Suche

Herzlich Willkommen! Wenn Sie neu hier sind, werden Sie vielleicht Interesse an der RSS-Feeds auf der Veröffentlichung eines neuen Artikels informiert werden?

pfsense und OpenVPN für Road Warriors

Geschrieben von: Seb

sieben

Es ist relativ einfach, eine VPN-Verbindung mit pfsense schaffen, zum Beispiel mit OpenVPN die in die Software integriert ist. Sobald die Installation abgeschlossen ist und validiert pfsense folgen müssen mehrere Schritte, die später in diesem Artikel beschrieben. Dieser VPN konfiguriert ist, den Zugang zu mobilen Benutzern wie Vertriebsmitarbeiter haben Laptops und möchten eine Remote-Verbindung zu den internen Netzwerk sicher zu ermöglichen.

Das erste, was zu tun ist, herunterladen OpenVPN GUI und installieren (der folgenden beschreibt eine Installation unter Windows XP). Die Installation kann mit den Standard-Optionen (beachten Sie, dass es muss ein lokaler Administrator sein). Neben der Installation der Software selbst ist eine zusätzliche Netzwerk-Verbindung erstellt und es wird sie umzubenennen, zB VPN.

Öffnen Sie ein DOS-Konsole und gehen Sie zu C: \ Program Files \ OpenVPN \ easy-rsa geben Sie dann init-config. Dies schafft (oder ersetzen Sie die Dateien bereits vorhanden ist) und vars.bat openssl.cnf Dateien in diesem Verzeichnis befinden.

Bearbeiten Sie die Datei vars.bat, die Standardeinstellungen, die beim Erstellen der verschiedenen Verschlüsselungs-Schlüssel werden enthält. Parameter definieren KEY_COUNTRY, KEY_PROVINCE, KEY_CITY und KEY_ORG KEY_EMAIL (nicht leer lassen).

Im DOS-Fenster, Befehle ausführen, VARs, dann clean-all build-ca. Dies hat den Effekt der Laden der Standardeinstellungen, löschen Sie alle Dateien in den \ OpenVPN \ easy-rsa \ keys und erstellen Sie das CA-Zertifikat (Certificate Authority) ca.key. Die meisten angefragten Parameter wird bereits durch die Datei gefüllt werden und es wird vars.bat füllen Sie einfach in der Common Name, zum Beispiel mit VPN_CA.

Einmal erstellt CA generieren müssen die Verschlüsselungsschlüssel mit dem Server selbst verbunden. Um dies zu tun, noch in der DOS-Konsole, geben Sie den Befehl build-key-server server und lassen Sie die Standardeinstellungen. Für den Common Name Parameter, den Server eingeben. Beantworten Sie zwei Fragen gibt "Eintrag ins Zeugnis? "Und" 1 von 1 Certificate Requests zertifiziert, zu begehen? "Dies schafft die Dateien server.crt, server.key und server.csr in den \ OpenVPN \ easy-rsa \ keys.

Um den Schlüssel Generation System zu vervollständigen sind notwendig, geben Sie dann build-dh, wird dh1024.pem Datei erstellt.

Es bleibt zu Verschlüsselungsschlüssel für Kunden zu schaffen. Geben Sie den Befehl build-Taste und geben Sie VornameNachname Beispiel VornameNachname als Common Name. Seien Sie vorsichtig, um genau geben Sie den gleichen Namen wie der Befehl build-Taste gedrückt und verwenden Sie einen eindeutigen Namen für jeden Kunden. PrenomNom.crt Dateien und PrenomNom.csr PrenomNom.key erstellt werden, immer in \ OpenVPN \ easy-rsa \ keys.

Achtung all dieser Dateien sind sicher, geheim zu halten: ca.key, server.key, PrenomNom.key, Prenom2Nom2.key, etc..

