Blog

Configurare una VPN tramite pfSense

Date 3 febbraio 2016 Author By Category HowTo, Linux, pfSense

Tramite l’ottima piattaforma pfSense è possibile anche abilitare una VPN in pochi semplici passi.

Si crea il certificato della CA, quindi si va su System, Cert Manager, CAs e si clicca su Add e si imposta ad esempio:

  • Description Name: Nome del certificato
  • Method: Create an internal Certificate Authority
  • Key length: 2048
  • Lifetime: 3650 days (10 anni)
  • Common Name: internal-ca

Poi serve creare il certificato del server, quindi si va su System, Cert Manager, Certificates e si clicca su Add impostando:

  • Method: Create an internal Certificate
  • Descriptive Name: Nome del certificato
  • Certificate Authority: Nome del certificato della CA
  • Key length: 2048
  • Certificate Type: Server Certificate
  • Lifetime: 3650 days (10 anni)
  • Common Name: nome firewall

Infine si passa a creare i certificati per gli utenti, questa volta si va su System, User Manager, Users e si creano le utenze selezionando anche l’opzione per la creazione del certificato:

  • Username: Nome dell’utente
  • Password: Password dell’utente (scritta due volte)
  • Expiration date: Data di scadenza dell’account, lasciare in bianco per nessuna scadenza
  • Certificate: Da selezionare per creare il certificato utente
    • Descriptine name: Nome del certificato
    • Certificate authority: Il certificato CA creato in precedenza
    • Key lenght: 2048
    • Lifetime: 3650 days (10 anni)

Ora che i certificat sono stati creati si procede alla configurazione del server VPN, in questo caso utilizzo OpenVPN, quindi VPN, OpenVPN, Server e cliccare su Add:

  • Server Mode: Remote Access (SSL/TSL)
  • Protocol: UDP
  • Device Mode: tun
  • Interface: any (interfaccia per il bind)
  • Local Port: 1194
  • Peer Certificate Authority: Il certificato CA
  • Server Certificate: Il certificato del server
  • DH Parameters Length: 1024 bits
  • Encryption algorithm: BF-CBC (128 bit)
  • Certificate Depth: One (Client+Server)
  • IPv4 Tunnel Network: Una subnet per il tunnel (diversa da quella della LAN)
  • IPv4 Local Network: Subnet della LAN
  • Compression: Enabled with Adaptive Compression
  • Inter Client communications: Si
  • Duplicate Connections: Si se volete che un certificato possa essere usato contemporaneamente da più utenti
  • Dynamic IP: Si
  • Address Pool: Si
  • DNS Default Domain: Si + dominio DNS
  • DNS Servers: Si + DNS Servers
  • Force DNS cache update: Si
  • NetBIOS Options: Si + b-node

Ora che anche il server VPN è configurato serve abilitare il firewall affinchè accetti le richieste UDP sulla porta configurata (1194).

Come ultimo passo serve esportare i file di configurazione e i certificati da fornire ai client, è possibile utilizzare un pacchetto interno a pfSense che semplifica le cose, occorre però installarlo.

Quindi System, Packages, Available Packages, cercare il pacchetto OpenVPN Client Export Utility ed installarlo.

Portarsi poi su VPN, OpenVPN, Client Export e scaricare il tutto dalla voce in basso Standard Configuration, Archive e importare il tutto sul client.

Se serve poter limitare l’accesso alla rete interna da parte degli utenti VPN si deve utilizzare l’opzione VPN, OpenVPN, Client Specific Override in associata a regole specifiche del firewall sul certificato.

Tag:, , ,