使用 NordVPN 設定 pfSense 2.5

_免責聲明：_隨著 2.5.0 的更新，pfSense 路由器現已具備內建的 WireGuard VPN 用戶端。 pfSense 路由器目前無法使用 WirdGuard 用戶端來設定 NordLynx 通訊協定，因為只有桌上型和行動裝置上的 NordVPN 應用程式有提供 NordLynx 通訊協定。 如欲了解有哪些裝置提供 NordLynx 通訊協定，請參見此處。

1. 若要在 pfSense 2.5.0 上設定 OpenVPN，請從瀏覽器存取 pfSense，然後前往「系統 (System)」 > 「憑證管理員 (Certificate Manager)」 > 「憑證授權單位 (CAs)」。 選擇「新增 (+Add)」。

您應該能看到此畫面：

2. 在本教學中，pfSense 將設定為連上位於荷蘭的伺服器，但您應該連線至推薦的伺服器。

請按照以下步驟找出最適合連線的伺服器：

1. 登入Nord 帳戶，然後點選「NordVPN」。
   
   
   
     2. 向下捲動至「進階設定」，並點選「手動設定 NordVPN」。

  3. 選擇「推薦伺服器」分頁。 程式會根據您的位置來推薦最適合的伺服器。

  4. 按下「進階篩選條件」，就可以進一步選擇「伺服器類型」和「安全協定」來自訂推薦的伺服器。

 如欲選擇特定的伺服器，請按照以下步驟操作：

1. 在「手動設定 NordVPN」的下方，選擇「OpenVPN 設定檔」。
   
   
   
     2. 使用**「搜尋列」進行搜尋，或向下捲動，點選「下載 UDP」或「下載 TCP」進行下載，找到想連線的伺服器。

  3. 手動連線至OpenVPN和IKEv2時，在「服務憑證」分頁上，您將需要使用使用者名稱及密碼。

請根據以下內容填寫欄位：

Descriptive Name：NordVPN_CA （我們針對本教學使用了這個名稱，但您可以依喜好自行命名） Method：匯入現有的憑證授權單位
Trust Store：未選取
Randomize Serial：未選取
Certificate data：

\-----BEGIN CERTIFICATE-----  
MIIFCjCCAvKgAwIBAgIBATANBgkqhkiG9w0BAQ0FADA5MQswCQYDVQQGEwJQQTEQ  
MA4GA1UEChMHTm9yZFZQTjEYMBYGA1UEAxMPTm9yZFZQTiBSb290IENBMB4XDTE2  
MDEwMTAwMDAwMFoXDTM1MTIzMTIzNTk1OVowOTELMAkGA1UEBhMCUEExEDAOBgNV  
BAoTB05vcmRWUE4xGDAWBgNVBAMTD05vcmRWUE4gUm9vdCBDQTCCAiIwDQYJKoZI  
hvcNAQEBBQADggIPADCCAgoCggIBAMkr/BYhyo0F2upsIMXwC6QvkZps3NN2/eQF  
kfQIS1gql0aejsKsEnmY0Kaon8uZCTXPsRH1gQNgg5D2gixdd1mJUvV3dE3y9FJr  
XMoDkXdCGBodvKJyU6lcfEVF6/UxHcbBguZK9UtRHS9eJYm3rpL/5huQMCppX7kU  
eQ8dpCwd3iKITqwd1ZudDqsWaU0vqzC2H55IyaZ/5/TnCk31Q1UP6BksbbuRcwOV  
skEDsm6YoWDnn/IIzGOYnFJRzQH5jTz3j1QBvRIuQuBuvUkfhx1FEwhwZigrcxXu  
MP+QgM54kezgziJUaZcOM2zF3lvrwMvXDMfNeIoJABv9ljw969xQ8czQCU5lMVmA  
37ltv5Ec9U5hZuwk/9QO1Z+d/r6Jx0mlurS8gnCAKJgwa3kyZw6e4FZ8mYL4vpRR  
hPdvRTWCMJkeB4yBHyhxUmTRgJHm6YR3D6hcFAc9cQcTEl/I60tMdz33G6m0O42s  
Qt/+AR3YCY/RusWVBJB/qNS94EtNtj8iaebCQW1jHAhvGmFILVR9lzD0EzWKHkvy  
WEjmUVRgCDd6Ne3eFRNS73gdv/C3l5boYySeu4exkEYVxVRn8DhCxs0MnkMHWFK6  
MyzXCCn+JnWFDYPfDKHvpff/kLDobtPBf+Lbch5wQy9quY27xaj0XwLyjOltpiST  
LWae/Q4vAgMBAAGjHTAbMAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqG  
SIb3DQEBDQUAA4ICAQC9fUL2sZPxIN2mD32VeNySTgZlCEdVmlq471o/bDMP4B8g  
nQesFRtXY2ZCjs50Jm73B2LViL9qlREmI6vE5IC8IsRBJSV4ce1WYxyXro5rmVg/  
k6a10rlsbK/eg//GHoJxDdXDOokLUSnxt7gk3QKpX6eCdh67p0PuWm/7WUJQxH2S  
DxsT9vB/iZriTIEe/ILoOQF0Aqp7AgNCcLcLAmbxXQkXYCCSB35Vp06u+eTWjG0/  
pyS5V14stGtw+fA0DJp5ZJV4eqJ5LqxMlYvEZ/qKTEdoCeaXv2QEmN6dVqjDoTAo  
k0t5u4YRXzEVCfXAC3ocplNdtCA72wjFJcSbfif4BSC8bDACTXtnPC7nD0VndZLp  
+RiNLeiENhk0oTC+UVdSc+n2nJOzkCK0vYu0Ads4JGIB7g8IB3z2t9ICmsWrgnhd  
NdcOe15BincrGA8avQ1cWXsfIKEjbrnEuEk9b5jel6NfHtPKoHc9mDpRdNPISeVa  
wDBM1mJChneHt59Nh8Gah74+TM1jBsw4fhJPvoc7Atcg740JErb904mZfkIEmojC  
VPhBHVQ9LHBAdM8qFI2kRK0IynOmAZhexlP/aT/kpEsEPyaZQlnBn3An1CRz8h0S  
PApL8PytggYKeQmRhl499+6jLxcZ2IegLfqq41dzIjwHwTMplg+1pKIOVojpWA==  
\-----END CERTIFICATE-----

