Ten en cuenta que si usas pfSense 2.4.4 tendrás que seguireste tutorial en su lugar.
1. Para configurar OpenVPN en pfSense 2.4.4, accede a tu pfSense desde tu navegador, luego ve a Sistema (system) > Administrador de certificados (certificate manager) > CA (CAs). Selecciona Añadir (+add).
Deberías ver la siguiente pantalla:
2. Para este tutorial, vamos a configurar nuestro pfSense para que se conecte a un servidor en los Países Bajos, pero tú deberías conectarte al servidor que mejor se adapte a tus necesidades.
Sigue los pasos a continuación para encontrar el mejor servidor para tu conexión:
-
Inicia sesión en tu Nord Account y haz clic en NordVPN.
- Desplázate hasta Configuración avanzada (advanced settings) y haz clic en Configurar NordVPN manualmente (set up NordVPN manually).
- Selecciona la pestaña Servidores recomendados (server recommendation). Se te recomendará el mejor servidor en función de tu ubicación.
- Si pulsas Filtros avanzados (advanced filters) puedes personalizar aún más los servidores recomendados al seleccionar el Tipo de servidor (server type) y el Protocolo de seguridad (security protocol).
En caso de que desees seleccionar un servidor específico, sigue estos pasos:
- En Configurar NordVPN manualmente, selecciona Archivos de configuración de OpenVPN (OpenVPN configuration files).
- Encuentra el servidor al que deseas conectarte usando la barra de Búsqueda o desplazándote hacia abajo y descárgalo haciendo clic en Descargar UDP (download UDP) o Descargar TCP (download TCP).
- Cuando te conectes a OpenVPN e IKEv2 manualmente, vas a tener que usar el Nombre de usuario (Username) y Contraseña (Password) de la pestaña Credenciales del servicio (service credentials).
Rellena los campos de la siguiente manera:
Nombre descriptivo: NordVPN_CA (para este manual vamos a usar este nombre, pero tú puedes utilizar el que quieras)
Método: importar una autoridad de certificación existente
Datos del certificado:
\-----BEGIN CERTIFICATE-----
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==
\-----END CERTIFICATE-----
Pulsa Guardar (save).
3. Ve a VPN > OpenVPN > Clientes (clients) y haz clic en Añadir (+add).
4. Rellena los campos de la siguiente manera:
Desactivar este cliente: desmarcar
Modo del servidor: P2P «peer to peer» (SSL/TLS)
Protocolo: UDP solo en IPv4 (también puedes utilizar TCP)
Modo del dispositivo: tun - Modo túnel de capa 3
Interfaz: WAN
Puerto local: dejar en blanco
Host o dirección del servidor: el nombre de host del servidor que te recomendamos (en nuestro caso es «de855.nordvpn.com»);
Puerto del servidor: 1194 (usa 443 si utilizas TCP)
Host o dirección del proxy: dejar en blanco
Puerto del proxy: dejar en blanco
Autenticación del proxy: ninguna
Descripción: el nombre que quieras. Nosotros usaremos NordVPN.
CONFIGURACIÓN DE LA AUTENTICACIÓN DEL USUARIO
Nombre de usuario: tu nombre de usuario de NordVPN.
Contraseña: tu contraseña de NordVPN.
Sigue los pasos a continuación para encontrar las credenciales del servicio para la configuración manual de la conexión:
-
Inicia sesión en tu Nord Account, haz clic en NordVPN, y, en Configuración manual, haz clic en credenciales del servicio (service credentials). Aquí encontrarás el nombre de usuario y contraseña necesarios para conectarte manualmente.
Reintento de autenticación: deja esta casilla sin marcar.
