Disclaimer: Met update 2.5.0 beschikken pfSense-routers nu over een ingebouwde WireGuard VPN-client. Het is op dit moment onmogelijk om het NordLynx-protocol in te stellen op pfSense-routers met de WireGuard-client, omdat het NordLynx-protcol momenteel alleen beschikbaar is in combinatie met de NordVPN-applicatie op desktops en mobiele apparaten. Je kunt hier meer informatie vinden over de beschikbaarheid van NordLynx.
1. Ga via je browser naar pfSense om OpenVPN op pfSense 2.5.0 in te stellen. Navigeer daarna naar Systeem > Certificaatbeheerder > CA's. Selecteer +Toevoegen.
Je zou dit scherm moeten zien:
2. Voor deze handleiding configureren we onze pfSense om verbinding te maken met een server in Nederland, maar jij kunt verbinding maken met een voorgestelde server.
Volg de onderstaande stappen om de beste server voor je verbinding te vinden:
-
Log in op je Nord Account en klik op NordVPN.
- Scrol omlaag naar Geavanceerde instellingen en klik op NordVPN handmatig instellen.
- Selecteer het tabblad Serveraanbeveling. De beste server wordt aanbevolen gebaseerd op je locatie.
- Door op Geavanceerde filters te klikken, kun je de aanbevolen servers verder aanpassen door het Servertype en het Veiligheidsprotocol te selecteren.
Als je een specifieke server wilt selecteren, volg dan deze stappen:
- Selecteer OpenVPN configuratiebestanden onder NordVPN handmatig instellen.
- Zoek de server waarmee je verbinding wilt maken met de Zoekbalk of door omlaag te scrollen en download deze door op UDP downloaden of TCP downloaden te klikken.
- Als je handmatig verbinding maakt met OpenVPN en IKEv2, moet je de Gebruikersnaam en Wachtwoord van het tabblad Servicegegevens gebruiken.
Vul de velden als volgt in:
Beschrijvende naam: NordVPN_CA (we gebruiken deze naam voor deze handleiding, maar je kunt een willekeurige naam gebruiken)
Methode: Een bestaande Certificeringsinstantie importeren
Vertrouwde winkel: Uitvinken
Serie randomniseren: Uitvinken
Certificaatgegevens:
\-----BEGIN CERTIFICATE-----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==
\-----END CERTIFICATE-----
Bewerk verder niets. Druk op Opslaan.
3. Navigeer naar VPN > OpenVPN > Clients en druk op +Toevoegen.
4. Vul de velden als volgt in:
Deze client uitschakelen: Uitvinken
Servermodus: Peer-to-peer (SSL/TLS)
Protocol: UDP op alleen IPv4 (je kunt ook TCP gebruiken)
Apparaatmodus: tun – Laag 3 tunnelmodus
Interface: WAN
Lokale poort: Leeg laten
Serverhost of -adres: de hostnaam van de server die je werd aanbevolen (in ons geval is dat de855.nordvpn.com);
Serverpoort: 1194 (gebruik 443 als je TCP gebruikt)
Proxyhost of -adres: Leeg laten
Proxypoort: Leeg lsten
Proxy-authenticatie: geen
Beschrijving: Willekeurige naam. Wij zullen NordVPN gebruiken.
INSTELLINGEN AUTHENTICATIE GEBRUIKER
Gebruikersnaam: je gebruikersnaam van NordVPN-service.
Wachtwoord: je wachtwoord van NordVPN-service.
Je kunt je NordVPN-servicegegevens (gebruikersnaam en wachtwoord) vinden in het dashboard van je Nord Account.
Volg de onderstaande stappen om de servicegegevens voor handmatige verbindingsinstellingen te vinden:
-
Log in op je Nord Account, klik op NordVPN, en klik onder Handmatig instellen op Servicegegevens. Hier vind je de Gebruikersnaam en het Wachtwoord dat je nodig hebt om handmatig verbinding te maken.
Nieuwe authenticatiepoging: niet aanvinken.
