So richten Sie einen OpenVPN-Client in pfSense ein
pfSense ist eine auf FreeBSD basierende Open-Source-Firewall, die auch als Router fungiert. Sie können pfSense auf älterer (oder neuerer) Hardware installieren, sofern das System über zwei Netzwerkkarten (WAN & LAN) verfügt, und pfSense als Router verwenden. pfSense bietet mehr Leistung, Kontrolle und Sicherheit als die meisten kommerziellen Router, die Sie kaufen können, und verfügt über den Vorteil häufiger Betriebssystem-Updates. Es verfügt außerdem über eine benutzerfreundliche webbasierte Schnittstelle, über die Sie jeden Aspekt Ihres Routers/Ihrer Firewall konfigurieren können.
Eines der vielen coolen Dinge, die Sie mit pfSense tun können, ist die Konfiguration einer Client-Verbindung zu einem OpenVPN-Anbieter. Anschließend können Sie pfSense so konfigurieren, dass der gesamte Datenverkehr aller angeschlossenen Geräte (PCs, Tablets, Smartphones) über die VPN-Verbindung geleitet wird. Dies ermöglicht Ihnen:
- Verbinden Sie so viele Geräte wie Sie möchten mit dem VPN und umgehen Sie die von Ihrem Anbieter möglicherweise erzwungenen harten Beschränkungen für gleichzeitige Verbindungen.
- Verbinden Sie Geräte, die VPN-Verbindungen nicht nativ unterstützen, z. B. Spielekonsolen und Smart-TVs
- Stellen Sie eine Verbindung zum VPN her, ohne eine dedizierte VPN-Anwendung zu verwenden.
In diesem Beitrag schauen wir uns an, wie man in pfSense eine OpenVPN-Client-Verbindung zu einem kommerziellen VPN-Anbieter einrichtet. In diesem Leitfaden wird davon ausgegangen, dass Sie dies getan haben pfSense installiert und dass Sie über eine Standardkonfiguration mit mindestens einer LAN-Schnittstelle und einer WAN-Schnittstelle verfügen.
VPN-Anbieter
Nicht alles kommerziell VPN-Anbieter unterstützen pfSense – obwohl es sehr viele tun. Wenn ein VPN-Anbieter pfSense offiziell unterstützt, ist es ganz einfach, alle Dateien zu finden, die Sie zum Einrichten auf pfSense benötigen. Andere VPN-Anbieter unterstützen pfSense offiziell nicht, stellen Ihnen aber dennoch die Konfigurationsdateien zur Verfügung, die Sie zum Einrichten einer Client-Verbindung auf pfSense benötigen. Dies sind in der Regel Anbieter, die unterstützen Linux und sie stellen die notwendigen Konfigurationsdateien für eine Linux-Konfiguration zur Verfügung. Es stellt sich jedoch heraus, dass die Dateien, die Sie zum Herstellen einer OpenVPN-Client-Verbindung unter Linux benötigen, dieselben sind, die Sie auch für die Einrichtung auf pfSense benötigen würden.
Hier ist eine Liste von Anbietern, von denen bekannt ist, dass sie mit pfSense zusammenarbeiten (offiziell oder inoffiziell). Die Liste erhebt keinen Anspruch auf Vollständigkeit, daher kann es weitere geben.
ANGEBOT-ALARM:Erhalten Sie 3 Monate kostenlos mit ExpressVPN, unserem am besten bewerteten VPN-Anbieter.
- AirVPN
- ExpressVPN
- Surfhai
- Versteck mich
- Verstecke meinen Arsch
- VPN
- Mol
- NordVPN
- OVPN
- Privater Internetzugang
- ProtonVPN
- PureVPN
- TorGuard
- VyprVPN
- Windschreiber
Es gibt auch verschiedene Möglichkeiten, denselben Anbieter auf pfSense einzurichten. Für diese Anleitung habe ich den unkompliziertesten Weg gewählt, der mit einer typischen Basisinstallation von pfSense gut funktioniert.
Was du brauchen wirst
Damit dies auf pfSense funktioniert, müssen Sie Folgendes von der Website Ihres VPN-Anbieters erhalten. VPN-Anbieter, die pfSense (offiziell oder inoffiziell) unterstützen, stellen ihre Konfigurationsdateien zum Download zur Verfügung.
