

Clique no azul Display Advanced botão.

opções avançadas

Opções avançadas

Deixe tudo de novo nessas janelas que apareceram em branco e procure Porta de entrada. Altere para “EXPRESSVPN_DHCP”

Porta de entrada

Clique Salve .

Você terminou! Agora você deve começar a ver o tráfego fluindo através de sua nova regra criada, confirmando que o tráfego está se movendo através do túnel ExpressVPN que você criou.

pfsense vpn on