Attenzione: se usi pfSense 2.4.4, dovrai seguire invece questo tutorial.
1. Per configurare OpenVPN su pfSense 2.4.5, accedi al tuo router pfSense dal browser, poi vai su System > Certificate Manager > CAs. Seleziona + Add.
Dovresti vedere questa schermata:
2. In questo tutorial, a titolo di esempio configureremo pfSense per la connessione a un server nei Paesi Bassi, ma per il tuo utilizzo personale dovresti connetterti al server più adatto a te.
Segui la procedura descritta qui sotto per trovare il server migliore per la tua connessione:
-
Accedi al tuo Nord Account e clicca su NordVPN.
- Scorri verso il basso fino alla sezione Impostazioni avanzate e clicca su Configura NordVPN manualmente.
- Seleziona la scheda Raccomandazione server. In base al luogo in cui ti trovi, ti verrà consigliato il server migliore.
- Premendo Filtri avanzati, puoi personalizzare ulteriormente i server consigliati selezionando il Tipo di server e il Protocollo di sicurezza.
Se desideri selezionare un server specifico, segui questi passaggi:
- Nella sezione Configura NordVPN manualmente, scegli File di configurazione OpenVPN.
- Trova il server a cui desideri connetterti usando la barra Cerca; in alternativa, puoi scorrere verso il basso e scaricarlo cliccando su Scarica UDP o Scarica TCP.
- Quando ti connetti a OpenVPN e IKEv2 manualmente, dovrai usare il Nome utente e la Password riportati nella scheda Credenziali di servizio.
Compila i campi come indicato di seguito:
Descriptive Name: NordVPN_CA (usiamo questo nome a titolo di esempio per il tutorial; puoi scegliere quello che preferisci)
Method: Import an existing Certificate Authority
Certificate data:
\-----BEGIN CERTIFICATE-----
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==
\-----END CERTIFICATE-----
Premi Save.
3. Vai su VPN > OpenVPN > Client e premi + Add.
4. Compila i campi come indicato di seguito:
Disable this client: deseleziona
Server mode: Peer to Peer (SSL/TLS)
Protocol: UDP on IPv4 only (puoi anche usare il protocollo TCP)
Device mode: tun – Layer 3 Tunnel Mode
Interface: WAN
Local port: lascia il campo vuoto
Server host or address: il nome host del server raccomandato per te (nel nostro caso, è de855.nordvpn.com);
Server port: 1194 (seleziona la 443 se usi il protocollo TCP)
Proxy host or address: lascia il campo vuoto
Proxy port: lascia il campo vuoto
Proxy Authentication: none
Description: scegli il nome che preferisci. Utilizzeremo NordVPN.
IMPOSTAZIONI AUTENTICAZIONE UTENTE (USER AUTHENTICATION SETTINGS)
Username: il tuo nome utente del servizio NordVPN.
Password: la tua password del servizio NordVPN in entrambi i campi.
Segui i passaggi riportati qui sotto per trovare le credenziali di servizio per la configurazione manuale della connessione:
-
Accedi al tuo Nord Account, clicca su NordVPN e, nella sezione Configurazione manuale, clicca su Credenziali di servizio. Qui troverai il Nome utente e la Password necessari per connetterti manualmente.
Authentication Retry: lascia deselezionata l'opzione.