- Ihre Referenzen : Dies wäre ein Benutzername und ein Passwort, eine Kundenkennung, eine Kontonummer – wie auch immer sie es nennen. Es variiert je nach Anbieter. Es kann eines der oben genannten sein. Sie benötigen lediglich Ihr Identifikations- und Authentifizierungsmittel für Ihr Konto.
- Das CA-Zertifikat : Der VPN-Anbieter verfügt über eine Zertifizierungsstelle, die Verbindungen zu seinen VPN-Servern validiert. Um pfSense als VPN-Client zu konfigurieren, benötigen Sie das CA-Zertifikat Ihres Anbieters. Es sieht aus wie das:
- Der private Schlüssel des CA-Zertifikats Hinweis: Bei einigen Anbietern müssen Sie außerdem den privaten Schlüssel des CA-Zertifikats importieren. Das tun nicht alle. Es sieht aus wie das:
- Der TLS-Schlüssel Hinweis: Einige VPN-Anbieter benötigen außerdem einen TLS-Schlüssel, um eine Client-Verbindung zu ihren Servern herzustellen. Er wird oft als statischer Schlüssel bezeichnet. Wenn Ihr VPN-Anbieter zum Aufbau einer OpenVPN-Verbindung einen statischen Schlüssel benötigt, benötigen Sie diesen ebenfalls. Es sieht aus wie das:
Als Erstes müssen Sie also die OpenVPN-Konfigurationsdateien von Ihrem VPN-Anbieter beziehen. Sobald Sie alles verstanden haben, können Sie mit der Konfiguration der Client-Verbindung in pfSense beginnen.
pfSense konfigurieren
Anmeldung
Als erstes müssen wir uns bei unserer pfSense-Box anmelden.
- Starten Sie einen Webbrowser und geben Sie Folgendes ein: https://
in der URL-Leiste. pfSense ist standardmäßig 192.168.1.1. - Geben Sie Ihren Benutzernamen und Ihr Passwort ein. Sie werden zum pfSense-Dashboard weitergeleitet.
Importieren des CA-Zertifikats und des Schlüssels
Wir beginnen mit dem Import des CA-Zertifikats unseres VPN-Anbieters.
So importieren Sie eine Zertifizierungsstelle in pfSense
- Navigieren Sie zuSystem > Zert. Manager > Zertifizierungsstellenund klicken Sie aufHinzufügenSchaltfläche unten rechts.
- Geben Sie der Zertifizierungsstelle einen aussagekräftigen Namen. Für dieses Beispiel verwende ich „My VPN Provider CA“.
- Stellen Sie die einMethodeFeld zuImportieren Sie eine vorhandene Zertifizierungsstelle.
- Fügen Sie das CA-Zertifikat Ihres Anbieters in das einZertifikatsdatenFeld.
- Fügen Sie Ihren CA-Schlüssel in das einPrivater Schlüssel des ZertifikatsFeld (falls Ihr Provider dies verlangt).
- Klicken Sie auf Speichern. Sie haben die CA Ihres VPN-Anbieters importiert und werden zur Seite „CAs“ zurückgeleitet, wo Ihre neu importierte CA nun in der Liste angezeigt wird.
Hinzufügen einer OpenVPN-Client-Verbindung
Nachdem wir nun unser CA-Zertifikat importiert haben, können wir mit der Konfiguration unserer VPN-Verbindung beginnen.
Wenn Ihr VPN-Anbieter pfSense ausdrücklich unterstützt, sind die für die Einrichtung erforderlichen Informationen leicht zu finden. Wenn Ihr VPN-Anbieter „inoffiziell“ pfSense unterstützt, indem er Linux unterstützt, finden Sie die benötigten Informationen in einer der für Linux bereitgestellten .ovpn-Dateien. .ovpn-Dateien können mit einem Standard-Texteditor geöffnet werden. Es sieht in etwa so aus (das Zertifikat und der Schlüssel wurden für den Screenshot gekürzt):
Navigieren Sie zuVPN > OpenVPN > Clientsund klicken Sie aufHinzufügenTaste.
Die Konfigurationsseite des OpenVPN-Clients ist ziemlich lang. Wir werden es in Abschnitte aufschlüsseln und alle Parameter durchgehen, die zum Einrichten einer OpenVPN-Verbindung erforderlich sind.
