Configurazione della VPN su pfSense 2.4.4

Attenzione: se usi pfSense 2.4.5 dovrai seguire invece questo tutorial.Analogamente, se usi pfSense 2.5, segui quest'altro tutorial.

Ecco i passaggi per configurare OpenVPN su pfSense 2.4.4:

1. Per configurare la VPN su pfSense 2.4.4, accedi al dispositivo pfSense dal browser, poi vai su System > Certificate Manager > CAs. Seleziona + Add.

Dovresti vedere questa schermata:



2. In questo tutorial, a titolo di esempio configureremo pfSense per la connessione a un server nei Paesi Bassi, ma per il tuo utilizzo personale dovresti connetterti a un server suggerito.

Segui la procedura descritta qui sotto per trovare il server migliore per la tua connessione:

1. Accedi al tuo Nord Account e clicca su NordVPN.
   
   
   
   
   
2. Scorri verso il basso fino alla sezione Impostazioni avanzate e clicca su Configura NordVPN manualmente.
   
   
3. Seleziona la scheda Raccomandazione server. In base al luogo in cui ti trovi, ti verrà consigliato il server migliore.
   
   
   
   
4. Premendo Filtri avanzati, puoi personalizzare ulteriormente i server consigliati selezionando il Tipo di server e il Protocollo di sicurezza.
   
   
   
   

 Se desideri selezionare un server specifico, segui questi passaggi:

1. Nella sezione Configura NordVPN manualmente, scegli File di configurazione OpenVPN.
   
   
   
2. Trova il server a cui desideri connetterti usando la barra Cerca; in alternativa, puoi scorrere verso il basso e scaricarlo cliccando su Scarica UDP o Scarica TCP.
   
   
   
3. Quando ti connetti a OpenVPN e IKEv2 manualmente, dovrai usare il Nome utente e la Password riportati nella scheda Credenziali di servizio.
   

Compila i campi come indicato di seguito:

Descriptive Name: NordVPN_NL120_CA (usiamo questo nome a titolo di esempio per il tutorial; puoi scegliere quello che preferisci)
Method: Import an existing Certificate Authority
Certificate data:

\-----BEGIN CERTIFICATE-----  
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ  
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2  
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV  
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI  
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF  
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr  
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU  
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV  
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu  
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA  
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR  
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s  
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy  
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6  
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST  
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG  
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g  
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/  
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S  
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/  
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo  
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp  
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd  
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa  
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC  
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S  
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==  
\-----END CERTIFICATE-----

Premi Save.

3. Vai su VPN > OpenVPN > Client e premi + Add.

4. Compila i campi come indicato di seguito:

Disable this client: lascia deselezionata la casella;
Server mode: Peer to Peer (SSL/TLS);
Protocol: UDP on IPv4 only (puoi anche usare il protocollo TCP se dovessi riscontrare dei problemi col protocollo UDP);
Device mode: tun – Layer 3 Tunnel Mode;
Interface: WAN;
Local port: lascia il campo vuoto;
Server host or address: il nome host del server raccomandato per te (nel nostro caso, è nl120.nordvpn.com);
Server port: 1194 (seleziona la 443 se usi il protocollo TCP);
Proxy host or address: lascia il campo vuoto;
Proxy port: lascia il campo vuoto;
Proxy Authentication: none;
Description: scegli il nome che preferisci. Utilizzeremo NordVPN.



IMPOSTAZIONI AUTENTICAZIONE UTENTE (USER AUTHENTICATION SETTINGS)

Username: il tuo nome utente del servizio NordVPN.
Password: la tua password del servizio NordVPN in entrambi i campi.

Puoi trovare le tue credenziali del servizio NordVPN (nome utente e password) nella dashboard del Nord Account.

Segui i passaggi riportati qui sotto per trovare le credenziali di servizio per la configurazione manuale della connessione:

1. Accedi al tuo Nord Account, clicca su NordVPN e, nella sezione Configurazione manuale, clicca su Credenziali di servizio. Qui troverai il Nome utente e la Password necessari per connetterti manualmente.
   
   

Authentication Retry: lascia deselezionata l'opzione.



