Avvertenza: con l'aggiornamento 2.5.0, i router pfSense ora hanno un client VPN WireGuard integrato. Attualmente non è possibile configurare il protocollo NordLynx sui router pfSense utilizzando il client WireGuard, poiché al momento NordLynx è disponibile solo con l'applicazione NordVPN per dispositivi desktop e mobili. Ulteriori informazioni sulla disponibilità di NordLynx sono disponibili qui.
1. Per configurare OpenVPN su pfSense 2.5.0, accedi al tuo router pfSense dal browser, poi vai su System > Certificate Manager > CAs. Seleziona + Add.
Dovresti vedere questa schermata:
2. In questo tutorial, a titolo di esempio configureremo pfSense per la connessione a un server nei Paesi Bassi, ma per il tuo utilizzo personale dovresti connetterti a un server suggerito.
Segui la procedura descritta qui sotto per trovare il miglior server per la tua connessione:
-
Accedi al tuo Nord Account e clicca su NordVPN.
- Scorri verso il basso fino alla sezione Impostazioni avanzate e clicca su Configura NordVPN manualmente.
- Seleziona la scheda Raccomandazione server. In base al luogo in cui ti trovi, ti verrà consigliato il server migliore.
- Premendo Filtri avanzati, puoi personalizzare ulteriormente i server consigliati, selezionando il Tipo di server e il Protocollo di sicurezza.
Se desideri selezionare un server specifico, segui questi passaggi:
- Nella sezione Configura NordVPN manualmente, scegli File di configurazione OpenVPN.
- Trova il server a cui desideri connetterti usando la barra Cerca; in alternativa, puoi scorrere verso il basso e scaricarlo cliccando su Scarica UDP o Scarica TCP.
- Quando ti connetti a OpenVPN e IKEv2 manualmente, dovrai usare il Nome utente e la Password riportati nella scheda Credenziali di servizio.
Compila i campi come indicato di seguito:
Descriptive Name: NordVPN_CA (usiamo questo nome a titolo di esempio per il tutorial; puoi scegliere quello che preferisci)
Method: Import an existing Certificate Authority
Trust Store: deseleziona
Randomize Serial: deseleziona
Certificate data:
\-----BEGIN CERTIFICATE-----
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==
\-----END CERTIFICATE-----
Non modificare altro. Premi Save.
3. Vai su VPN > OpenVPN > Client e premi + Add.
4. Compila i campi indicati di seguito:
Disable this client: deseleziona
Server mode: Peer to Peer (SSL/TLS)
Protocol: UDP on IPv4 only (puoi anche usare il protocollo TCP)
Device mode: tun – Layer 3 Tunnel Mode
Interface: WAN
Local port: lascia il campo vuoto
Server host or address: il nome host del server raccomandato per te (nel nostro caso, è de855.nordvpn.com);
Server port: 1194 (seleziona la 443 se usi il protocollo TCP)
Proxy host or address: lascia il campo vuoto
Proxy port: lascia il campo vuoto
Proxy Authentication: none
Description: scegli il nome che preferisci. Utilizzeremo NordVPN.
USER AUTHENTICATION SETTINGS (IMPOSTAZIONI AUTENTICAZIONE UTENTE)
Username: il tuo nome utente del servizio NordVPN.
Password: la tua password del servizio NordVPN.
Puoi trovare le tue credenziali del servizio NordVPN (nome utente e password) nella dashboard del Nord Account.
Segui i passaggi riportati qui sotto per trovare le credenziali di servizio per la configurazione manuale della connessione:
-
Accedi al tuo Nord Account, clicca su NordVPN e, nella sezione Configurazione manuale, clicca su Credenziali di servizio. Qui troverai il Nome utente e la Password necessari per connetterti manualmente.
Authentication Retry: lascia deselezionata l'opzione.
