Configuración de pfSense 2.4.4 VPN

Nota: Si usas pfSense 2.4.5 tendrás que seguir este tutorial en su lugar.Por otro lado, si tienes pfSense 2.5 consulta este tutorial en su lugar.

Sigue estos pasos para configurar OpenVPN en pfSense 2.4.4:

1. Para configurar VPN en pfSense 2.4.4, accede a tu pfSense desde tu navegador, luego ve a Sistema (system) > Administrador de certificados (certificate manager) > CA (CAs). Selecciona Añadir (+add).

Deberías ver la siguiente pantalla:



2. Para este tutorial, vamos a configurar nuestro pfSense para que se conecte a un servidor en los Países Bajos, pero tú deberías conectarte a un servidor sugerido.

Sigue los pasos a continuación para encontrar el mejor servidor para tu conexión:

1. Inicia sesión en tu Nord Account y haz clic en NordVPN.
   
   
   
   
2. Desplázate hasta Configuración avanzada (advanced settings) y haz clic en Configurar NordVPN manualmente (set up NordVPN manually).
   
   
   
   
3. Selecciona la pestaña Servidores recomendados (server recommendation). Se te recomendará el mejor servidor en función de tu ubicación.
   
   
   
   
4.  Si pulsas Filtros avanzados (advanced filters) puedes personalizar aún más los servidores recomendados al seleccionar el Tipo de servidor (server type) y el Protocolo de seguridad (security protocol).
   
   
   
   

 En caso de que desees seleccionar un servidor específico, sigue estos pasos:

1. En Configurar NordVPN manualmente, selecciona Archivos de configuración de OpenVPN (OpenVPN configuration files).
   
   
2. Encuentra el servidor al que deseas conectarte usando la barra de Búsqueda o desplazándote hacia abajo y descárgalo haciendo clic en Descargar UDP (download UDP) o Descargar TCP (download TCP).
   
   
3. Cuando te conectes a OpenVPN e IKEv2 manualmente, vas a tener que usar el Nombre de usuario (Username) y Contraseña (Password) de la pestaña Credenciales del servicio (service credentials).
   
   

Rellena los campos de la siguiente manera:

Nombre descriptivo: NordVPN_NL120_CA (para este manual vamos a usar este nombre, pero tú puedes utilizar el que quieras)
Método: importar una autoridad de certificación existente
Datos del certificado:

\-----BEGIN CERTIFICATE-----  
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ  
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2  
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV  
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI  
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF  
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr  
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU  
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV  
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu  
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA  
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR  
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s  
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy  
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6  
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST  
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG  
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g  
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/  
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S  
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/  
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo  
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp  
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd  
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa  
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC  
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S  
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==  
\-----END CERTIFICATE-----

Pulsa Guardar (save).

3. Ve a VPN > OpenVPN > Clientes (clients) y haz clic en Añadir (+add).

4. Rellena los campos de la siguiente manera:

Desactivar este cliente: desmarcar;
Modo del servidor: P2P «peer to peer» (SSL/TLS);
Protocolo: UDP solo en IPv4 (también puedes utilizar TCP en caso de que experimentes problemas con UDP);
Modo del dispositivo: tun - Modo túnel de capa 3;
Interfaz: WAN;
Puerto local: dejar en blanco;
Host o dirección del servidor: el nombre de host del servidor que te recomendamos (en nuestro caso es «nl120.nordvpn.com»);
Puerto del servidor: 1194 (usa 443 si utilizas TCP);
Host o dirección del proxy: dejar en blanco;
Puerto del proxy: dejar en blanco;
Autenticación del proxy: ninguna;
Descripción: el nombre que quieras. Nosotros usaremos NordVPN.



CONFIGURACIÓN DE LA AUTENTICACIÓN DEL USUARIO

Nombre de usuario: tu nombre de usuario de NordVPN.
Contraseña: tu contraseña de NordVPN.

Encontrarás tus credenciales del servicio de NordVPN (el nombre de usuario y la contraseña) en el panel de control de Nord Account.

Sigue los pasos a continuación para encontrar las credenciales del servicio para la configuración manual de la conexión:

1. Inicia sesión en tu Nord Account, haz clic en NordVPN, y, en Configuración manual, haz clic en credenciales del servicio (service credentials). Aquí encontrarás el nombre de usuario y contraseña necesarios para conectarte manualmente.
   
   

Reintento de autenticación: deja esta casilla sin marcar.