In der Schnittstelle von pfSense auf VPN> OpenVPN klicken Sie dann auf das "+"-Symbol, um einen VPN-Tunnel hinzufügen. Hier sind die Parameter einzugeben:

Wählen Sie UDP
Dynamische IP-Kontrollkästchen, um dem Kunden ermöglichen, von jedem Ort der Welt zu verbinden
definieren einen lokalen Port (zB 1284)
definieren einen Pool von verschiedenen lokalen IP-Adressen aller lokalen Teilnetzen (zB 192.168.192.0/24 )
zeigen das lokale Netzwerk, auf den der Client-Workstations von VPN verbunden ist (z. B. 192.168.1.0/24 )
Wählen Sie BF-CBC (128 Bit) Verschlüsselungsverfahren, wie
PKI wählen Sie als Authentifizierungsmethode
kopieren und fügen Sie den Inhalt der Datei zwischen ca.crt - BEGIN CERTIFICATE - und - END CERTIFICATE - CA-Zertifikat auf dem Gebiet
kopieren und fügen Sie den Inhalt der Datei zwischen server.crt - BEGIN CERTIFICATE - und - END CERTIFICATE - in der Server-Zertifikat
kopieren und fügen Sie den Inhalt der Datei zwischen server.key - BEGIN CERTIFICATE - und - END CERTIFICATE - Schlüssel in der Server-
Kopieren und fügen Sie den Inhalt der Datei zwischen dh1024.pem - BEGIN CERTIFICATE - und - END CERTIFICATE - DH-Parameter im Bereich
überprüfen Sie die LZO-Kompression
Benutzerdefinierte Optionen im Feld geben Sie die Optionen, die den Kunden während der Verbindung Beispiel weitergegeben werden

push "dhcp-option domain corp.com" push "dhcp-option DNS 192.168.1.1"; push "dhcp-option WINS 192.168.1.1"

Dies hat den Effekt, die Definition der lokalen Domäne, die DNS-Server und WINS-Server standardmäßig aktiviert. Sie können auch eine Routing-Eintrag in ein anderes Subnetz mit dem Befehl "route 192.168.2.0 255.255.255.0" zum Beispiel.

Im Menü Firewall> Rules of pfsense, wählen Sie die Registerkarte WAN und klicken Sie auf das "+"-Symbol, um eine neue Regel hinzufügen, und geben Sie die folgenden Parameter:

Aktion: Pass
Interface: WAN
Protokoll: UDP
Quelle: Typ: beliebig
Reiseziel: Typ: beliebig
Destination-Port-Bereich: von (anderen) 1284 auf (andere) 1284 (vorsichtig, um die Port-Nummer eingeben oben definiert)
Gateway: Standard
Beschreibung: VPN

Dann klicken Sie auf Speichern und dann auf Anwenden.

Erstellen Sie eine Datei in VPN.ovpn \ OpenVPN \ easy-rsa \ Schlüssel, die Parameter für die Verbindung für den Kunden, vor allem der Router die IP und den Port zu verwenden, enthalten wird. Hier ist ein Beispiel-Datei ovpn:

schweben
Port 1284
dev tun
dev-node VPN
proto udp
Remote IP_du_Routeur 1284
Ping-10
persistieren-tun
persistieren-Key
TLS-Client
ca. ca.crt
cert PrenomNom.crt
Schlüssel PrenomNom.key
ns-cert-type server
Pullover
comp-lzo
Verb 4

Ändern Sie die Port-Einstellung für den Port zu verwenden, dev-Knoten auf den Namen der Netzwerkverbindung, basierend Fernbedienung je nach Router die externe IP und den Port zu benutzen und die cert und key Linien je nach Benutzer .
Die Installation auf dem Client ist sehr einfach und kann von den Nutzern ohne spezielle Schulung durchgeführt werden. Installieren Sie einfach den OpenVPN-Client GUI zu Beginn dieses Artikels heruntergeladen haben, installieren mit allen Standard-Optionen und benennen Sie die Verbindung durch den VPN-Installation erstellt. Es sollte dann bieten vier Dateien an den Client, um in der C abgeschieden werden: \ Program Files \ OpenVPN \ config: ca.crt NomPrenom.crt und NomPrenom.key VPN.ovpn. Wir müssen natürlich bieten namePrénom Dateien entsprechend der Benutzer auf einer individuellen Basis.