IMPOSTAZIONI DI CRITTOGRAFIA (CRYPTOGRAPHIC SETTINGS)
TLS Configuration: spunta la casella Use a TLS Key; deseleziona invece la casella Automatically generate a TLS key
TLS Key:
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
Enable: seleziona la casella
Listen port: non modificare il numero
Enable SSL/TLS Service: deseleziona la casella
SSL/TLS Certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (tieni presente che i numeri sul tuo dispositivo potrebbero essere diversi);
SSL/TLS Listen Port: non modificare il numero
Network Interfaces: All
Outgoing Network Interfaces: NordVPN
System Domains Local Zone Type: Transparent
DNSSEC: deseleziona la casella
Python Module: deseleziona la casella
DNS Query Forwarding: seleziona la casella "Enable forwarding mode"; deseleziona invece la casella "Use SSL/TLS for outgoing DNS Queries to Forwarding Servers"
DHCP Registration: seleziona la casella
Static DHCP: seleziona la casella
OpenVPN Clients: deseleziona la casella
IMPOSTAZIONI DI TUNNELLING (TUNNEL SETTINGS)
IPv4 tunnel network: lascia il campo vuoto
IPv6 tunnel network: lascia il campo vuoto
IPv4 remote network(s): lascia il campo vuoto
IPv6 remote network(s): lascia il campo vuoto
Limit outgoing bandwidth: lascia il campo vuoto
Allow Compression: Refuse any non-stub compression (Most Secure)
Topology: Subnet – One IP address per client in a common subnet
Type-of-Service: deseleziona la casella
Don't pull routes: deseleziona la casella
Don't add/remove routes: seleziona la casella
CONFIGURAZIONE AVANZATA (ADVANCED CONFIGURATION)
Custom Options
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;
UDP FAST I/O: deseleziona la casella
Exit Notify: Disabled
Send/Receive Buffer: Default
Gateway creation: IPv4 only
Verbosity level: 3 (recommended)
5. Vai su Interfaces > Interface Assignments e Aggiungi l'interfaccia NordVPN.
6. Premi OPT1 a sinistra dell'interfaccia che hai assegnato e compila le seguenti informazioni:
Enable: spunta la casella
Description: NordVPN
Mac Address: lascia il campo vuoto
MTU: lascia il campo vuoto
MSS: lascia il campo vuoto
Non modificare altro. Scorri solamente verso il basso e premi Save.
7. Vai su Services -> DNS Resolver -> General Settings
Enable: seleziona la casella
Listen port: non modificare il numero
Enable SSL/TLS Service: deseleziona la casella
SSL/TLS Certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (tieni presente che i numeri sul tuo dispositivo potrebbero essere diversi);
SSL/TLS Listen Port: non modificare il numero
Network Interfaces: All
Outgoing Network Interfaces: NordVPN
System Domains Local Zone Type: Transparent
DNSSEC: deseleziona la casella
Python Module: deseleziona la casella
DNS Query Forwarding: seleziona la casella "Enable forwarding mode"; deseleziona invece la casella "Use SSL/TLS for outgoing DNS Queries to Forwarding Servers"
DHCP Registration: seleziona la casella
Static DHCP: seleziona la casella
OpenVPN Clients: deseleziona la casella
Clicca su Save.
8. Nella sezione DNS Resolver, seleziona Advanced Settings in alto e compila quanto segue:
OPZIONI DI PRIVACY AVANZATE (ADVANCED PRIVACY OPTIONS):
Hide Identity: seleziona la casella
Hide Version: seleziona la casella
Query Name Minimization: deseleziona la casella
Strict Query Name Minimization: deseleziona la casella
OPZIONI RESOLVER AVANZATE (ADVANCED RESOLVER OPTIONS):
Prefetch Support: seleziona la casella
Prefetch DNS Key Support: seleziona la casella
Harden DNSSEC Data: deseleziona la casella
Non modificare altro. Scorri solamente verso il basso e premi Save.
9. Vai su Firewall > NAT > Outbound e seleziona Manual Outbound NAT rule generation. Premi Save. Appariranno sei regole. Elimina tutte le regole IPv6 e aggiungine una nuova.
9.1. Interface: NordVPN.
9.2.Address Family: IPv4
9.3.Source: la tua sottorete LAN, ad esempio 192.168.2.0/24.
9.4.Clicca su Save. Quando avrai finito, questo dovrebbe essere il risultato
Tieni presente che la regola NAT appena creata deve essere in cima all'elenco.
10. Vai su Firewall > Rules > LAN ed elimina la regola IPv6. Modifica anche la regola IPv4.
10.1. Premi Display Advanced
10.2. Modifica Gateway, impostando NordVPN
10.3. Clicca su Save. Ora la schermata dovrebbe apparire così:
11. Vai su System > General Setup e compila i campi come indicato di seguito:
DNS Server 1: 103.86.96.100; none
DNS Server 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Lascia così come sono tutti gli altri campi. Clicca su Save.
12. Ora vai su Status > OpenVPN. Nella colonna dello stato, dovresti vedere che il servizio è attivo ("up").
13. Puoi anche controllare il file di log delle connessioni nella sezione Status > System Logs > OpenVPN:
Tutto qui!La configurazione della VPN per pfSense è stata completata e ora dovresti avere una connessione VPN.
Se l'IP non cambia dopo aver configurato la VPN, prova a riavviare il router pfSense e verifica di nuovo l'IP.