Søk

Velkommen! Hvis du er ny her, kanskje du vil være interessert i RSS-strømmen til å bli informert om utgivelsen av en ny artikkel?

pfsense og OpenVPN for vei krigere

Skrevet av: Seb

syv

Det er relativt enkelt å lage en VPN forbindelse med pfsense, for eksempel med OpenVPN som er bygget inn i programvaren. Når installasjonen er ferdig og validert pfsense må følge flere trinn som er beskrevet senere i denne artikkelen. Dette VPN er konfigurert til å tillate tilgang til mobile brukere som selgere har bærbare datamaskiner og ønsker å koble eksternt til selskapets interne nettverk sikkert.

Det første du må gjøre er å laste ned OpenVPN GUI og installasjon (det følgende beskrives en installasjon på Windows XP). Installasjonen kan utføres ved hjelp standardvalgene (Merk at det må være en lokal administrator). I tillegg til å installere selve programvaren, er en ekstra nettverkstilkobling opprettes og det vil gi det nytt navn, f.eks VPN.

Åpne et DOS-konsoll og gå til C: \ Programfiler \ OpenVPN \ enkel RSA skriv init-config. Dette vil opprette (eller erstatte de filene som allerede eksisterer) og vars.bat openssl.cnf filer i den aktuelle katalogen.

Rediger filen vars.bat som inneholder standardinnstillingene som vil bli benyttet ved oppretting av de forskjellige krypteringsnøkler. Definer parametere KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, og KEY_ORG KEY_EMAIL (forlater ikke blank).

I DOS-vinduet, kjøre kommandoer Vars, da clean-all build-ca. Dette har effekten av lasting standardinnstillingene, slette alle filene i mappen \ OpenVPN \ enkel RSA \ nøkler og opprette CA sertifikat (Certificate Authority) ca.key. Mest etterspurte parametre vil allerede være fylt gjennom filen og den vil vars.bat bare fylle inn Common Name, for eksempel med VPN_CA.

Når den er laget CA må generere krypteringsnøkler knyttet til selve serveren. For å gjøre dette, fremdeles i DOS konsollen, skriv kommandoen bygge-key-server server og la standardinnstillingene. For Common Name parameteren, skriver server. Besvare to spørsmål i det "Signer sertifikat? "Og" en ut av en sertifikatforespørsler sertifisert, begår? "Dette skaper filer server.crt, server.key og server.csr i \ OpenVPN \ enkel RSA \ nøkler.

For å fullføre nøkkelen generasjon systemet er nødvendig, deretter skriver du build-dh, er dh1024.pem fil opprettet.

Det gjenstår å lage krypteringsnøkler for kundene. Skriv inn kommandoen bygge-og tast FirstNameLastName eksempel FirstNameLastName som Common Name. Vær nøye med å skrive nøyaktig det samme navnet som kommando bygge-tasten og bruke et unikt navn for hver kunde. PrenomNom.crt filer, og PrenomNom.csr PrenomNom.key skapes, alltid i \ OpenVPN \ enkel RSA \ nøkler.

Oppmerksomhet av alle disse filene er sikker på å holde konfidensiell: ca.key, server.key, PrenomNom.key, Prenom2Nom2.key, etc..

I grenselandet mellom pfsense, klikker VPN> OpenVPN klikk på "+"-ikonet for å legge en VPN tunnel. Her er de parametere å gå inn:

Velg UDP
Dynamisk IP boksen for å aktivere klienten til å koble fra hvor som helst i verden
definere en lokal port (f.eks 1284)
definere en pool av forskjellige lokale IP av alle lokale subnett (f.eks 192.168.192.0/24 )
indikere det lokale nettverket som er tilgjengelig til klientarbeidsstasjonene koblet i VPN (f.eks 192.168.1.0/24 )
velge BF-CBC (128 bit) kryptering metode som
velge PKI som en autentiseringsmetode
kopiere og lime inn innholdet i filen ca.crt mellom - BEGIN CERTIFICATE - og - END CERTIFICATE - CA-sertifikatet i feltet
kopiere og lime inn innholdet i filen server.crt mellom - BEGIN CERTIFICATE - og - END CERTIFICATE - i Server Certificate
kopiere og lime inn innholdet i filen server.key mellom - BEGIN CERTIFICATE - og - END CERTIFICATE - nøkkelen i Server
kopiere og lime inn filen innholdet dh1024.pem mellom - BEGIN CERTIFICATE - og - END CERTIFICATE - DH parametre i feltet
sjekk LZO komprimering
Egendefinerte alternativer i boks for å angi alternativene som skal sendes til kundene under tilkoblingen eksemplet

push "dhcp-alternativet DOMENE corp.com" push "dhcp-alternativet DNS 192.168.1.1"; push "dhcp-alternativet WINS 192.168.1.1"

Dette har effekten av å definere det lokale domenet, DNS server og WINS server som standard. Du kan også legge til en ruting oppføring til et annet subnett med kommandoen "rute 192.168.2.0 255.255.255.0" for eksempel.