CONFIGURACIÓN CRIPTOGRÁFICA

Configuración TLS: marcar
Clave TLS:

\-----BEGIN OpenVPN Static key V1-----  
e685bdaf659a25a200e2b9e39e51ff03  
0fc72cf1ce07232bd8b2be5e6c670143  
f51e937e670eee09d4f2ea5a6e4e6996  
5db852c275351b86fc4ca892d78ae002  
d6f70d029bd79c4d1c26cf14e9588033  
cf639f8a74809f29f72b9d58f9b8f5fe  
fc7938eade40e9fed6cb92184abb2cc1  
0eb1a296df243b251df0643d53724cdb  
5a92a1d6cb817804c4a9319b57d53be5  
80815bcfcb2df55018cc83fc43bc7ff8  
2d51f9b88364776ee9d12fc85cc7ea5b  
9741c4f598c485316db066d52db4540e  
212e1518a9bd4828219e24b20d88f598  
a196c9de96012090e333519ae18d3509  
9427e7b372d348d352dc4c85e18cd4b9  
3f8a56ddb2e64eb67adfc9b337157ff4  
\-----END OpenVPN Static key V1-----

Modo de uso de claves TLS: autenticación TLS
Autoridad de certificación de pares: NordVPN_NL120_CA
Lista de revocación de certificados de pares: no definir
Certificado cliente: webConfigurator por defecto (59f92214095d8) (Servidor: sí, en uso) (ten en cuenta que los números de tu dispositivo podrían ser diferentes)
Algoritmo de cifrado: AES-256-GCM
Activar NCP: marcar Algoritmos NCP: AES-256-GCM y AES-256-CBC
Algoritmo de autenticación Digest: SHA512 (512 bits)
Criptografía por hardware: sin aceleración de cifrado por hardware



AJUSTES DEL TÚNEL

Red de túneles IPv4: dejar en blanco
Red de túnel IPv6: dejar en blanco
Red(es) remota(s) IPv4: dejar en blanco
Red(es) remota(s)IPv6: dejar en blanco
Limitar el ancho de banda saliente: dejar en blanco
Compresión: no compresión LZO [Legacy style,comp-lzo no]
Topología: subred, una dirección IP por cliente en una subred común
Tipo de servicio: dejar sin marcar
No tirar rutas: dejar sin marcar
No añadir/eliminar rutas: marcar la casilla



CONFIGURACIÓN AVANZADA

Opciones personalizadas

tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;

UDP ENTRADA/SALIDA RÁPIDA: desmarcar
Búfer de envío/recepción: por defecto
Creación de una puerta de enlace: solo IPv4
Nivel de gravedad: 3 (recomendado)



5. Ve a Interfaces (interfaces) > Asignaciones de interfaz (interface assignments) y Añade la interfaz NordVPN NL120.



6. Haz clic en OPT1 a la izquierda de tu interfaz asignada y rellena la siguiente información:

Habilitar: marcar
Descripción: NordVPN
Dirección Mac: dejar en blanco
MTU: dejar en blanco
MSS: dejar en blanco

No cambies nada más. Desplázate hasta el final y pulsa Guardar (save).

7. Ve a Servicios (services) -> DNS Resolver -> Ajustes generales (general settings)

Habilitar: marcar la casilla
Puerto de escucha: dejar como está
Habilitar servicio SSL/TLS: desmarcar la casilla
Certificado SSL/TLS: predeterminado de webConfigurator (59f92214095d8) (Servidor: sí, en uso) (ten en cuenta que los números de tu dispositivo podrían ser diferentes);
Puerto de escucha SSL/TLS: dejar como está
Interfaces de red: todas
Interfaces de red salientes: NordVPN
Dominios del sistema tipo de zona local: transparente
DNSSEC: desmarcar
Reenvío de consultas DNS: marcar
Registro DHCP: marcar
DHCP estático: marcar

Haz clic en Guardar (save).

8. En DNS Resolver, selecciona Configuración avanzada (advanced settings) en la parte superior y rellena lo siguiente:

OPCIONES AVANZADAS DE PRIVACIDAD:

Ocultar identidad: marcar
Ocultar versión: marcar

OPCIONES DE RESOLUCIÓN AVANZADAS:

Compatibilidad Prefetch: marcar
Compatibilidad con la clave DNS-Prefetch: marcar

Haz clic en Guardar (save).

9. Ve a Firewall > NAT > Salida (output) y selecciona Generación manual de reglas NAT de salida (manual outbound NAT rule generation). Pulsa Guardar (save). Aparecerán cuatro reglas. Deja todas las reglas intactas y añade una nueva.

1. Interfaz: NordVPN.
2. Fuente: tu subred LAN.
3. Haz clic en Guardar (save). Al final debería tener este aspecto:

10. Ve a Firewall > Reglas (rules) > LAN y elimina la regla IPv6. Edita también la regla IPv4.

1. Selecciona Mostrar opciones avanzadas (show advanced options)
2. Cambia la Puerta de enlace (gateway) a NordVPN
3. Haz clic en Guardar (save).

Ahora debería verse así:

11. Ve a Sistema (system) > Configuración general (general setup) y rellena los campos de la siguiente manera:

Servidor DNS 1: 103.86.96.100; ninguno
Servidor DNS 2: 103.86.99.100; NordVPN_VPNV4…

Haz clic en Guardar (save).

12. Ahora ve a  Estado (status) > OpenVPN. El estado debe indicar que el servicio está "configurado (up)".

13. También puedes comprobar el archivo de registro de conexión en Estado (status) > Registros del sistema (system logs) > OpenVPN:

¡Así de sencillo!La configuración VPN de pfsense se ha completado, y ahora deberías tener una conexión VPN. Si deseas configurar un enrutamiento VPN selectivo, haz clic aquí.