Zum Anschluss wird der Kunde nur noch direkt an der OpenVPN-Symbol im Infobereich klicken bar, klicken Sie dann auf Verbinden. Ein Fenster öffnet sich dann die Aufzeichnung der verschiedenen laufenden Betrieb und ermöglicht debuguage. Der Client kann dann Zugriff auf das lokale Netzwerk des Unternehmens sicher.

In Verbindung stehende Artikel

11 Kommentar (e) zu diesem Thema

Track this topic: Kommentare als RSS oder TrackBack-URL

raptor45 schrieb am 08.56.04 25-8-2009

Hallo,

Ich schaue auf Ihrer Website von Zeit zu Zeit. Und da, muss ich das Tutorial, das Sie getan haben, zur Einrichtung eines VPN-Servers mit OpenVPN pfsense zu setzen. Aber ich habe Probleme (ich bin BTS IG Netzwerk-Option und so begann ich). Also erstmal ich es geschafft, die Schritte auf dem Tutorial bis zum Ende folgen gegen durch, keine Verbindung herstellen. Ich konnte keine Lösung finden. Also habe ich deinstallieren und neu installieren, aber unmöglich, diesen Befehl zu übergeben: build-ca.bat! Ich bin dein Tutorial auf das Schreiben, aber sobald ich auf diesen Befehl bekommen, bekomme ich diese Fehlermeldung:

"Fehler in Zeile 117 des openssl.cnf
340: error: 0E065068: Konfigurationsdatei Routinen: STR_COPY: Variable hat keinen Wert. Cryptoconfconf_def.c: 629: Linie 117 "

-> Also ich verstehe, dass es keinen Wert für die Variable STR_COPY aber ich verstehe nicht warum und vor allem ich weiß nicht wie, damit es funktioniert!
-> Beachten Sie, dass ich das erste Mal installiert OpenVPN-2.0.9-gui-1.0.3-install.exe, es ohne Sorgen ging.

Das heißt, könnten Sie mir bitte helfen? Dies ist wichtig, weil es ein Thema, dass ich den Tag meiner Prüfung zu präsentieren. Vielen Dank im Voraus.

Wirklich danke Ihnen im Voraus.

Seb schrieb am 00.26.16 25-8-2009

Seltsam, ich habe nie begegnet irgendwelche Probleme mit dieser Installationsmethode. Bei dem Versuch, sauber deinstallieren (löschen Sie alle Dateien im Installationsverzeichnis, wenn die Deinstallation OpenVPN verlässt Dateien) und installieren openvpn-2.0.7-gui-1.0.3-install.exe das ist die Version, dass Ich habe für den Fall verwendet, es wäre ein Fehler in Ihrer Version sein. Dann wieder alle Installationsschritte.

Sobald dies geschehen ist, und wenn Sie immer den Fehler zu treffen, Copy / Paste hier der Abschnitt openssl.conf die an die Leitung durch den Fehler angegeben ist.

raptor45 schrieb am 08.51.04 26-8-2009

Vielen Dank für Ihre Antwort sowieso. Er lauscht ich gerade heruntergeladen, welche Version Sie haben mir angegeben. Ich werde es installieren. Möchten Sie uns bitte mit MSN zu diskutieren? Es würde mir helfen, sehr viel.

