Uwaga: po aktualizacji do wersji 2.5.0 routery z oprogramowaniem pfSense mają wbudowanego klienta VPN z protokołem WireGuard. Obecnie nie ma możliwości skonfigurowania połączenia z protokołem NordLynx na routerach z pfSense z wbudowanym klientem WireGuard, ponieważ protokół NordLynx jest dostępny wyłącznie w aplikacji NordVPN na komputer i urządzenia mobilne. Więcej informacji na temat dostępności protokołu NordLynx można znaleźć tutaj.
1. Aby skonfigurować VPN na urządzeniu z pfSense 2.5.0, wejdź w panel sterowania pfSense w przeglądarce, a następnie przejdź do System > Certificate Manager > CAs. Wybierz +Add.
Powinien otworzyć się następujący ekran:
2. W tym przewodniku skonfigurujemy połączenie z serwerem w Holandii, ale Ty połącz się z serwerem wybranym dla Ciebie na NordKoncie.
Wykonaj poniższe kroki, aby znaleźć najlepszy serwer dla Twojego połączenia:
-
Zaloguj się na swoje
NordKonto i
kliknij NordVPN.
2. Przewiń w dół do sekcji Ustawienia zaawansowane (Advanced Settings) i kliknij Skonfiguruj NordVPN ręcznie (Set up NordVPN manually).
3. Wybierz zakładkę
Zalecany serwer (Server recommendation). Wyświetli się
najlepszy serwer dla Twojej lokalizacji.
4. Gdy naciśniesz
Zaawansowane filtry (Advanced filters), możesz dodatkowo
dostosować zalecane serwery, wybierając
Typ serwera (Server type) i
Protokół bezpieczeństwa (Security protocol).
Jeśli chcesz wybrać konkretny serwer, wykonaj następujące kroki:
-
W sekcji
Skonfiguruj NordVPN ręcznie (Set up NordVPN manually)
wybierz
Pliki konfiguracyjne OpenVPN (OpenVPN configuration files).
2. Znajdź serwer, z którym chcesz się połączyć, wpisując go w okienku Szukaj (Search) lub przewijając w dół, a następnie pobierz go, klikając Pobierz UDP (Download UDP) lub Pobierz TCP (Download TCP).
3. Podczas łączenia się z OpenVPN i
IKEv2 ręcznie musisz użyć
Nazwy użytkownika (Username) i
Hasła (Password) z zakładki
Dane uwierzytelniające (Service credentials).
Wypełnij wszystkie pola w następujący sposób:
Descriptive Name: NordVPN_NL120_CA (jest to
przykładowa nazwa – możesz wpisać dowolną)
Method:
Import an existing Certificate Authority
Trust Store: odznacz
Randomize Serial: odznacz
Certificate data:
\-----BEGIN CERTIFICATE-----
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==
\-----END CERTIFICATE-----
Nie zmieniaj innych ustawień. Kliknij Save.
3. Przejdź do VPN > OpenVPN > Clients i naciśnij +Add.
4. Wypełnij wszystkie pola w następujący sposób:
Disable this client: odznacz
Server mode: Peer to Peer (SSL/TLS)
Protocol: UDP on IPv4 only
(możesz też użyć TCP)
Device mode: tun – Layer 3
Tunnel Mode
Interface: WAN
Local port: pozostaw pole puste
Server host or address: nazwa
serwera zalecanego dla Ciebie (na naszym przykładzie jest to
de855.nordvpn.com);
Server port: 1194 (użyj 443 dla
TCP)
Proxy host or address: pozostaw pole puste
Proxy port: pozostaw pole puste
Proxy Authentication: none
Description: wpisz dowolną nazwę. Na przykładzie jest to NordVPN.
Sekcja User Authentication Settings
Username: Twoja nazwa użytkownika w usłudze NordVPN.
Password: Twoje hasło do usługi NordVPN.
Dane uwierzytelniające do NordVPN (nazwę użytkownika i hasło) znajdziesz na pulpicie NordKonta.
Wykonaj poniższe kroki, aby znaleźć dane uwierzytelniające do ręcznej konfiguracji połączenia:
-
Zaloguj się na swoje
NordKonto, kliknij NordVPN, a w sekcji
Konfiguracja ręczna (Manual setup) wybierz
Dane uwierzytelniające (Service credentials). Tutaj
znajdziesz nazwę użytkownika (Username) i
hasło (Password) potrzebne do ręcznego połączenia.
Authentication Retry: pozostaw pole puste.
