Kaip įsidiegti ir sukonfigūruoti OpenVPN serverį pfSense aplinkoje: žingsnis po žingsnio vadovas

Užkardos ir maršrutizatoriai, paremti atvirojo kodo sprendimais, leidžia susikurti saugią prieigą prie namų ar biuro tinklo iš bet kur. Vienas populiariausių būdų – įsidiegti nuosavą OpenVPN serverį naudojant pfSense. Žemiau – nuo A iki Z aprašyta, kaip tai padaryti: nuo sertifikatų iki ugniasienės taisyklių ir kliento konfigūracijos eksporto.

Prieš pradedant: autentifikavimo pasirinkimai

Pirmas žingsnis – apsispręsti, kaip prisijungę vartotojai bus patvirtinami. Galimi trys keliai: tik slaptažodis, tik sertifikatas arba abu kartu (slaptažodis + sertifikatas). Jei renkatės vien slaptažodžius, vartotojo sertifikato kurti nereikės. Visais atvejais reikalinga sukurti Vidaus sertifikavimo centrą (Certificate Authority, CA) ir serverio sertifikatą.

CA (Sertifikavimo centro) kūrimas

• Atverkite System > Cert. Manager.
• Spustelėkite Add ir suteikite pavadinimą CA įrašui.
• Method: pasirinkite Create an internal Certificate Authority.
• Key type: pasirinkite RSA arba ECDSA.
• Key length: ne mažiau nei 2048.
• Digest Algorithm: bent SHA256.
• Common Name galite palikti vidinį (pvz., internal-ca) arba įrašyti savo.
• Spustelėkite Save – CA sukurtas.

Serverio sertifikatas

• Eikite į System > Cert. Manager > Certificates.
• Paspauskite Add/Sign.
• Method: Create an internal Certificate.
• Įrašykite aiškų aprašą (Descriptive name), kad vėliau atpažintumėte.
• Key type, Key length ir Digest Algorithm – tie patys kaip CA.
• Lifetime: apie 365 dienas (galite pritaikyti pagal politiką).
• Certificate Type: Server Certificate.
• Spustelėkite Save – serverio sertifikatas paruoštas.

Vartotojo kūrimas ir vartotojo sertifikatas

• Atverkite System > User Manager ir paspauskite Add.
• Įveskite Username ir Password, išsaugokite.
• Jei naudosite sertifikatinius prisijungimus (arba kombinuotus), spauskite redagavimo piktogramą (pieštukas).
• Skiltyje User Certificates paspauskite Add – atsidarys Certificate Manager.
• Method: Create an internal Certificate.
• Descriptive name: aiškus vartotojo sertifikato pavadinimas.
• Key type, Key length ir Digest Algorithm – kaip CA.
• Lifetime: ~365 dienos.
• Certificate Type: User Certificate.
• Išsaugokite sertifikatą ir grįžę į User Manager dar kartą spauskite Save.

OpenVPN serverio sukūrimas

Bendri nustatymai

• Eikite į VPN > OpenVPN ir spauskite Add.
• Server mode: pasirinkite Remote Access (SSL/TLS), Remote Access (User Auth) arba Remote Access (SSL/TLS + User Auth) – pagal pasirinktą autentifikavimo strategiją.
• Local port: jei reikia, pakeiskite; numatytasis – 1194.
• Description: suteikite pavadinimą, kad būtų aišku, kuriam tikslui šis serveris.

Kriptografiniai nustatymai

• Pažymėkite Use a TLS Key ir Automatically generate a TLS Key.
• Peer Certificate Authority: parinkite anksčiau sukurtą CA.
• Server certificate: parinkite jūsų serverio sertifikatą.
• DH Parameter Length: 4096.
• Auth digest algorithm: SHA512 (512-bit).

Tunelio tinklo nustatymai

• IPv4 Tunnel Network: įrašykite vidinį VPN potinklį, kurio nėra jūsų vietiniame LAN (pvz., 10.8.0.0/24).
• Jei reikia IPv6, nustatykite ir IPv6 Tunnel Network.
• Pažymėkite Redirect IPv4 Gateway (ir Redirect IPv6 Gateway, jei naudojate), kad per tunelį eitų visas srautas.