Vielen Dank im Voraus.

raptor45 schrieb am 09.09.18 26-8-2009

Also habe ich neu installieren nur die Version gezeigt, folgte ich dem Tutorial wie folgt:

- Init-config
- Wechseln Sie in den Hinweisen vars.bat Variablen KEY_COUNTRY etc. setzen ...
- Vars.bat
- Clean-all.bat
- Build-ca.bat

-> Gleiche Fehlermeldung

Hier ist die Konfigurationsdatei openssl.cnf Linie 117:

stateOrProvinceName_default = $ ENV :: KEY_PROVINCE

Variables vars.bat, habe ich wie folgt definiert:
KEY_COUNTRY = EN
KEY_PROVINCE = SO
KEY_CITY OR =
KEY_ORG = ST
KEY_EMAIL = monadressemail

Vielen Dank im Voraus. Da ich gerade geschrieben das oberste Sie vielleicht gelesen werde nicht, so habe ich dies: Würden Sie diskutieren, dass mit MSN bitte? Es würde mir helfen, sehr viel.

Vielen Dank im Voraus.

raptor45 schrieb am 26-8-2009 um 13.09.08

Re,

Ich endlich herausfinden, warum es mir diesen Fehler. Denn das Tutorial, so sagt man dies "vars.bat Bearbeiten Sie die Datei, die Standardeinstellungen, die beim Erstellen der verschiedenen Verschlüsselungs-Schlüssel werden enthält. Parameter definieren KEY_COUNTRY, KEY_PROVINCE, KEY_CITY und KEY_ORG KEY_EMAIL (nicht leer lassen). "Also was ich getan habe ist, dass ich die Bearbeitung der Datei direkt vars.bat Hand, um die Variablen ändern (wie in der Tat gezeigt!), Dann nahm ich die Datei und dann habe ich die folgenden Befehle ausgeführt zu wissen : vars.bat, clean-und Build-all.bat ca.bat. Dann war es nur, nachdem ich es hatte die ganze Zeit den Fehler. Ich erkannte, dass wir uns nicht berühren, sondern die Datei vars.bat Informationen ... Schlüsselvariablen, die beim Ausführen des Befehl build-ca.bat.

Was denken Sie?

Auf MSN, ich halte immer noch, wenn du nichts dagegen hast? Vielen Dank im Voraus für MSN, weil sie wirklich helfen mir sehr. Ich frage Sie nicht nach meinem "Leitfaden" 24U/24 natürlich sein! Es würde mir wirklich helfen, da ich sowieso einen Tutor Training haben! Aber diese eine, wenn auch schön, nicht zu viel für mich diese Art von Arbeit, damit ich dann ganz allein bin, um auf Dinge, die ich bin stecken zu verbringen, ist es nicht leicht. Ich weiß, es ist nicht dein Problem, aber es ist nicht das Problem. Dies ist nur ein Antrag auf MSN, das ist alles.

Ich erwarte Ihre Antwort. Vielen Dank im Voraus.

raptor45.

raptor45 schrieb am 26-8-2009 um 13.30.03

Also habe ich weiterhin das Tutorial zu folgen, und ich habe noch einen anderen Fehler! Auf Befehl build-key-server server Ich hatte keine Sorgen zu machen. Obwohl ich frage mich, ob zu verlassen oder legen Sie den Servernamen, um ihre? Zum Beispiel: build-key-server pfsense.local?

Dann wird der Fehler, dass ich, wenn ich nach dem Tutorial werde, nämlich zu tun:
build-key client1 (Ich weiß schon nicht sicher sind, was all die Kontrollen, damit ich ein wenig Mühe haben, ich meine, ich verstehe, dass es Schlüssel, Zertifikate generiert ... aber ich verstehe, warum CLIENT1 client2, client3; dies ist deshalb wollen wir bis 3-VPN-Clients anhängen ist das alles?). Also von build-key client1, füllte ich die erbetenen Auskünfte und kurz nach der Vollendung von "A challenge password" und "An optional company name" und "unterschreiben das Zertifikat" (Es gibt also legte ich 'y'), aber ich weiß nicht, nicht sicher, was es ist leider (wenn du könntest mir, es wäre schön sagen), habe ich immer Fehlermeldung, dass sie können es nicht und sagt mir dies:
"Fehler beim Aktualisieren der
TXT_DB Fehler Nummer 2
Kann nicht gefunden werden C:. \ Program Files \ OpenVPN \ easy-rsa \ keys \ * Alte "

Ich habe dann, indem Sie eine E-Mail-Adresse unterscheidet sich von dem Server generiert erneut getestet und es ging. Ist es deswegen?