Allgemeine Informationen
Deaktiviert : Lassen Sie dies deaktiviert, sonst wird Ihre Client-Verbindung deaktiviert.
Servermodus : Stellen Sie dies auf Peer-to-Peer (SSL/TLS) ein. Die andere Option, Shared Key, wird typischerweise für Punkt-zu-Punkt-VPN-Verbindungen verwendet, die zwei Netzwerke über VPN miteinander verbinden.
Protokoll l: Dies ist normalerweise auf UDP eingestellt, kann aber auch auf TCP eingestellt werden, wenn Ihr Anbieter TCP-Verbindungen unterstützt. UDP ist normalerweise schneller und wird für OpenVPN bevorzugt.
Schnittstelle : VON
Lokaler Hafen : Leer lassen, es sei denn, dies wird von Ihrem VPN-Anbieter anders angegeben
Serverhost oder -adresse : Die IP-Adresse oder der Hostname des VPN-Servers, zu dem Sie eine Verbindung herstellen.
Server Port : Der Port, über den die VPN-Verbindung hergestellt wird. Dies wird von Ihrem VPN-Anbieter festgelegt.
Proxy-Host oder -Adresse : Freilassen
Proxy-Port : Freilassen
Proxy-Authentifizierung : Freilassen
Benutzerauthentifizierungseinstellungen
Hier geben Sie die Zugangsdaten Ihres VPN-Anbieters ein. Wie ich oben erwähnt habe, kann dies in Form eines Benutzernamens und Passworts, einer Kundenkennung oder einer Kontonummer erfolgen – was auch immer Ihr VPN-Anbieter gewählt hat. Wenn Ihr Provider kein Passwort verlangt, lassen Sie das Passwortfeld einfach leer.
Nutzername : Ihr Benutzername, Kundenkennung, Kontonummer usw.
Passwort : Ihr Passwort (falls erforderlich)
Automatisch Wiederholen : Lassen Sie das Kontrollkästchen deaktiviert, damit Ihr Client versucht, die Verbindung wiederherzustellen, wenn die Authentifizierung fehlschlägt.
Kryptografische Einstellungen
Die Art und Weise, wie der Abschnitt „Kryptografische Einstellungen“ konfiguriert wird, variiert stark zwischen den VPN-Dienstanbietern. Sie müssen die richtigen Informationen von Ihrem VPN erhalten. Die meisten Anbieter stellen diese Informationen leicht verfügbar.
TLS-Konfiguration Hinweis: Einige VPN-Anbieter verlangen die Verwendung eines TLS-Schlüssels zur Authentifizierung der OpenVPN-Verbindung. Andere nicht. Wenn dies der Fall ist, wurde der TLS-Schlüssel mit den heruntergeladenen Konfigurationsdateien gebündelt. Wenn Ihr Anbieter einen TLS-Schlüssel erfordert, aktivieren Sie die Option „TLS-Schlüssel verwenden“. Andernfalls deaktivieren Sie es.
Generieren Sie automatisch einen TLS-Schlüssel : Nicht markiert lassen.
TLS-Schlüssel : Fügen Sie hier bei Bedarf den von Ihrem VPN-Anbieter bereitgestellten TLS-Schlüssel ein. Andernfalls lassen Sie das Feld leer.
TLS-Schlüsselverwendungsmodus : TLS-Schlüssel können entweder für die TLS-Authentifizierung oder für die TLS-Authentifizierung und -Verschlüsselung verwendet werden. Dies hängt von Ihrem Anbieter ab. Wählen Sie im Dropdown-Menü den entsprechenden TLS-Schlüssel-Nutzungsmodus aus.
TLS-Schlüsselverzeichnisrichtung : Behalten Sie die Option „Standardrichtung verwenden“ bei, es sei denn, Ihr Anbieter hat eine andere Einstellung festgelegt. Damit die TLS-Authentifizierung funktioniert, müssen die Client- und Server-TLS-Schlüssel in entgegengesetzte Richtungen eingestellt werden.
Peer-Zertifizierungsstelle : Wählen Sie die CA aus, die wir zuvor importiert haben.