請不要編輯任何其他內容。 按下「儲存 (Save)」。

3. 前往「VPN」 > 「OpenVPN」 > 「用戶端 (Clients)」 並按下 「新增 (+Add)」。

4. 請根據以下內容填寫欄位：

Disable this client：未選取
Server mode：Peer to Peer (SSL/TLS)
Protocol：UDP on IPv4 only（也可以使用 TCP）
Device mode：tun – Layer 3 Tunnel Mode
Interface：WAN
Local port：留白
Server host or address：推薦的伺服器主機名稱（本範例中為 de855.nordvpn.com）；
Server port：1194（如果使用 TCP 則填入 443）
Proxy host or address：留白
Proxy port：留白
Proxy Authentication：none
Description：任何喜愛的名字。 我們將使用 NordVPN。

使用者驗證設定 (USER AUTHENTICATION SETTINGS)：

Username：NordVPN 服務使用者名稱。
Password：NordVPN 服務密碼。

您只要前往Nord 帳戶儀表板，就能找到自己的 NordVPN 服務憑證（服務使用者名稱和服務密碼）

請按照以下步驟找到手動連線設定的服務憑證：

1. 登入Nord 帳戶，按一下**「NordVPN」，然後在 「手動設定」中點選「服務憑證」。在這裡可以找到手動連線必須用到的使用者名稱和密碼**。
   
   
   
   

Authentication Retry：保持未選取。

加密設定 (CRYPTOGRAPHIC SETTINGS)：

TLS Configuration：Use a TLS Key - 選取；Automatically generate a TLS key - 取消選取
TLS Key：

\-----BEGIN OpenVPN Static key V1-----  
e685bdaf659a25a200e2b9e39e51ff03  
0fc72cf1ce07232bd8b2be5e6c670143  
f51e937e670eee09d4f2ea5a6e4e6996  
5db852c275351b86fc4ca892d78ae002  
d6f70d029bd79c4d1c26cf14e9588033  
cf639f8a74809f29f72b9d58f9b8f5fe  
fc7938eade40e9fed6cb92184abb2cc1  
0eb1a296df243b251df0643d53724cdb  
5a92a1d6cb817804c4a9319b57d53be5  
80815bcfcb2df55018cc83fc43bc7ff8  
2d51f9b88364776ee9d12fc85cc7ea5b  
9741c4f598c485316db066d52db4540e  
212e1518a9bd4828219e24b20d88f598  
a196c9de96012090e333519ae18d3509  
9427e7b372d348d352dc4c85e18cd4b9  
3f8a56ddb2e64eb67adfc9b337157ff4  
\-----END OpenVPN Static key V1-----

TLS Key Usage Mode：TLS Authentication
TLS keydir direction：Use default direction
Peer certificate authority：NordVPN_CA
Peer Certificate Revocation list：不定義
Client certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use)（注意：每台裝置的編號可能會有差異）
Data Encryption Negotiation：選取
Data Encryption Algorithms：AES-256-GCM and AES-256-CBC
Fallback Data Encryption Algorithm：AES-256-CBC
Auth digest algorithm：SHA512 (512-bit)
Hardware Crypto：No Hardware Crypto Acceleration

