Guide

Creare una VPN Road Warrior (client-to-gateway) con PfSense e OpenVpn

In questo articolo si descrive come realizzare un server OpenVpn con autenticazione SSL/TLS + Auth
con PfSense Release 2.4.3.p1.

Creare 3 certificati

Certificato CA: System –> Cert.Manager premiano il pulsante verde “ADD” in basso per creare il certificato CA e compiliamo i campi come mostrato in figura:

pfsense1

Method: Create an Internal Certificate Authority
Key Length: 2048
Digest Algorithm: sha256
Lifetime: 3650
Country Code: IT
State or Province:  <Provincia>
City: <Città>
Organization:<Azienda>
Email Address: <email> – la vostra email
Common Name: <opzionale>

Cliccare su Save.

Certificato per il server: System –> Cert.Manager à certificates, cliccare anche qui sul pulsante verde Add, la videata è la stessa della precedente ma seguite questa linee guida riportate su questa immagine:

pfsense2

Certificato utente: come sopra ma selezionare Client certificate al posto di server.
VPN–>Openvon–>Wizard: nella prima maschera che appare selezionate local user access

pfsense3

Cliccare su “Next

Selezionare il certificato CA creato, cliccare “Next” selezionare il certificato server, cliccare “Next” selezionare l’interfaccia WAN, il protocollo UDP (o TCP) e la porta 1194 (questa è quella di default ma potete mettere quella che preferite), e in ultimo una descrizione del server.

pfsense4

Cliccare su fine e andare avanti: per la configurazione del server vi lasciamo alle immagini seguenti.

pfsense5
pfsense6

IPv4 Tunnel network: la rete virtuale che userà OpenVPN. IPv4 local network: la rete LAN del firewall ad esempio “192.168.0.0/24”. Potete cliccare, se volete, su force all client generated trafic throught the tunnel. Lasciate tutto di default come nelle immagini che seguono e poi salvate tutto.

pfsense7
pfsense8

Per esportare l’utente: VPN –> Openvpn –> client export

Nella finestra Nome host dovrai inserire l’IP pubblico della WAN; scendendo, apparirà l’elenco degli utenti creati con un certificato valido. Premendo i pulsanti blu ci permetterà di scaricare l’applicazione più adatta per il nostro dispositivo.

pfsense9

Per esportare i certificati utente, consigliamo di installare openvpn-client-export da System –> package Manager e selezioniamo Available package.

Per creare l’utente: System —> User Manager creare l’utente inserendo i valori per nome, una password, full name, cliccare la spunta su certifacte per creare il certificato per l’utente, in certificate autority, selezionate il certificato CA.

E’ possibile creare un gruppo chiamato VpnUsers e poi confinare tutti gli utenti vpn in esso.

pfsense10

Non dimenticare di:

  • Aprire la porta sulla rete WAN
  • Enable traffic on the OpenVPN interface
pfsense11
  ti posso interessare anche