Kundenzertifikat : Lassen Sie diese Einstellung auf „Keine“. Mit OpenVPN ist es möglich, eine zertifikatbasierte Authentifizierung anstelle von Benutzername und Passwort oder beidem zu verwenden. Allerdings verwendet jeder VPN-Anbieter, den ich gesehen habe, eine auf Anmeldeinformationen basierende Authentifizierung, vermutlich weil die Verteilung eindeutiger Zertifikate an jeden Kunden schnell unkontrollierbar werden würde.
Verschlüsselungsalgorithmus : Diese Einstellung bestimmt die Verschlüsselung, die zum Verschlüsseln Ihrer Verbindung verwendet wird. Dies hängt wiederum von Ihrem VPN-Anbieter ab. Die meisten Anbieter verwenden jedoch entweder AES-256-CBC oder AES-256-GCM.
NCP aktivieren : NCP steht für Negotiable Cryptographic Parameters. Wenn Ihr VPN-Anbieter verschiedene Verschlüsselungseinstellungen unterstützt, handelt NCP die stärkste mögliche Verschlüsselung aus, die sowohl vom Client (Ihrer pfSense-Box) als auch vom VPN-Server unterstützt wird. Sofern Sie nicht wissen, dass Ihr Anbieter NCP unterstützt, deaktivieren Sie das Kontrollkästchen und es wird die oben im Verschlüsselungsalgorithmus ausgewählte Verschlüsselung verwendet.
NCP-Algorithmen : Wenn Sie NCP verwenden, können Sie auswählen, welche Chiffren für die Aushandlung verfügbar sind. Durch Klicken auf eine Chiffre aus der verfügbaren Liste wird diese in die Liste der zulässigen Chiffren importiert.
Auth-Digest-Algorithmus : Dies ist der Algorithmus, der zur Authentifizierung des Datenkanals (dem Tunnel, durch den Ihr Datenverkehr fließt) verwendet wird. Dies wird von Ihrem VPN-Anbieter festgelegt. Wählen Sie im Dropdown-Menü den entsprechenden Algorithmus aus.
Hardware-Krypto : Wenn das System, auf dem Sie pfSense installiert haben, die kryptografische Hardwarebeschleunigung unterstützt, können Sie sie hier aktivieren. Wenn Ihr System diese Einstellung unterstützt, können Sie sie unabhängig davon aktivieren, welchen VPN-Anbieter Sie verwenden.
Tunneleinstellungen
Die Tunneleinstellungen bleiben größtenteils leer. Diese Einstellungen betreffen das Routing zwischen dem Client und dem Server und werden normalerweise vom VPN-Anbieter auf der Serverseite verwaltet.
IPv4-Tunnelnetzwerk : Das IPv4-Netzwerk zwischen dem Client und dem Server. Freilassen.
IPv6-Tunnelnetzwerk : Das IPv6-Netzwerk zwischen dem Client und dem Server. Freilassen.
IPv4-Remote-Netzwerk(e) : Die IPv4-Netzwerke, die durch den Tunnel geleitet werden. Freilassen.
IPv6-Remote-Netzwerk(e) : Die IPv6-Netzwerke, die durch den Tunnel geleitet werden. Freilassen.
Begrenzen Sie die ausgehende Bandbreite : Legt eine feste Grenze für die ausgehende Bandbreite fest. Freilassen.
Kompression : Bei einigen VPN-Anbietern müssen Sie möglicherweise die Komprimierung des durch den VPN-Tunnel fließenden Datenverkehrs aktivieren. Wenn Ihr Anbieter dies vorgibt, wählen Sie die entsprechende Option aus dem Dropdown-Menü aus. Ansonsten lassen Sie es so wie es ist.
Topologie : Gibt die Topologie des VPN-Netzwerks an. Lass es wie es ist.
Art der Leistung : Nicht markiert lassen.
Ziehen Sie keine Routen : Diese Einstellung verhindert, dass der VPN-Server Routen an den Client weiterleitet. Einige Anbieter beziehen die Routing-Informationen in die Client-Konfiguration ein und fordern Sie möglicherweise auf, diese Option zu aktivieren (z. B. ExpressVPN). Wenn Ihr Anbieter dies vorgibt, aktivieren Sie diese Option. Andernfalls lassen Sie es deaktiviert.
