Aviso: Com a atualização 2.5.0, os roteadores pfSense passaram a ter o cliente WireGuard VPN integrado. No momento, é impossível configurar o protocolo NordLynx em roteadores pfSense com o cliente WireGuard, pois o protocolo NordLynx só está disponível no aplicativo da NordVPN para desktop e dispositivos móveis. Mais informações sobre a disponibilidade do NordLynx podem ser encontradas aqui.
1. Para configurar o OpenVPN no pfSense 2.5.0, acesse o pfSense no seu navegador e depois acesse Sistema (System) > Gestor de certificados (Certificate Manager) > CAs. Selecione Adicionar (+Add).
Você deve ver esta tela:
2. Para este tutorial, configuramos o pfSense para se conectar a um servidor na Holanda, mas você deve se conectar ao servidor sugerido.
Para encontrar o melhor servidor para sua conexão, siga os passos abaixo:
-
Entre em (Log in to) sua Nord-Account e clique em NordVPN.
- Role para baixo até Configurações avançadas (Advanced settings) e clique em Configurar NordVPN manualmente (Set up NordVPN manually).
- Selecione a aba Recomendação de servidor (Server recommendation). O melhor servidor será recomendado conforme a sua localização.
- Ao pressionar Filtros avançados (Advanced filters), você pode personalizar ainda mais os servidores recomendados, selecionando o Tipo de servidor (Server type) e o Protocolo de segurança (Security protocol).
Caso queira selecionar um servidor específico, siga estes passos:
- Em Configurar NordVPN manualmente (Set up NordVPN manually), selecione Arquivos de configuração do OpenVPN (OpenVPN configuration files).
- Encontre o servidor ao qual deseja se conectar usando a barra de Pesquisa (Search) ou rolando para baixo. Depois, faça o download clicando em Baixar UDP (Download UDP) ou Baixar TCP (Download TCP).
- Ao se conectar ao OpenVPN e IKEv2 manualmente, será necessário usar o Nome de usuário (Username) e a Senha (Password) na aba Credenciais do serviço (Service credentials).
Preencha os campos conforme indicado:
Nome descritivo (Descriptive name): NordVPN_CA (vamos usar esse nome para os fins deste manual, mas você pode usar o nome que quiser)
Método (Method): Importar Autoridade de Certificação existente (Import an existing Certificate Authority)
Trust Store: Desmarcar
Randomizar série (Randomize Serial): desmarcar
Dados do certificado (Certificate data):
\-----BEGIN CERTIFICATE-----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==
\-----END CERTIFICATE-----
Não edite mais nada. Pressione Salvar (Save).
3. Acesse VPN > OpenVPN > Clientes (Clients) e pressione Adicionar (+Add).
4. Preencha os campos conforme indicado:
Desativar este cliente (Disable this client): desmarcar
Modo do servidor (Server mode): Peer to Peer (SSL/TLS)
Protocolo (Protocol): somente UDP sobre IPv4 (você também pode usar TCP)
Modo do dispositivo (Device mode): túnel – modo de túnel da camada 3 (tun – Layer 3 Tunnel Mode)
Interface: WAN
Porta local (Local port): deixar em branco
Host ou endereço do servidor (Server host or address): o nome de host do servidor recomendado a você (no nosso caso, é de855.nordvpn.com);
Porta do servidor (Server port): 1194 (use 443 se você utiliza TCP)
Host ou endereço proxy (Proxy host or address): deixar em branco
Porta proxy (Proxy port): deixar em branco
Autenticação proxy (Proxy Authentication): nenhuma
Descrição (Description): qualquer nome que quiser. Usaremos "NordVPN".
CONFIGURAÇÕES DE AUTENTICAÇÃO DO USUÁRIO
Nome de usuário (Username): seu nome de usuário do serviço da NordVPN.
Senha (Password): sua senha do serviço da NordVPN.
Você pode encontrar suas credenciais do serviço da NordVPN (nome de usuário e senha) no painel da Nord-Account.
Siga os passos abaixo para encontrar as credenciais do serviço para a configuração da conexão manual:
-
Entre (Log into) em sua Nord-Account, clique em NordVPN e, em Configuração manual (Manual setup), clique em Credenciais do serviço (Service credentials). Aqui você encontra o Nome de usuário (Username) e Senha (Password) necessários para se conectar manualmente.
Repetir autenticação (Authentication Retry): deixar desmarcado.
CONFIGURAÇÕES DE CRIPTOGRAFIA
Configuração TLS (TLS Configuration): Usar uma chave TLS (Use a TLS Key) - marcar. Gerar uma chave TLS automaticamente (Automatically generate a TLS Key) - desmarcar.