CONFIGURACIÓN CRIPTOGRÁFICA
Configuración de TLS: usa una clave TLS - Marcar; Generar automáticamente una clave TLS - Desmarcar
Clave TLS:
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
Modo de uso de claves TLS: autenticación TLS
Dirección de la clave TLS: utilizar dirección por defecto
Autoridad de certificación: NordVPN_CA
Lista de revocación de certificados de pares: no definir
Certificado cliente: webConfigurator por defecto (59f92214095d8) (Servidor: sí, en uso) (ten en cuenta que los números de tu dispositivo podrían ser diferentes)
Algoritmo de cifrado: AES-256-GCM
Activar NCP: marcar Algoritmos NCP: AES-256-GCM y AES-256-CBC
Algoritmo de autenticación Digest: SHA512 (512 bits)
Criptografía por hardware: sin aceleración de cifrado por hardware
AJUSTES DEL TÚNEL
Red de túnel IPv4: dejar en blanco
Red de túneles IPv6: dejar en blanco
Red(es) remota(s)IPv4: dejar en blanco
Red(es) remota(s)IPv6: dejar en blanco
Limitar el ancho de banda saliente: dejar en blanco
Compresión: sin compresión LZO [Legacy style,comp-lzo no]
Topología: subred, una dirección IP por cliente en una subred común
Tipo de servicio: desmarcar
No extraer rutas: desmarcar
No añadir/eliminar rutas: marcar
CONFIGURACIÓN AVANZADA
Opciones personalizadas
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;
UDP ENTRADA/SALIDA RÁPIDA: desmarcar
Notificación de salida: desactivada
Búfer de envío/recepción: por defecto
Creación de una puerta de enlace: solo IPv4
Nivel de gravedad: 3 (recomendado)
5. Ve a Interfaces (interfaces) > Asignaciones de interfaz (interface assignments) y Añade la interfaz NordVPN.
6. Haz clic en OPT1 a la izquierda de tu interfaz asignada y rellena la siguiente información:
Habilitar: marcar
Descripción: NordVPN
Dirección Mac: dejar en blanco
MTU: dejar en blanco
MSS: dejar en blanco
No cambies nada más. Desplázate hasta el final y pulsa Guardar (save).
7. Ve a Servicios (services) -> DNS Resolver -> Ajustes generales (general settings)
Habilitar: marcar
Puerto de escucha: dejar como está
Activar servicio SSL/TLS: desmarcar
Certificado SSL/TLS: webConfigurator por defecto (59f92214095d8) (Servidor: sí, en uso) (ten en cuenta que los números de tu dispositivo podrían ser diferentes);
Puerto de escucha SSL/TLS: dejar como está
Interfaces de red: todas
Interfaces de red salientes: NordVPN
Dominios del sistema tipo de zona local: transparente
DNSSEC: desmarcar
Módulo Python: desmarcar
Reenvío de consultas DNS: marcar «activar modo de reenvío»; desmarcar «Usar SSL/TLS para consultas DNS salientes a servidores de reenvío»
Registro DHCP: marcar DHCP estático: marcar Clientes OpenVPN: desmarcar
Haz clic en Guardar (save).
8. En DNS Resolver, selecciona Configuración avanzada (advanced settings) en la parte superior y rellena lo siguiente:
OPCIONES AVANZADAS DE PRIVACIDAD:
Ocultar identidad: marcar
Ocultar versión: marcar
Minimización del nombre de la consulta: desmarcar
Minimización estricta de los nombres de la consulta: desmarcar
OPCIONES DE RESOLUCIÓN AVANZADAS:
Soporte Prefetch: marcar
Soporte Prefetch clave DNS: marcar
Proteger datos DNSSEC: desmarcar
No cambies nada más. Desplázate hasta el final y pulsa Guardar (save).
9. Ve a Firewall > NAT > Salida (output) y selecciona Generación manual de reglas NAT de salida (manual outbound NAT rule generation). Pulsa Guardar (save). Aparecerán seis reglas. Elimina todas las reglas IPv6 y añade una nueva.
9.1. Interfaz: NordVPN.
9.2.Fuente: tu subred LAN, por ejemplo «192.168.2.0/24».
9.3.Haz clic en Guardar (save). Al final debería verse así:
10. Ve a Firewall > Reglas (rules) > LAN y elimina la regla IPv6. Edita también la regla IPv4.
10.1. Selecciona Mostrar opciones avanzadas (show advanced options).
10.2. Cambia la Puerta de enlace (gateway) a NordVPN
10.3. Haz clic en Guardar (save). Ahora debería verse así:
11. Ve a Sistema (system) > Configuración general (general setup) y rellena los campos de la siguiente manera:
Servidor DNS 1: 103.86.96.100; ninguno
Servidor DNS 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Deja el resto como está. Haz clic en Guardar (save).
12. Ahora ve a Estado (status) > OpenVPN. El estado y debe indicar que el servicio está "configurado (up)".
13. También puedes comprobar el archivo de registro de conexión en Estado (status) > Registros del sistema (system logs) > OpenVPN:
¡Así de sencillo!La configuración VPN de pfsense se ha completado, y ahora deberías tener una conexión VPN.
Si la IP no cambia después de configurar la VPN, intenta reiniciar el router pfSense y vuelve a comprobar la IP.