これは、ソフトウェアに組み込まれているOpenVPNの使用例については、pfsenseとのVPN接続を作成することは比較的簡単です。 一度インストールが完了し、pfsenseこの記事の後半で詳述されているいくつかの手順に従っている必要がありますが検証されます。 このVPNはこのような販売の人々がラップトップを持っており、安全に社内ネットワークにリモート接続するなど、モバイルユーザーへのアクセスを許可するように設定されています。
まず最初に行うにはダウンロードでOpenVPNのGUIとインストールを(以下はWindows XP上でインストールする方法について説明します)。 インストールは、(それがローカル管理者でなければならないことに注意してください)デフォルトのオプションを使用して実行することができます。 ソフトウェア自体のインストールに加えて、追加のネットワーク接続が作成され、それは例えば、VPNの名前を変更します。
DOSコンソールを開き、Cに移動:\プログラムファイル\ OpenVPNの\ easy-rsaを入力し、INIT-configを。 これは、作成(またはファイルがすでに存在して置き換える)と、そのディレクトリにあるvars.bat openssl.cnfをファイルになります。
異なる暗号化キーを作成するときに使用されるデフォルト設定を含むファイルvars.batを編集します。 パラメータKEY_COUNTRY、KEY_PROVINCE、KEY_CITY、とKEY_ORG KEY_EMAIL(空白のままにしないでください)を定義します。
DOSウィンドウで、[コマンドのvars、クリーンアップすべてのビルド-CAを実行します。 これは、デフォルト設定をロードする効果があり、\ OpenVPNの\ easy-rsaを\キーですべてのファイルを削除してCA証明書(認証局)ca.keyを作成します。 最もリクエストのパラメータが既にファイルを介して入力され、それだけでVPN_CAと、例えば、コモンネームに記入してくださいvars.batます。
一度作成したCAは、サーバー自体に関連付けられている暗号化キーを生成する必要があります。 これを行うには、まだDOSコンソールで、コマンドのビルドキー·サーバーのサーバーを入力し、デフォルト値のままにします。 Common Nameのパラメータについては、サーバーを入力します。 "証明書をそこにサインイン2つの質問に答える? "と"認定1証明書の要求のうち1つの、コミット? "これは\ OpenVPNの\ easy-rsaを\キーでファイルserver.crtを、server.keyとserver.csrを作成します。
型ビルド-DH、その後に必要な鍵の生成システムを完了するには、dh1024.pemファイルが作成されます。
それは顧客のために暗号化キーを作成するために残ります。 コマンドのビルドキーを入力して、共通名としてFirstNameLastName例FirstNameLastNameを入力してください。 コマンドのビルド·キーとまったく同じ名前を入力して、顧客ごとに一意の名前を使用するように注意してください。 PrenomNom.crtファイル、およびPrenomNom.csr PrenomNom.keyは\ OpenVPNの\ easy-rsaを\キーで、常に作成されます。
すべてのこれらのファイルの注意が機密性を保持する特定のは次のとおりです。ca.keyは、server.key、PrenomNom.key、Prenom2Nom2.keyなど。
pfsenseのインターフェースで、[VPN]> [OpenVPNは、VPNトンネルを追加するには、 "+"アイコンをクリックします。 ここで入力するパラメータは次のとおりです。
- 選択してUDP
- クライアントは、世界中のどこからでも接続できるように、動的IP]チェックボックスをオン
- ローカルポート(例えば1284)を定義
- すべてのローカルサブネットの別のローカルIPアドレスのプール(例えば、定義192.168.192.0/24を )
- VPNで接続されているクライアントワークステーションからアクセス可能なローカルネットワーク(例えば192.168.1.0/24を示す)
- BF-CBC(128ビット)暗号化の方法として選択する
- 認証方式としてPKIを選択する
- 間のファイルca.crtの内容をコピーして貼り付け - 証明書をBEGIN - と - END CERTIFICATE - CA証明書のフィールドに
- 間のファイルserver.crtをの内容をコピーして貼り付け - 証明書をBEGIN - と - END証明書を - サーバ証明書の
- 間のファイルのserver.keyの内容をコピーして貼り付け - 証明書をBEGIN - と - END証明書 - サーバーの鍵
- CERTIFICATEをBEGIN - - と - END証明書 - DHパラメータ]フィールドにファイルの内容の間にdh1024.pemをコピーして貼り付ける
- LZO圧縮をチェックする
- ボックスにカスタムオプションの接続例中に顧客に渡すオプションを入力する
"DHCPオプションでDOMAIN corp.com"プッシュ "は、DHCPオプションのDNS 192.168.1.1"プッシュ、プッシュ "は、DHCPオプションは、192.168.1.1を" WINS
これは、ローカルドメイン、DNSサーバを定義する効果があり、デフォルトでWINSサーバー。 また、例えばコマンド "ルート192.168.2.0 255.255.255.0"と別のサブネットへのルーティングエントリを追加することができます。
ファイアウォールのメニューでpfsenseの>ルールは、WAN]タブを選択し、[新しいルールを追加し、次のパラメータを入力する "+"アイコンをクリックします。
- アクション:パス
- インターフェース:WAN
- プロトコル:UDP
- ソース:タイプ:すべての
- 目的地:タイプ:すべての
- 宛先ポートの範囲:(その他)1284年から(その他)1284(上記で定義したポート番号を入力するように注意してください)まで
- ゲートウェイ:デフォルト
- 説明:VPN
[保存]をクリックし、次に適用して下さい。
特にクライアントの接続パラメータが含まれていますVPN.ovpn \ OpenVPNの\ easy-rsaを\キー、使用するルータのIPアドレスとポート番号でファイルを作成します。 ここにサンプルファイルovpnは、次のとおりです。
フロート
ポート1284
dev tunの
DEV-VPNノード
プロトudpの
リモートIP_du_Routeur 1284
pingの10
続く-TUN
続くキー
TLS-クライアント
CA ca.crt
CERT PrenomNom.crt
キーPrenomNom.key
NS-CERT型サーバ
セーター
COMP-LZO
動詞4
使用するポートに応じてポートの設定を変更し、ネットワーク接続の名前に基づいて、DEV-ノード、リモートルータの外部IPアドレスとポートを使用し、ユーザーに応じて証明書とキー行に応じて 。
クライアントのインストールは極めて簡単で、特別な訓練なしでユーザーが実行することができます。 単に、この資料の冒頭にダウンロードOpenVPNクライアントのGUIをインストールするすべてのデフォルトオプションでインストールして、VPNのインストールによって作成された接続の名前を変更します。 \プログラムファイル\ OpenVPNの\ CONFIG:ca.crt NomPrenom.crt、とNomPrenom.key VPN.ovpnそれから、Cで堆積されてからクライアントに四つのファイルを提供する必要があります。 我々はもちろん、個別にユーザーに対応するnamePrénomファイルを提供する必要があります。
顧客のみが通知バーでのOpenVPNアイコンを右をクリックする必要があります接続するには、[接続]をクリックします。 ウィンドウには、様々な進行中の操作を記録しdebuguageを可能にして開きます。 次に、クライアントは会社のローカルネットワークに安全にアクセスできます。
タグ: OpenVPNは 、 pfSense 、 VPN