Chave TLS (TLS Key):
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
Modo de uso da chave TLS (TLS Key Usage Mode): Autenticação TLS (TLS Authentication)
Direção da chave TLS (TLS keydir direction): Usar direção padrão (Use default direction)
Autoridade de certificação peer (Peer certificate authority): NordVPN_CA
Lista de revogação de certificado peer (Peer Certificate Revocation list): não definir
Certificado de cliente (Client certificate): webConfigurator default (59f92214095d8) (Server: Yes, In Use) (observe que os números na sua máquina podem ser diferentes)
Negociação de Criptografia de dados (Data Encryption Negotiation): marcar
Algoritmos de criptografia de dados (Data Encryption Algorithms): AES-256-GCM e AES-256-CBC
Algoritmo de criptografia de dados de fallback (Fallback Data Encryption Algorithm): AES-256-CBC
Algoritmo de autenticação digest (Auth digest algorithm): SHA512 (512-bit)
Criptografia de hardware (Hardware Crypto): Sem aceleração de criptografia de hardware (No Hardware Crypto Acceleration)
CONFIGURAÇÕES DO TÚNEL
Rede de túneis IPv4 (IPv4 Tunnel Network): deixar em branco
Rede de túneis IPv6 (IPv6 Tunnel Network): deixar em branco
Rede(s) remota(s) IPv4 (IPv4 Remote Network(s)): deixar em branco
Rede(s) remota(s) IPv6 (IPv6 Remote Network(s)): deixar em branco
Limitar largura de banda de saída (Limit outgoing bandwidth): deixar em branco
Permitir compressão (Allow Compression): Recusar qualquer compressão não stub (Mais seguro) (Refuse any non-stub compression (Most secure))
Topologia (Topology): Sub-rede – Um endereço de IP por cliente em uma sub-rede comum (Subnet – One IP address per client in a common subnet)
Tipo de serviço (Type-of-Service): desmarcar
Não extrair rotas (Don’t pull routes): desmarcar
Não adicionar/remover rotas (Don’t add/remove routes): marcar
CONFIGURAÇÃO AVANÇADA
Opções personalizadas (Custom options)
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;
Entrada/saída rápida de UDP (UDP Fast I/O): desmarcar Notificação de saída (Exit Notify): Desativado (Disabled)
Enviar/receber buffer (Send/Receive Buffer): Padrão (Default)
Criação de gateway (Gateway creation): somente IPv4 (IPv4 only)
Nível de detalhe (Verbosity level): 3 (recomendado)
5. Acesse Interfaces > Atribuições da interface (Interface Assignments) e Adicione (Add) a interface da NordVPN.
6. Clique em OPT1 à esquerda da interface atribuída e preencha as informações a seguir:
Ativar (Enable): marcar
Descrição (Description): NordVPN
Endereço MAC (MAC Address): deixar em branco
MTU: deixar em branco
MSS: deixar em branco
Não mude mais nada. Apenas role para baixo e clique em Salvar (Save).
7. Acesse Serviços (Services) -> Resolvedor de DNS (DNS Resolver) -> Configurações gerais (General settings)
Ativar (Enable): marcar
Porta de escuta (Listen Port): deixar como está
Ativar serviço SSL/TLS (Enable SSL/TLS Service): desmarcar
Certificado SSL/TLS (SSL/TLS Certificate): webConfigurator default (59f92214095d8) (Server: Yes, In Use) (observe que os números na sua máquina podem ser diferentes)
Porta de escuta SSL/TLS (SSL/TLS Listen Port): deixar como está
Interfaces de rede (Network Interfaces): Todas (All)
Interfaces de rede de saída (Outgoing Network Interfaces): NordVPN
Tipo de zona local de domínios do sistema) (System Domains Local Zone Type): Transparente (Transparent)
DNSSEC: desmarcar
Módulo Python (Python Module): desmarcar
Encaminhamento de consulta de DNS (DNS Query Forwarding): Ativar modo de encaminhamento (Enable forwarding mode) - marcar. Usar SSL/TLS para consultas de DNS de saída para servidores de encaminhamento (Use SSL/TLS for outgoing DNS Queries to Forwarding Servers) - desmarcar
Registro DHCP (DHCP Registration): marcar
DHCP estático (Static DHCP): marcar
Clientes OpenVPN (OpenVPN Clients): desmarcar
Clique em Salvar (Save).
8. Em Resolvedor de DNS (DNS Resolver), selecione Configurações avançadas (Advanced Settings) no topo e preencha o seguinte:
OPÇÕES DE PRIVACIDADE AVANÇADA:
Ocultar identidade (Hide Identity): marcar
Ocultar versão (Hide Version): marcar
Minimizar nome da consulta (Query Name Minimization): desmarcar
Minimizar nome da consulta rígida (Strict Query Name Minimization): desmarcar
OPÇÕES DE RESOLVEDOR AVANÇADO:
Suporte ao prefetch (Prefetch Support): marcar
Suporte à chave de DNS prefetch (Prefetch DNS Key Support): marcar
Proteger dados DNSSEC (Harden DNSSEC Data): desmarcar
Não mude mais nada. Apenas role para baixo e clique em Salvar (Save).
9. Acesse Firewall > NAT > Saída (Outbound) e selecione Geração de regra NAT de saída manual (Manual Outbound NAT rule generation). Pressione Salvar (Save). Você verá seis regras. Exclua todas as regras do IPv6 e adicione uma nova.
9.1. Interface: NordVPN.
9.2.Família de endereços (Address Family): IPv4
9.3.Fonte (Source): sua sub-rede LAN, por exemplo 192.168.2.0/24.
9.4.Clique em Salvar (Save). No final, deve ficar assim:
Observe que a regra NAT recém-criada deve ficar no topo.
10. Acesse Firewall > Regras (Rules) > LAN e exclua a regra IPv6. Também edite a regra IPv4.
10.1. Pressione Exibir avançado (Display Advanced).
10.2. Altere Gateway para NordVPN.
10.3. Clique em Salvar (Save). Deve ter ficado assim:
11. Acesse Sistema (System) > Configuração geral (General Setup) e preencha os campos conforme indicado:
Servidor de DNS 1: 103.86.96.100; nenhum (none)
Servidor de DNS 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Deixe todo o resto como está. Clique em Salvar (Save).
12. Agora, acesse Status > OpenVPN. O status deve indicar que o serviço está ativado (up).
13. Também é possível verificar o arquivo de registros de conexões em Status > Registros do sistema (System Logs) > OpenVPN:
Pronto!A configuração do pfSense com a VPN foi concluída e agora você deve ter uma conexão de VPN.
Se o IP não mudar após configurar a VPN, tente reiniciar o roteador pfSense e verifique o IP novamente.