Išplėstinė konfigūracija

• Pažymėkite UDP Fast I/O.
• Gateway creation: rinkitės IPv4 only arba Both, jei naudojate ir IPv6.
• Išsaugokite nustatymus – serveris sukurtas.

Ar viskas veikia?

• Eikite į Status > System Logs.
• Skiltyje OpenVPN patikrinkite įrašus. Tarp logų turėtumėte matyti pranešimą, kad inicijavimas sėkmingai baigtas.

Ugniasienės (firewall) taisyklės

Iš eigos į internetą (išeinantis srautas)

• Atverkite Firewall > Rules ir pasirinkite OpenVPN kortelę.
• Spauskite Add.
• Family: pasirinkite IPv4 arba IPv4+IPv6 – pagal poreikį.
• Protocol: Any.
• Source: Network. Įveskite VPN tunelio potinklio adresą, pvz., Address: 10.8.0.0 ir Prefix: 24.
• Aprašymas (Description): nurodykite, kad tai leidimas iš OpenVPN į internetą.
• Save, tada Apply Changes.

Prisijungimas iš interneto (įeinantis srautas į VPN)

• Eikite į Firewall > Rules > WAN.
• Spauskite Add.
• Family: IPv4 arba IPv4+IPv6 (dažniausiai – IPv4).
• Protocol: UDP.
• Source: Any.
• Destination Port Range: tas portas, kuriame veikia jūsų VPN (jei nekeista – 1194).
• Aprašymas: nurodykite, kad tai leidimas į OpenVPN.
• Save ir Apply Changes.

Kliento konfigūracijos eksporto įrankio diegimas

• Atverkite System > Package Manager.
• Skiltyje Available Packages suraskite openvpn-client-export ir spauskite Install.
• Patvirtinkite (Confirm) – po diegimo turėtumėte matyti sėkmės pranešimą.

OpenVPN kliento konfigūracijos eksportas

• Eikite į VPN > OpenVPN > Client Export.
• Patikrinkite, ar Remote Access Server lauke pasirinktas teisingas jūsų VPN serveris.
• Jei naudojate dinaminį DNS, Host Name Resolution pasirinkite Other ir Host Name lauke įrašykite savo vardą. Jei nenaudojate – palikite Interface IP Address.
• Žemiau matysite sugeneruotų konfigūracijų sąrašą skirtingoms sistemoms ir programoms. Atsisiųskite variantą, kuris tinka jūsų įrenginiui.
• Diegiant ar jungiantis gali būti paprašyta įvesti vartotojo vardą ir slaptažodį – įveskite, jei to reikalauja jūsų autentifikavimo schema.

Ar tunelis tikrai veikia?

• Prisijunkite prie VPN iš kliento.
• Atverkite paieškos sistemą ir įrašykite „what is my IP“. Viešasis IP turėtų sutapti su jūsų namų tinklo WAN adresu.

Naudingi patarimai ir tolesni žingsniai

• Priedai ir išplėtimai: galima įgalinti skaldytą maršrutizavimą (split tunneling), reklamos ir kenkėjiškų svetainių blokavimą bei kitas pažangias funkcijas.
• Derinimas: jei kyla problemų, pirmiausia peržiūrėkite OpenVPN žurnalus, ugniasienės taisykles ir įsitikinkite, kad tunelio potinklis nesidubliuoja su vidaus tinklu.
• Maršrutavimas: kai tik įrenginys prisijungia prie serverio, jo srautą galima nukreipti per tunelį – tiek namų, tiek biuro tinkluose.

Privatumas: ką mato svetainės

Apsilankius bet kurioje svetainėje, dažnai matomas jūsų viešasis IP adresas, apytikslė geografinė vieta ir interneto paslaugų teikėjas. Naudojant VPN, šie duomenys gali būti paslėpti, nes srautas nukreipiamas per šifruotą tunelį ir viešasis IP keičiamas į VPN išėjimo taško adresą.

Apibendrinimas

Po šių veiksmų turite veikiantį OpenVPN serverį pfSense aplinkoje. Susikūrėte CA, serverio ir vartotojų sertifikatus, sukonfigūravote tunelį, ugniasienę, įdiegėte eksporto įrankį ir parengėte klientų profilius. Nuo šiol saugiai pasieksite namų ar darbo tinklo išteklius ir galėsite toliau tobulinti sprendimą, pridedant jums reikalingas funkcijas.