Fügen Sie keine Routen hinzu bzw. entfernen Sie sie nicht : Mit dieser Option kann selektives Routing aktiviert werden: Ein Teil des Datenverkehrs wird durch den VPN-Tunnel gesendet, während der Rest über das ISP-Gateway gesendet wird. Dazu müssen Sie die VPN-Schnittstelle (die wir unten erstellen) als Gateway in pfSense festlegen und einige Firewall- und NAT-Regeln angeben, damit sie funktioniert. Dies liegt außerhalb des Rahmens dieses Leitfadens. Außerdem möchten Sie in Ihrem typischen kommerziellen VPN-Szenario, dass Ihr gesamter Datenverkehr über die VPN-Verbindung getunnelt wird. Lassen Sie diese Einstellung deaktiviert.
Ping-Einstellungen
Anhand der Ping-Einstellungen wird ermittelt, ob die Verbindung aktiv ist oder nicht und ob sie geschlossen oder neu hergestellt werden soll. Lassen Sie alle Einstellungen unverändert.
Erweiterte Konfiguration
Benutzerdefinierte Optionen : Einige Anbieter erfordern das Festlegen einiger benutzerdefinierter Optionen für die Clientkonfiguration. Diese können hier hinzugefügt werden. Lassen Sie dieses Feld leer, es sei denn, Ihr Anbieter gibt die erforderlichen benutzerdefinierten Optionen an.
UDP Fast I/O : Optimiert das Schreiben von Paketen und kann Ihre VPN-Verbindung beschleunigen. Dies kann nach Belieben aktiviert und deaktiviert werden. Ich würde sagen, probieren Sie beide aus und sehen Sie, ob Sie dadurch einen Geschwindigkeitsschub erzielen.
Benachrichtigung beenden : Diese Einstellung benachrichtigt den Server explizit, wenn der Client die Verbindung trennt, sodass er die Verbindung schließen kann, anstatt auf eine Zeitüberschreitung zu warten. Lassen Sie dies unverändert, es sei denn, Ihr Anbieter hat dies anders angegeben.
Sende-/Empfangspuffer : Sie können innerhalb von OpenVPN mit verschiedenen Puffergrößen experimentieren. Unterschiedliche Einstellungen führen zu unterschiedlichen Ergebnissen hinsichtlich der Geschwindigkeit. 512K ist ein guter Anfang. Diese Einstellung ist optional.
Gateway-Erstellung : Wählt aus, ob OpenVPN-Gateways nur für IPv4, nur IPv6 oder beides erstellt werden. Sofern Ihr VPN-Anbieter IPv6 nicht unterstützt (z. B. Mullvad), stellen Sie hier nur IPv4 ein. Wenn Ihr Anbieter IPv6 unterstützt, stellen Sie dies auf „Beide“ ein.
Ausführlichkeitsgrad : Bestimmt den Ausführlichkeitsgrad der OpenVPN-Protokolle für diesen Client. Die Standardstufe ist 1. Sie können diese jedoch auf eine höhere Stufe einstellen, um bei der Fehlerbehebung mehr Informationen zu erhalten. OpenVPN-Protokolle in pfSense können angezeigt werden, indem Sie zu Status > Systemprotokolle > OpenVPN navigieren.
Jetzt müssen Sie zum Erstellen unserer Client-Verbindung nur noch auf die blaue Schaltfläche „Speichern“ am unteren Bildschirmrand und dann auf „Änderungen übernehmen“ klicken.
Erstellen der VPN-Schnittstelle
Als nächstes müssen wir die virtuelle Schnittstelle erstellen, die das VPN-Netzwerksegment (das Subnetz, dem Sie nach einer erfolgreichen VPN-Verbindung angehören) auf unserer pfSense-Box hostet.
Die Schnittstelle wurde von pfSense automatisch erstellt, als wir nach der vorherigen Konfiguration unserer Verbindung auf Speichern klickten. Aber wir müssen es noch zuweisen und konfigurieren.
So fügen Sie eine Schnittstelle in pfSense hinzu
- Navigieren Sie zu Schnittstellen > Zuweisungen . Rechts daneben wird ovpnc1 aufgeführt Verfügbar Netzwerkanschlüsse.