IMPOSTAZIONI DI CRITTOGRAFIA (CRYPTOGRAPHIC SETTINGS)

TLS Configuration: seleziona la casella
TLS Key:

\-----BEGIN OpenVPN Static key V1-----  
e685bdaf659a25a200e2b9e39e51ff03  
0fc72cf1ce07232bd8b2be5e6c670143  
f51e937e670eee09d4f2ea5a6e4e6996  
5db852c275351b86fc4ca892d78ae002  
d6f70d029bd79c4d1c26cf14e9588033  
cf639f8a74809f29f72b9d58f9b8f5fe  
fc7938eade40e9fed6cb92184abb2cc1  
0eb1a296df243b251df0643d53724cdb  
5a92a1d6cb817804c4a9319b57d53be5  
80815bcfcb2df55018cc83fc43bc7ff8  
2d51f9b88364776ee9d12fc85cc7ea5b  
9741c4f598c485316db066d52db4540e  
212e1518a9bd4828219e24b20d88f598  
a196c9de96012090e333519ae18d3509  
9427e7b372d348d352dc4c85e18cd4b9  
3f8a56ddb2e64eb67adfc9b337157ff4  
\-----END OpenVPN Static key V1-----

TLS Key Usage Mode: TLS Authentication
Peer certificate authority: NordVPN_NL120_CA
Peer Certificate Revocation list: non indicare nulla
Client certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (tieni presente che i numeri sul tuo dispositivo potrebbero essere diversi)
Encryption Algorithm: AES-256-GCM
Enable NCP: seleziona la casella
NCP Algorithms: AES-256-GCM e AES-256-CBC
Auth digest algorithm: SHA512 (512-bit)
Hardware Crypto: No Hardware Crypto Acceleration



TUNNEL SETTINGS (IMPOSTAZIONI DI TUNNELLING)

IPv4 tunnel network: lascia il campo vuoto
IPv6 tunnel network: lascia il campo vuoto
IPv4 remote network(s): lascia il campo vuoto
IPv6 remote network(s): lascia il campo vuoto
Limit outgoing bandwidth: lascia il campo vuoto
Compression: No LZO Compression [Legacy style,comp-lzo no]
Topology: Subnet – One IP address per client in a common subnet
Type-of-service: deseleziona la casella
Don't pull routes: deseleziona la casella
Don't add/remove routes: seleziona la casell



ADVANCED CONFIGURATION (CONFIGURAZIONE AVANZATA)

Custom Options

tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;

UDP FAST I/O: deseleziona la casella
Send/Receive Buffer: Default
Gateway creation: IPv4 only
Verbosity level: 3 (recommended)



5. Vai su Interfaces > Interface Assignments e Aggiungi l'interfaccia NordVPN.



6. Premi OPT1 a sinistra dell'interfaccia che hai assegnato e compila le seguenti informazioni:

Enable: spunta la casella
Description: NordVPN
Mac Address: lascia il campo vuoto
MTU: lascia il campo vuoto
MSS: lascia il campo vuoto

Non modificare altro. Scorri solamente verso il basso e premi Save.

7. Vai su Services -> DNS Resolver -> General Settings

Enable: seleziona la casella
Listen port: non modificare il numero
Enable SSL/TLS Service: deseleziona la casella
SSL/TLS Certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (tieni presente che i numeri sul tuo dispositivo potrebbero essere diversi);
SSL/TLS Listen Port: non modificare il numero
Network Interfaces: All
Outgoing Network Interfaces: NordVPN
System Domains Local Zone Type: Transparent
DNSSEC: deseleziona la casella
DNS Query Forwarding: seleziona la casella
DHCP Registration: seleziona la casella
Static DHCP: seleziona la casella

Clicca su Save.

8. Nella sezione DNS Resolver, seleziona Advanced Settings in alto e compila quanto segue:

ADVANCED PRIVACY OPTIONS (OPZIONI DI PRIVACY AVANZATE):

Hide Identity: seleziona la casella
Hide Version: seleziona la casella

ADVANCED RESOLVER OPTIONS (OPZIONI RESOLVER AVANZATE):

Prefetch Support: seleziona la casella
Prefetch DNS Key Support: seleziona la casella

Clicca su Save.

9. Vai su Firewall > NAT > Outbound e seleziona Manual Outbound NAT rule generation. Premi Save. Appariranno quattro regole. Non modificarle e aggiungine una nuova.

1. Interface: NordVPN.
2. Source: la tua sottorete LAN.
3. Clicca su Save. Quando avrai finito, questo dovrebbe essere il risultato:

10. Vai su Firewall > Rules > LAN ed elimina la regola IPv6. Modifica anche la regola IPv4.

1. Premi Show Advanced Options
2. Modifica Gateway, impostando NordVPN
3. Clicca su Save.

Ora dovrebbe apparire così:

11. Vai su System > General Setup e compila i campi come indicato di seguito:

DNS Server 1:  103.86.96.100; none
DNS Server 2: 103.86.99.100; NordVPN_VPNV4-…

Clicca su Save.

12. Ora vai su Status > OpenVPN. Nella colonna dello stato, dovresti vedere che il servizio è attivo ("up").

13. Puoi anche controllare il file di log delle connessioni nella sezione Status > System Logs > OpenVPN:

Tutto qui!La configurazione della VPN per pfSense è stata completata e ora dovresti avere una connessione VPN. Se vuoi configurare un instradamento VPN selettivo, clicca qui.