I Brannmur-menyen> Rules of pfsense, velger WAN fanen og klikk på "+"-ikonet for å legge til en ny regel og skriv inn følgende parametere:

Handling: Pass
Grensesnitt: WAN
Protokoll: UDP
Kilde: Type: alle
Destinasjon: Type: alle
Destinasjon portområde: fra (andre) 1284 til (andre) 1284 (forsiktig med å angi portnummeret definert ovenfor)
Gateway: default
Beskrivelse: VPN

Deretter klikker du Lagre og deretter Bruk.

Lag en fil i VPN.ovpn \ OpenVPN \ enkel RSA \ nøkler som skal inneholde tilkoblingsparametere for kunden, særlig ruterens IP og port å bruke. Her er et eksempel fil ovpn:

flyte
port 1284
dev tun
dev-node VPN
proto udp
ekstern IP_du_Routeur 1284
ping 10
vedvare-tun
vedvare-nøkkel
TLS-klient
ca ca.crt
cert PrenomNom.crt
nøkkel PrenomNom.key
ns-cert-type server
genser
comp-LZO
Verb 4

Endre portinnstillingen i henhold til porten som skal brukes, dev-node basert på navnet på nettverkstilkoblingen, ekstern avhengig av ruterens eksterne IP og port for å bruke og CERT og nøkkel linjer avhengig av brukerens .
Installasjonen på klienten er svært enkel og kan utføres av brukere uten spesiell trening. Bare installere OpenVPN klient GUI ned i begynnelsen av denne artikkelen, installere med alle standardvalg og deretter endre navn på forbindelsen opprettet av VPN installasjonen. Det bør da gi fire filer til kunden som skal deponeres i C: \ Programfiler \ OpenVPN \ config: ca.crt NomPrenom.crt, og NomPrenom.key VPN.ovpn. Vi må selvfølgelig gi namePrénom filer som tilsvarer brukeren på en individuell basis.

For å koble kunden trenger bare å høyreklikke på OpenVPN-ikonet i systemstatusfeltet, og deretter klikker Koble til. Et vindu åpnes deretter registrere de ulike løpende drift og tillater debuguage. Klienten kan deretter få tilgang til lokale nettverk av selskapet sikkert.

Relaterte artikler

11 kommentar (er) på dette emnet

Spor dette emnet: Kommentarer RSS eller TrackBack URL

raptor45 skrev 25-8-2009 08:56:04

Hei,

Jeg ser på nettstedet ditt fra tid til annen. Og der, jeg trenger den opplæringen som du har gjort for å sette opp en VPN server med pfsense å sette OpenVPN. Men jeg har problemer med (jeg er BTS IG nettverk alternativet så jeg startet). Så første jeg klarte å følge trinnene på opplæringen din til slutten mot ved, klarer å koble. Jeg kunne ikke finne løsningen. Så jeg avinstallere og installere, men umulig å passere denne kommandoen: bygge-ca.bat! Jeg er din tutorial til brevet, men når jeg får til i denne kommandoen, får jeg denne feilen:

"Feil på linje 117 av openssl.cnf
340: error: 0E065068: konfigurasjon fil rutiner: STR_COPY: Variabel har ingen verdi:. Cryptoconfconf_def.c: 629: linje 117 "

-> Så jeg forstår at det ikke er noen verdi for variabel STR_COPY men jeg forstår ikke hvorfor, og spesielt jeg vet ikke hvordan å gjøre det arbeidet!
-> Merk at første gang jeg installerte OpenVPN-2.0.9-gui-1.0.3-install.exe, gikk det uten bekymringer.

Det er, kan du hjelpe meg please? Dette er viktig fordi det er et tema som jeg vil presentere den dagen eksamen min. Takk på forhånd.

Virkelig takk på forhånd.

Seb skrev 25-8-2009 12:26:16

Rart, jeg har aldri støtt på noen problemer med denne installasjonen metoden. Mens du prøver å rent avinstallere (slette alle filer i installasjonen katalogen dersom avinstalleringen OpenVPN forlater filer) og installere OpenVPN-2.0.7-gui-1.0.3-install.exe som er den versjonen som Jeg har brukt i tilfelle det ville være en bug i din versjon. Da gjenoppta alle installeringstrinnene.

Når dette er gjort, og hvis du møter alltid feilen, kopier / lim her den delen av openssl.conf som er til linjen angitt av feilen.

raptor45 skrev 26-8-2009 08:51:04

Takk for svaret ditt uansett. Lytter jeg nettopp lastet ned den versjonen du ga meg indikert. Jeg vil installere det. Vil du at vi skal diskutere med MSN please? Det ville hjelpe meg veldig mye.