通道設定 (TUNNEL SETTINGS)：

IPv4 tunnel network：留白
IPv6 tunnel network：留白
IPv4 remote network(s)：留白
IPv6 remote network(s)：留白
Limit outgoing bandwidth：留白
Allow Compression： Refuse any non-stub compression (Most Secure)
Topology：One IP address per client in a common subnet
Type-of-Service：未選取
Don’t pull routes：未選取
Don’t add/remove routes：選取

進階設定 (ADVANCED CONFIGURATION)：

自訂選項

tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;

UDP FAST I/O：未選取
Exit Notify：Disabled
Send/Receive Buffer：Default
Gateway creation：IPv4 only
Verbosity level：3 (recommended)

5. 前往「介面 (Interfaces)」 > 「介面指派 (Interface Assignments)」，然後「新增 (Add)」NordVPN 介面。

6. 按下指派介面左側的「OPT1」，並填入以下資訊：

Enable：選取
Description：NordVPN
Mac Address：留白
MTU：留白
MSS：留白

其他內容均不變更。 向下捲動至底部，並按下「儲存 (Save)」。

7. 前往「服務 (Services)」 -> 「DNS 解析器 (DNS Resolver)」 -> 「一般設定 (General Settings)」

Enable：選取
Listen port：保持原樣
Enable SSL/TLS Service：未選取
SSL/TLS Certificate：webConfigurator default (59f92214095d8) (Server: Yes, In Use)（注意：每台裝置的編號可能會有差異）；
SSL/TLS Listen Port：保持原樣
Network Interfaces：All
Outgoing Network Interfaces：NordVPN
System Domains Local Zone Type：Transparent
DNSSEC：未選取
Python Module：未選取
DNS Query Forwarding：Enable forwarding mode - 選取；Use SSL/TLS for outgoing DNS Queries to Forwarding Servers - 未選取
DHCP Registration：選取
Static DHCP：選取
OpenVPN Clients：未選取

按一下「儲存 (Save)」。

8. 在「DNS 解析器 (DNS Resolver)」中，選擇頂部的「進階設定 (Advanced Settings)」，並填入以下內容：

進階隱私選項 (ADVANCED PRIVACY OPTIONS)：

Hide Identity：選取
Hide Version：選取
Query Name Minimization：未選取
Strict Query Name Minimization：未選取

進階解析器選項 (ADVANCED RESOLVER OPTIONS)：

Prefetch Support：選取
Prefetch DNS Key Support：選取
Harden DNSSEC Data：未選取

其他內容均不變更。 向下捲動至底部，並按下「儲存 (Save)」。

9. 前往「防火牆 (Firewall)」 > 「網路位址轉譯 (NAT)」 > 「外送 (Outbound)」，並選擇「手動外送網路位址轉譯規則生成 (Manual Outbound NAT rule generation)」。 按下「儲存 (Save)」。 畫面上將出現六個規則。 刪除所有的IPv6規則，然後新增一個新規則。

9.1. Interface：NordVPN。
9.2.Address Family：IPv4
9.3.Source：區域網路子網路，例如：192.168.2.0/24。
9.4.按一下「儲存 (Save)」。 最後畫面應如下所示：

請注意，新建立的網路位址轉譯 (NAT) 規則必須位於頂部。

10. 前往「防火牆 (Firewall)」 > 「規則 (Rules)」 > 「區域網路 (LAN)」，然後刪除IPv6規則。 另外，請編輯IPv4規則。
10.1. 按下「顯示進階選項 (Display Advanced)」
10.2. 將「閘道 (Gateway)」變更為 NordVPN
10.3. 點選「儲存 (Save)」。現在看起來應如下所示：

11. 前往「System」 > 「General Setup」，並按照以下內容填寫欄位：

DNS Server 1：103.86.96.100; none
DNS Server 2：103.86.99.100; NordVPN_VPNV4 - opt1 - ...

其餘內容保持原樣。 按一下「儲存 (Save)」。

12. 現在前往「狀態 (Status)」 > 「OpenVPN」。 服務狀態 (Status) 應已顯示為已連線 (up)。

13. 您還可以在「Status」 > 「System Logs」 > 「OpenVPN」中查看連線日誌：

大功告成！pfsense VPN 設定完成，而您現在應該已成功建立VPN 連線。

設定完 VPN 後，如果 IP 並沒有改變，請嘗試重新啟動 pfSense 路由器，然後檢查 IP。