CRYPTOGRAFISCHE INSTELLINGEN
TLS-configuratieNL: Gebruik een TLS-sleutel - Aanvinken; Automatisch een TLS-sleutel genereren - Uitvinken
TLS-sleutel:
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
TLS sleutelgebruik modus: TLS-authenticatie
TLS keydir richting: Standaard richting gebruiken
Peer-certificaatautoriteit: NordVPN_CA
Peer-certificaatherroepingslijst: Niet definiëren
Client-certificaat: webConfigurator standaard (59f92214095d8) (Server: Ja, in gebruik) (let er op dat de nummers op je machine kunnen verschillen)
Onderhandeling over gegevensversleuteling: Aangevinkt
Algoritmes voor gegevensversleuteling: AES-256-GCM en AES-256-CBC
Algoritme voor gegevensversleuteling: AES-256-CBC
Authenticatie-algoritme: SHA512 (512-bits)
Cryptografie: Geen hardwareversnelling voor cryptografie
TUNNELINSTELLINGEN
IPv4 tunnelnetwerk: Leeg
IPv6 tunnelnetwerk: Leeg
IPv4 extern(e) netwerk(en): Leeg
IPv6 extern(e) netwerk(en): Leeg
Limit uitgaande bandbreedte: Leeg
Compressie toestaan: Weiger elke niet-stubcompressie (Meest veilig)
Topologie: Subnet - Eén IP-adres per client in een gemeenschappelijk subnet
Type-of-Service: Niet aangevinkt
Routes niet trekken: Niet aangevinkt
Routes niet toevoegen/verwijderen: Aangevinkt
GEAVANCEERDE CONFIGURATIE
Aangepaste opties
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;
UDP FAST I/O: Niet aangevinkt
Melden verlaten: Uitgeschakeld
Buffer verzenden/ontvangen : Standaard
Gateway-creatie: alleen IPv4
Verbosity-niveau: 3 (aanbevolen)
5. Navigeer naar Interfaces > Interfacetoewijzingen en Toevoegen om de NordVPN-interface toe te voegen.
6. Druk op de OPT1 links van de toegewezen interface en vul de volgende informatie in:
Inschakelen: Aanvinken
Beschrijving: NordVPN
Mac-adres: Leeg laten
MTU: Leeg laten
MSS: Leeg laten
Wijzig verder niets. Scrol gewoon omlaag en druk op Opslaan.
7. Navigeer naar Services -> DNS-resolver -> Algemene instellingen
Inschakelen: Aangevinkt
Luisterpoort: Zo laten
SSL/TLS-service inschakelen: Niet aangevinkt
SSL/TLS-certificaat: webConfigurator standaard (59f92214095d8) (Server: Ja, In gebruik) (merk op dat de nummers op je machine anders kunnen zijn);
SSL/TLS-luisterpoort: Zo laten
Netwerkinterfaces: Alle
Uitgaande netwerkinterfaces: NordVPN
Systeemdomeinen Lokaal Zonetype: Transparent
DNSSEC: Niet aangevinkt
Python-module: Niet aangevinkt
DNS-queries doorsturen: Schakel doorstuurmodus in - Aangevinkt; Gebruik SSL/TLS voor uitgaande DNS-queries naar doorstuurservers - Niet aangevinkt
DHCP-registratie: Aangevinkt
Statisch DHCP: Aangevinkt
OpenVPN-klanten: Niet aangevinkt
Klik op Opslaan
8. Selecteer als je in DNS-resolver zit bovenaan Geavanceerde instellingen en vul het volgende in:
GEAVANCEERDE PRIVACYOPTIES:
Identiteit verbergen: Aanvinken
Versie verbergen: Aanvinken
Minimalisatie querynaam: Uitvinken
Strikte minimalisatie querynaam: Uitvinken
GEAVANCEERDE OPLOSSINGSOPTIES:
Prefetch-ondersteuning: Aangevinkt
Ondersteuning voor Prefetch DNS-sleutel: Aangevinkt
DNSSEC-gegevens verharden: Niet aangevinkt
Wijzig verder niets. Scrol gewoon omlaag en druk op Opslaan
9. Navigeer naar Firewall > NAT > Uitgaand en selecteer Handmatig uitgaande NAT-regels genereren. Druk op Opslaan. Er verschijnen zes regels. Verwijder alle IPv6-regels en voeg een nieuwe toe.
9.1. Interface: NordVPN.
9.2.Adres familie: IPv4
9.3.Bron: je LAN-subnet, bijvoorbeeld 192.168.2.0/24.
9.4.Klik op Opslaan. Het zou er zo uit moeten zien:
Let erop dat de nieuw aangemaakte NAT-regel bovenaan staat.
10. Navigeer naar Firewall > Regels > LAN en verwijder de IPv6-regel. Bewerk de IPv4-regel.
10.1. Druk op Geavanceerd weergeven
10.2. Wijzig Gateway in NordVPN
10.3. Klik op Opslaan.
Het zou er nu zo uit moeten zien:
11. Ga naar Systeem > Algemene instellingen en vul de velden als volgt in:
DNS-server 1: 103.86.96.100; geen
DNS-server 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Laat de rest zoals het is. Klik op Opslaan.
12. Navigeer nu naar Status > OpenVPN. De status moet weergeven dat de service 'is ingesteld '.
13. Je kunt ook het verbindingslogbestand controleren onder Status > Systeemlogboeken > OpenVPN:
Dat is het!Het instellen van pfsense VPN is voltooid en je zou nu een VPN verbinding moeten hebben.
Als het IP-adres niet verandert na het instellen van het VPN, probeer dan de pfSense-router opnieuw op te starten en controleer het IP-adres.