Vielen Dank im Voraus für Ihre Antworten auf meine verschiedenen Beiträge. Tut mir leid, so viel zu schreiben!

Vor einer Weile und ich hoffe, ich danke Ihnen im Voraus.

raptor45.

raptor45 schrieb am 26-8-2009 um 01.34.34

Ich sehe auch das folgende Tutorial auf Common Name und dass es einmalig sein muss für jeden Client, dachte ich, es war Common Name für den Server-Namen, damit ich nicht zu viel da bin! Denn wenn ich build-key-server server tun an einer Stelle, auch verlangen, so habe ich es pfsense.local (dies ist der Name meiner pfSense Maschine, aber es passt nicht es in der Tat?)

Danke.

raptor45 schrieb am 26-8-2009 um 02.13.23

Entschieden, antworte ich und ich sing! lol.
Also habe ich es geschafft, verbinden! Endlich! lol Durch die Nachteile werde ich dankbar sein, bitte betrachte meine verschiedenen Positionen seit heute morgen freundlicherweise beantworten einige Fragen meiner stp.

Also ein anderes Anliegen, verbinde ich damit einverstanden sind. Aber was dann? Nachdem ich versucht, meine Remote-PC auf der LAN-Seite zu nehmen von der WAN-Seite PC aber es funktioniert nicht. Es sollte vielleicht etwas beiseite zu legen FireWall sein, oder? Ich denke schon, aber ich weiß nicht, was? Ich habe versucht, den Remote-PC über Remote Desktop Connection zu nehmen, wissend, dass es, wenn ich nicht auf VPN verbunden bin arbeitet, so ist es aus diesem Grund, dass ich sammeln muss er sicherlich ich eine Put- Regel in der Firewall pfSense aber ich habe bereits den TCP (dies kann auf dem Desktop auf die UDP-disance sein? Ich weiß es nicht).

Dann möchte ich sehen, dass die Daten durch diesen Tunnel verschlüsselt übertragen werden. Ich vermute, Sie haben zu wireshark benutzen? Aber ich weiß nicht, wie man es und wie verwenden, um "sezieren" die Ergebnisse Ich muss wissen, dass dies tatsächlich auch verschlüsselt werden. Kannst du mir bitte helfen? Ich will sehen, ob es auf der einen Seite verschlüsselt ist, mir zu sagen, was gut ist und es funktioniert mit der anderen Hand an die Jury am Tag der meine Prüfung (dh in 10 Monaten) zu demonstrieren.

Ich erwarte Ihre Antwort.

@ Just jetzt hoffe ich.

raptor45.

raptor45 schrieb am 28-8-2009 um 13.27.26

hallo,

Ich erwarte von Ihnen, wirklich.

ich danke Ihnen.

raptor45.

raptor45 schrieb am 2009.02.09 am 06.39.28

hallo,

Können Sie meine MSN-Adresse diese in den ersten Beitrag bitte?

Vielen Dank im Voraus.

raptor45.

Erstellen einer VPN-Verbindung auf einer anderen Leitung als WAN pfSense | Network Admin - Blog schrieb am 27-5-2010 um 13.33.43

[...] VPN auf einem sekundären Linie eines pfSense Router. Die Schöpfung selbst ist hier und hier detailliert je nachdem, ob Sie einen Anschluss zur Anbindung mobiler Anwender oder Tunnel [...] erstellen