- Klicken Sie auf das Grün Hinzufügen Schaltfläche rechts daneben. Die ovpnc1-Schnittstelle wird zugewiesen und angezeigt alsOPT1.
- Klicken OPT1 . Sie werden zur Schnittstellenkonfigurationsseite weitergeleitet.
- Tick Schnittstelle aktivieren und gib ihm einen Namen. Lassen Sie alle anderen Einstellungen unberührt.
- Klicken Speichern Und Änderungen übernehmen . Ihre Schnittstelle ist zugewiesen und aktiviert.
Wenn Sie zurück zur Seite „Schnittstellenzuweisungen“ navigieren, sehen Sie, dass Ihre benannte Schnittstelle jetzt Teil der Liste der aktiven Schnittstellen ist.
Überprüfung der Verbindung
OK, wir haben jetzt unsere OpenVPN-Client-Verbindung konfiguriert und unsere VPN-Schnittstelle erstellt. Unsere Verbindung funktioniert derzeit, aber pfSense ist nicht für die Weiterleitung des Datenverkehrs durch den VPN-Tunnel konfiguriert.
Wir können überprüfen, ob unsere Verbindung funktioniert, indem wir zu navigierenStatus > Systemprotokolle > OpenVPN. Wenn der OpenVPN-Client korrekt eingerichtet ist, sollten Sie Folgendes sehen: Initialisierungssequenz abgeschlossen , irgendwo oben in den OpenVPN-Protokollen.
Jetzt müssen wir nur noch den Datenverkehr durch den VPN-Tunnel leiten.
Firewall-Regeln
Wir müssen sicherstellen, dass die an die LAN-Schnittstelle angeschlossenen Geräte Datenverkehr über das Standard-Gateway ins Internet senden können. Wenn Sie pfSense installieren, wird automatisch eine Regel erstellt, die standardmäßig jede Art von Datenverkehr aus der LAN-Schnittstelle zulässt. Wenn Sie dort also nichts geändert haben, sollte alles in Ordnung sein.
Wenn Sie sie geändert haben, stellen Sie sicher, dass Ihre Regeln den LAN-Geräten, die Sie mit dem VPN verbinden möchten, erlauben, auf das Internet zuzugreifen. Navigieren Sie zuFirewall > Regeln > LANum Ihre LAN-Regeln anzuzeigen/zu aktualisieren.
So sehen die Standard-LAN-Regeln aus. Standardmäßig gibt es eine Regel für IPv4 und eine für IPv6. Sofern Ihr VPN-Anbieter IPv6 nicht unterstützt, benötigen Sie nur die IPv4-Regel.
Die Regel ermöglicht es jedem Gerät im LAN, eine Verbindung zu jedem Ziel herzustellen und dabei jedes Protokoll über jeden Port zu verwenden.
Wenn die Regel nicht vorhanden ist, können Sie sie erstellen.
So erstellen Sie eine LAN-Firewall-Regel
- Klicken Sie auf das GrünHinzufügenTaste mit einem nach oben zeigenden Pfeil. Dadurch wird die Regel oben platziert und pfSense gleicht diese Regel zuerst ab.
- Stellen Sie die einAktionFeld zum Passieren.
- Lassen Sie dieDeaktiviertKästchen deaktiviert.
- Lassen Sie dieSchnittstelleFeld auf eingestelltUND.
- Stellen Sie die einAdressfamilieZuIPv4.
- Stellen Sie die einProtokollzu Any
- Stellen Sie die einQuelleZuUND netto.
- Stellen Sie die einZielZubeliebig.
- Wenn Sie auch eine IPv6-Regel benötigen, wiederholen Sie den Vorgang und wählen Sie ausIPv6von demAdressfamilieDropdown-Menü.
NAT-Regeln
Als nächstes müssen wir unsere NAT-Regeln (Network Address Translation) konfigurieren, um unseren VPN-Verkehr richtig weiterzuleiten.
So fügen Sie eine NAT-Regel hinzu
- Navigieren Sie zu Firewall > NAT > Ausgehend .
- Stellen Sie die ein Ausgehender NAT-Modus Zu Handbuch , und klicken Sie dann Speichern Und Änderungen übernehmen . Ihre NAT-Regeln sollten jetzt so aussehen (allerdings mit Ihrem LAN-Netzwerk statt meinem 10.0.0.0/24):
- Löschen Sie alle Regeln, außer den beiden obersten – denjenigen mit 127.0.0.1.