Sekcja Cryptographic Settings
TLS Configuration: Use a TLS Key – zaznacz; Automatically
generate a TLS key – odznacz
TLS Key:
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
TLS Key Usage Mode: TLS Authentication
TLS keydir direction: Use default direction
Peer certificate authority:
NordVPN_CA
Peer Certificate Revocation list: zostaw
tak, jak jest
Client certificate: webConfigurator
default (59f92214095d8) (Server: Yes, In Use) (cyfry na Twoim urządzeniu
mogą być inne)
Data Encryption Negotiation:
zaznacz
Data Encryption Algorithms: AES-256-GCM i
AES-256-CBC
Fallback Data Encryption Algorithm:
AES-256-CBC
Auth digest algorithm: SHA512
(512-bit)
Hardware Crypto: No Hardware Crypto
Acceleration
Sekcja Tunnel Settings
IPv4 tunnel network: pozostaw pole puste
IPv6 tunnel network: pozostaw pole puste
IPv4 remote network(s):
pozostaw pole puste
IPv6 remote network(s): pozostaw
pole puste
Limit outgoing bandwidth: pozostaw pole
puste
Allow Compression: Refuse any non-stub
compression (Most Secure)
Topology: Subnet – One IP
address per client in a common subnet
Type-of-Service: odznacz
Don’t pull routes: odznacz
Don’t add/remove routes: zaznacz
Sekcja Advanced Configuration
Custom Options
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra
32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec
0;
remote-cert-tls server;
UDP FAST I/O: odznacz
Exit Notify:
Disabled
Send/Receive Buffer: Default
Gateway creation: IPv4 only
Verbosity level: 3 (recommended)
5. Przejdź do Interfaces > Interface Assignments i kliknij Add, aby dodać interfejs NordVPN.
6. Naciśnij OPT1 po lewej stronie przypisanego interfejsu i wypełnij następujące informacje:
Enable: zaznacz
Description:
NordVPN
Mac Address: pozostaw pole puste
MTU: pozostaw pole puste
MSS: pozostaw pole puste
Nie zmieniaj innych ustawień. Przewiń w dół i zapisz konfigurację, naciskając przycisk Save.
7. Przejdź do Services -> DNS Resolver -> General Settings
Enable: zaznacz
Listen port: nic
nie zmieniaj
Enable SSL/TLS Service: odznacz
SSL/TLS Certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use)
(cyfry na Twoim urządzeniu mogą być inne);
SSL/TLS Listen Port: nic nie zmieniaj
Network Interfaces: All
Outgoing Network Interfaces: NordVPN
System Domains Local Zone Type:
Transparent
DNSSEC: odznacz
Python Module: odznacz
DNS Query Forwarding: Enable forwarding
mode – zaznacz; Use SSL/TLS for outgoing DNS Queries to Forwarding Servers
— odznacz
DHCP Registration: zaznacz
Static DHCP: zaznacz
OpenVPN Clients: odznacz
Kliknij Save.
8. W sekcji DNS Resolver wybierz Advanced Settings na górze i uzupełnij dane:
Sekcja Advanced Privacy Options:
Hide Identity: zaznacz
Hide Version: zaznacz
Query Name Minimization: odznacz
Strict Query Name Minimization: odznacz
Sekcja Advanced Resolver Options:
Prefetch Support: zaznacz
Prefetch DNS Key Support: zaznacz
Harden DNSSEC Data: odznacz
Nie zmieniaj innych ustawień. Przewiń w dół i zapisz konfigurację, naciskając przycisk Save
9. Przejdź do Firewall > NAT > Outbound i wybierz Manual Outbound NAT rule generation. Kliknij Save. Wyświetli się sześć reguł. Usuń wszystkie reguły IPv6, a następnie dodaj nową.
9.1. Interface: NordVPN.
9.2.Address Family: IPv4
9.3.Source: Twoja podsieć LAN, np.
192.168.2.0/24.
9.4.Kliknij Save. Ustawienia powinny
wyglądać następująco:
Ważne: nowo utworzona reguła NAT musi być na samej górze.
10. Przejdź
do Firewall > Rules > LAN i
usuń regułę IPv6. Następnie edytuj regułę
IPv4.
10.1. Naciśnij Display Advanced.
10.2. Zmień Gateway na NordVPN. 10.3.
Kliknij Save. Ustawienia powinny wyglądać następująco:
11. Przejdź do System > General Setup i uzupełnij dane:
DNS Server 1: 103.86.96.100; none
DNS Server 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Nie zmieniaj innych ustawień. Kliknij Save.
12. Przejdź do Status > OpenVPN. Status usługi pod nagłówkiem Status powinien zmienić się na up.
13. Możesz też sprawdzić log połączenia: Status > System Logs > OpenVPN:
Gotowe!Konfiguracja VPN na urządzeniu z pfSense jest gotowa, a połączenie z VPN powinno zostać nawiązane.
Jeśli adres IP nie zmienił się po skonfigurowaniu połączenia VPN, zrestartuj router pfSense i sprawdź adres IP ponownie.