Guide

OPNsense: come creare una VPN Road Warrior (client-to-gateway) con OpenVPN

Cosa vedremo in questa guida:

In questa guida si descrive come realizzare un server OpenVpn con autenticazione SSL/TLS + Auth con OPNsense 19.7 .

Attraverso il Vs. firewall OPNSense potete permettere ad un vostro dispositivo, un PC uno smartphone un tablet un notebook o un MAC, di collegarsi al vostro ufficio da remoto; sarà sufficiente poter accedere ad Internet dal Vs dispositivo e tramite la VPN che andremo a configurare sarà come avere il dispositivo collegato alla vostra rete LAN in modo sicuro e crittografato.

I tre passi fondamentali saranno:

  1. Creare il “server” OpenVPN
  2. Creare gli utenti, uno per ogni dispositivo/utente che si vorrà collegare alla Vs LAN remota.
  3. Scaricare i file necessari a configurare il vostro client OpenVPN sul Vs. dispositivo (link)

Per chi fosse interessato, abbiamo postato un video sul nostro canale youtube dove mostriamo come fare la configurazione:

Hardware e Software utilizzato:

Applicabile da OPNsense 19.X in avanti.

Occorre disporre di una installazione funzionante

Tutti i nostri hardware sono compatibili con questa guida: https://www.miniserver.it/firewall.html

Creare il Server OpenVPN

Per prima cosa creiamo il server OpenVpn, selezioniamo dal menu VPN -> OpenVPN -> Server .

Da qui clicchiamo sul pulsante “Use a wizard to setup a new server“.

VPN road Warrior

Per prima cosa ci viene chiesto dove cercare gli utenti che si autenticheranno sul Server VPN. Nel nostro esempio utilizzeremo gli utenti locali al Firewall, quindi selezioniamo “Local User Access” e clicchiamo “Next” .

VPN road Warrior

Quindi ci verrà chiesto di selezionare una CA. Se abbiamo già configurato una CA possiamo scegliere quella che vogliamo dal menu a tendina, ma se non ne esiste ancora, dobbiamo crearne una cliccando su Add new CA.

VPN road Warrior

Compiliamo tutti i campi, non è necessario essere precisi, dobbiamo solo rispettare il formato corretto. In particolare, nel campo email, inseriamo un indirizzo di email sintatticamente corretto, ma non è necessario che esista realmente. Quindi clicchiamo Next .

VPN road Warrior

A questo punto dobbiamo creare il certificato del Server OpenVPN, senza esitazione clicchiamo su “Add new Certificate”

VPN road Warrior

Inserite il nome del certificato, per esempio rw2, oppure rw2cert lasciate il resto invariato (precompilato dalle scelte fatte durante la creazione della CA) e cliccate Next .

VPN road Warrior

Dal menu interface, sconsiglio di selezionare l’interfaccia esterna, nella maggior parte dei casi la “WAN”. Se avete piu’ WAN selezionate any. Protocollo selezionate UDP, la porta di default è la 1194, modificabile a vostro piacimento. In description inserite una breve descrizione.

VPN road Warrior

Potete Lasciare tutto il resto con il default.

Importante invece è configurare correttamente le network. La IPv4 Tunnel Network dovrà essere una rete dedicata alla VPN, pertanto non dovrà andare in conflitto (quindi essere diversa) con qualunque altra rete coinvolta nel firewall. Pertanto scegliete una rete diversa da tutte quelle che utilizzate. In questo esempio abbiamo usato 10.10.94.0/24 (usare solo il formato CIDR: indirizzo- di- rete/mask).

VPN road Warrior

Selezionate entrambi i checkBox per creare tutte le regole necessarie a far funzionare la VPN. Tali regole possono essere modificate e personalizzate in un secondo momento, infatti sono normalissime regole del firewall OPNSense.

VPN road Warrior

Una volta cliccato su Next e quindi fine abbiamo finito di creare il Server OpenVPN.

VPN road Warrior

Creare gli utenti

A questo possiamo creare tutti gli utenti di cui abbiamo bisogno. In questa guida ne creeremo uno solo, ma la procedura vale per tutti gli utenti che desideriamo.

Posizioniamoci su : System -> Access -> Users

VPN road Warrior

Clicchiamo su “+Add” e inseriamo il nome dell’utente e la password (ripetuta due volte)

A questo punto, sempre in questa pagina, ricordiamoci di selezionare il flag “Certificate”, altrimenti la VPN non funzionerà

VPN road Warrior

Dopo aver inserito user password ed aver fleggato il campo Certificate, cliccate su “Save“, così facendo OPNSense Vi farà creare un certificato per il vostro utente.

VPN road Warrior

Nel campo Descriptive name inserite un nome. Per esempio rw1 oppure rw1-mycert, se vi aggrada lasciate il resto immodificato e cliccate su “Save“.

VPN road Warrior

In questo modo verrà creato il certificato associato al vostro utente e tornerete alla visualizzazione. Sotto User Certificate potete vedere la riga relativa al certificato appena creato. Cliccate su “Save” e avete finito.

VPN road Warrior

La configurazione del Firewall è conclusa. Ora bisogna esportare i file di configurazione da dare in pasto al client OpenVPN che installerete sul vostro dispositivo.

Scaricare files necessari a configurare il client OpenVPN

Per scaricare i file di configurazione con i certificati, andate su VPN -> OpenVPN -> Client Export.

Dal menu a tendina selezionate il server OpenVPN desiderato; nel nostro esempio ce ne sarà uno solo e quindi non c’è nulla da scegliere.

Export type: selezionate “archive” se dovete configurare un PC o notebook Microsoft (come nella maggior parte dei casi), oppure“File Only” se dovete configurare uno smartphone, oppure i file per programmi specifici.

La porta deve essere quella scelta nel server OpenVpn, nel nostro esempio 1194.

Attenzione, “hostname” deve sempre essere l’IP pubblico con cui e’ configurata la vostra connessione Internet, sia che

  1. OpnSense abbia tale IP configurato sulla WAN,
  2. OpnSense abbia un IP privato ed un gateway che punta verso il router del vostro fornitore Internet.

Nel secondo caso sarà fondamentale richiedere un port forwarding delle porta 1194 versao l’IP della WAN del vostro OpnSense.

VPN road Warrior

A questo punto in basso troverete l’elenco degli utenti che avete configurato e sulla parte destra della corrispondente riga, trovate l’icona di download. Cliccateci sopra e scaricate il file.

Abbiamo finito, non vi rimane che installare OpenVPN e dare in pasto al vostro ClientOpenVpn i file appena scaricati. Per fare ciò potete seguire la nostra guida:

Per PC: https://www.firewallhardware.it/pfsense-e-openvpn-configurazione-su-pc-windows/

Per MAC: https://www.firewallhardware.it/pfsense-e-openvpn-configurare-il-nostro-apple-mac-con-tunnelblick/

Per iPhone: https://www.firewallhardware.it/pfsense-configurazione-openvpn-su-apple-iphone-tablet-e-ios/

  ti posso interessare anche