- Klicken Sie auf das Grün Hinzufügen Klicken Sie auf die Schaltfläche mit einem nach unten zeigenden Pfeil, um eine neue NAT-Regel zu erstellen.
- Stellen Sie die ein Schnittstelle Feld zur VPN-Schnittstelle, die wir zuvor erstellt haben.
- Stellen Sie die ein Adressfamilie entweder auf IPv4 oder IPv4+IPv6, wenn Ihr VPN-Anbieter IPv6 ausdrücklich unterstützt.
- Stellen Sie die ein Quelle Netzwerkzu Ihrer LAN-IP-Adresse, aber machen Sie die letzte Ziffer zu einer 0 statt zu einer 1. Wenn Ihre LAN-IP-Adresse also 192.168.1.1 lautet, geben Sie 192.168.1.0 als Quellnetzwerk ein.
- Lassen Sie alle anderen Einstellungen unberührt. Klicken Speichern Und Änderungen übernehmen .
Ihre NAT-Regeln sollten jetzt so aussehen (allerdings mit Ihrem LAN-Netzwerk statt meinem 10.0.0.0/24):
Siehe auch: Was ist eine NAT-Firewall?
DNS
Als letztes müssen wir DNS für Ihren VPN-Client konfigurieren. Und je nach Ihrer pfSense-Konfiguration gibt es unterschiedliche Möglichkeiten, dies zu tun. Selbst wenn Ihr VPN-Anbieter seine DNS-Server in seiner .ovpn-Konfigurationsdatei fest codiert, muss pfSense dennoch wissen, welche DNS-Server verwendet werden sollen.
DNS-Resolver / DNS-Weiterleitung
Wenn Sie den DNS-Forwarder oder den DNS-Resolver im Weiterleitungsmodus verwenden, können Sie einfach den/die DNS-Server Ihres VPN-Anbieters zur Seite „Allgemeines Setup“ hinzufügen.
So fügen Sie pfSense einen DNS-Server hinzu
- Navigieren Sie zu System > Allgemeine Einrichtung.
- Klicken DNS-Server hinzufügen.
- Geben Sie die ein IP Adresse Geben Sie im entsprechenden Feld den Hostnamen des DNS-Servers ein.
- Lassen Sie die Tor einstellen Keiner .
- Klicken Speichern Und Änderungen übernehmen .
- Wiederholen Sie diesen Vorgang, um weitere DNS-Server hinzuzufügen.
DHCP
So pushen Sie einen DNS-Server über DHCP an Clients
Wenn Sie weder den DNS-Resolver noch den DNS-Forwarder verwenden, können Sie Ihren DHCP-Server veranlassen, den DNS-Server an alle Clients weiterzuleiten, die eine IP-Adresse in Ihrem LAN anfordern.
- Navigieren Sie zu Dienste > DHCP-Server
- Unter Server können Sie bis zu vier DNS-Server eingeben.
- Geben Sie den/die DNS-Server Ihres VPN-Anbieters ein.
- Klicken Speichern Und Änderungen übernehmen .
Einpacken
Herzlichen Glückwunsch, Sie haben gerade eine OpenVPN-Client-Verbindung auf pfSense konfiguriert. Jetzt müssen Sie nur noch pfSense neu starten und ein Gerät mit Ihrem LAN verbinden. Sobald die Verbindung hergestellt ist, können Sie zu unserem IP-Adressprüfungstool gehen, um zu überprüfen, ob Ihre öffentliche IP-Adresse in die IP-Adresse des VPN-Servers geändert wurde. Sie können auch mit unserem Testtool nach DNS-Lecks suchen.
Sie können Ihr kommerzielles VPN jetzt mit jedem Gerät verwenden, das mit Ihrer pfSense-Box verbunden ist, ohne eine dedizierte VPN-App. Und denken Sie daran: Unabhängig von der Beschränkung der Anzahl gleichzeitiger Verbindungen durch Ihren VPN-Anbieter zählt Ihr Router für Ihren VPN-Anbieter nur als ein Gerät. Sie können auf diese Weise beliebig viele Geräte anschließen.