IMPOSTAZIONI DI CRITTOGRAFIA (CRYPTOGRAPHIC SETTINGS)
TLS Configuration: spunta la casella "Use a TLS Key"; deseleziona invece la casella "Automatically generate a TLS key"
TLS Key:
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
TLS Key Usage Mode: TLS Authentication
TLS keydir direction: Use default direction
Peer certificate authority: NordVPN_CA
Peer Certificate Revocation list: non indicare nulla
Client certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (tieni presente che i numeri sul tuo dispositivo potrebbero essere diversi)
Encryption Algorithm: AES-256-GCM
Enable NCP: seleziona la casella
NCP Algorithms: AES-256-GCM e AES-256-CBC
Auth digest algorithm: SHA512 (512-bit)
Hardware Crypto: No Hardware Crypto Acceleration
IMPOSTAZIONI DI TUNNELLING (TUNNEL SETTINGS)
IPv4 tunnel network: lascia il campo vuoto
IPv6 tunnel network: lascia il campo vuoto
IPv4 remote network(s): lascia il campo vuoto
IPv6 remote network(s): lascia il campo vuoto
Limit outgoing bandwidth: lascia il campo vuoto
Compression: No LZO Compression [Legacy style,comp-lzo no]
Topology: Subnet – One IP address per client in a common subnet
Type-of-Service: deseleziona la casella
Don't pull routes: deseleziona la casella
Don't add/remove routes: seleziona la casella
CONFIGURAZIONE AVANZATA (ADVANCED CONFIGURATION)
Custom Options
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;
UDP FAST I/O: deseleziona la casella
Exit Notify: Disabled
Send/Receive Buffer: Default
Gateway creation: IPv4 only
Verbosity level: 3 (recommended)
5. Vai su Interfaces > Interface Assignments e Aggiungi l'interfaccia NordVPN.
6. Premi OPT1 a sinistra dell'interfaccia che hai assegnato e compila le seguenti informazioni:
Enable: spunta la casella
Description: NordVPN
Mac Address: lascia il campo vuoto
MTU: lascia il campo vuoto
MSS: lascia il campo vuoto
Non modificare altro. Scorri solamente verso il basso e premi Save.
7. Vai su Services -> DNS Resolver -> General Settings
Enable: seleziona la casella
Listen port: non modificare il numero
Enable SSL/TLS Service: deseleziona la casella
SSL/TLS Certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (tieni presente che i numeri sul tuo dispositivo potrebbero essere diversi);
SSL/TLS Listen Port: non modificare il numero
Network Interfaces: All
Outgoing Network Interfaces: NordVPN
System Domains Local Zone Type: Transparent
DNSSEC: deseleziona la casella
Python Module: deseleziona la casella
DNS Query Forwarding: seleziona la casella "Enable forwarding mode"; deseleziona invece la casella "Use SSL/TLS for outgoing DNS Queries to Forwarding Servers"
DHCP Registration: seleziona la casella
Static DHCP: seleziona la casella
OpenVPN Clients: deseleziona la casella
Clicca su Save.
8. Nella sezione DNS Resolver, seleziona Advanced Settings in alto e compila quanto segue:
OPZIONI DI PRIVACY AVANZATE (ADVANCED PRIVACY OPTIONS):
Hide Identity: seleziona la casella
Hide Version: seleziona la casella
Query Name Minimization: deseleziona la casella
Strict Query Name Minimization: deseleziona la casella
OPZIONI RESOLVER AVANZATE (ADVANCED RESOLVER OPTIONS):
Prefetch Support: seleziona la casella
Prefetch DNS Key Support: seleziona la casella
Harden DNSSEC Data: deseleziona la casella
Non modificare altro. Scorri solamente verso il basso e premi Save.
9. Vai su Firewall > NAT > Outbound e seleziona Manual Outbound NAT rule generation. Premi Save. Appariranno sei regole. Elimina tutte le regole IPv6 e aggiungine una nuova.
9.1. Interface: NordVPN.
9.2.Source: la tua sottorete LAN, ad esempio 192.168.2.0/24.
9.3.Clicca su Save. Quando avrai finito, questo dovrebbe essere il risultato:
10. Vai su Firewall > Rules > LAN ed elimina la regola IPv6. Modifica anche la regola IPv4.
10.1. Premi Show Advanced Options
10.2. Modifica Gateway, impostando NordVPN
10.3. Clicca su Save. Ora la schermata dovrebbe apparire così:
11. Vai su System > General Setup e compila i campi come indicato di seguito:
DNS Server 1: 103.86.96.100; none
DNS Server 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Lascia così come sono tutti gli altri campi. Clicca su Save.
12. Ora vai su Status > OpenVPN. Nella colonna dello stato, dovresti vedere che il servizio è attivo "up".
13. Puoi anche controllare il file di log delle connessioni nella sezione Status > System Logs > OpenVPN:
Tutto qui!La configurazione della VPN per pfSense è stata completata e ora dovresti avere una connessione VPN.
Se l'IP non cambia dopo aver configurato la VPN, prova a riavviare il router pfSense e verifica di nuovo l'IP.