Takk på forhånd.

raptor45 skrev 26-8-2009 09:09:18

Så jeg bare installere den versjonen som vises, fulgte jeg veiledningen som følger:

- Init-config
- Bytt til sette sporene vars.bat variablene KEY_COUNTRY osv. ...
- Vars.bat
- Clean-all.bat
- Build-ca.bat

-> Samme feil

Her er konfigurasjonsfilen openssl.cnf linje 117:

stateOrProvinceName_default = $ ENV :: KEY_PROVINCE

Variabler vars.bat, har jeg definert slik:
KEY_COUNTRY = EN
KEY_PROVINCE = SO
KEY_CITY OR =
KEY_ORG = ST
KEY_EMAIL = monadressemail

Takk på forhånd. Siden jeg nettopp postet den øverste du leser kanskje ikke, så jeg satte dette: Vil du diskutere det med MSN please? Det ville hjelpe meg veldig mye.

Takk på forhånd.

raptor45 skrev på 26-8-2009 på 13:09:08

Re,

Jeg endelig finne ut hvorfor det ga meg denne feilen. Faktisk opplæringen, er det sagt dette "vars.bat Rediger filen som inneholder standardinnstillingene som vil bli benyttet ved oppretting av de forskjellige krypteringsnøkler. Definer parametere KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, og KEY_ORG KEY_EMAIL (forlater ikke blank). "Så det jeg gjorde er at jeg ble redigere filen direkte vars.bat hånd å endre variablene (som vist faktisk!), Så jeg spilte inn filen og da jeg henrettet følgende kommandoer for å vite : vars.bat, ren-all.bat og bygge-ca.bat. Da var det bare etter at jeg hadde det hele tiden feilen. Jeg innså at vi ikke må ta på filen, men vars.bat informasjon ... viktigste variablene som når du kjører build kommando-ca.bat.

Hva tror du?

På MSN, jeg fortsatt holder hvis du ikke tankene? Takk på forhånd for MSN fordi det virkelig hjelpe meg mye. Jeg ber deg ikke til å være min "guide" 24h/24 selvfølgelig! Det ville virkelig hjelpe meg likevel fordi jeg har en veileder kurs! Men dette, men hyggelig, ikke bryr seg for mye for meg denne type arbeid, så jeg er helt alene da å bruke på ting som jeg står fast, er det ikke lett. Jeg vet det er ikke ditt problem, men det er ikke problemet. Dette er bare en forespørsel for MSN, det er alt.

Jeg venter på svar. Takk på forhånd.

raptor45.

raptor45 skrev på 26-8-2009 på 13:30:03

Så jeg fortsetter å følge opplæringen, og jeg har fortsatt en feil! Ved kommandoen bygge-key-server server jeg ikke trenger å bekymre deg. Selv om jeg lurer på om å forlate eller sette serveren navnet hennes? For eksempel: Build-key-server pfsense.local?

Så feil at jeg gjør når jeg følger veiledningen, nemlig:
bygge-tast client1 (jeg allerede vet er ikke sikker på hva alle kontrollene så jeg har litt problemer, mener jeg jeg forstår at det genererer nøkler, sertifikater ... men jeg forstår hvorfor client1, client2, client3; dette er så vi ønsker å legge 3 VPN-klienter er at all?). Så ved å bygge nøkkel client1, fylte jeg ønsket informasjon, og like etter fullført "en utfordring passord" og "en valgfri firmanavnet" og "signere sertifikatet" (Så det jeg satte 'y'), men jeg vet ikke ikke sikker på hva det er dessverre (om du kunne fortelle meg det ville være fint), jeg alltid feilmelding som sier det kan ikke gjøre det og forteller meg dette:
"Kan ikke oppdatere databasen
TXT_DB feil nummer to
Kan ikke finne C:. \ Programfiler \ OpenVPN \ enkel RSA \ nøkler \ * Gammel "

Jeg så re-testet ved å sette en e-postadresse forskjellig fra det som genereres av serveren og den passerte. Er det på grunn av det?

Takk på forhånd for svar mine ulike innleggene. Beklager å poste så mye!

En stund siden jeg håper og takker på forhånd.

raptor45.

raptor45 skrev på 26-8-2009 på 13:34:34

Jeg ser også følgende opplæringen på Common Name og at det må være unik for hver klient, trodde jeg det var vanlig navn på serveren navnet så jeg er ikke altfor mye der! Fordi når jeg bygge-key-server server på et sted som også krever det så jeg satte pfsense.local (dette er navnet på mitt pfsense maskin, men det passer ikke det faktisk?)

Takk.

raptor45 skrev på 26-8-2009 på 14:13:23

Desidert, jeg synger og jeg svarer! lol.
Så jeg klarte å koble til! Endelig! lol Av cons vil jeg være takknemlig for vennlig vurdere mine ulike stillinger siden i morges å vennligst svare på noen spørsmål om min stp.

Så en annen bekymring, kobler jeg enig det. Men hva så? Etter at jeg prøvde å ta mitt ekstern PC på LAN siden fra WAN siden PC, men det gjør ikke. Det bør kanskje være noe å sette brannmur, ikke sant? Jeg tror det, men jeg vet ikke hva? Jeg prøvde å ta ekstern PC via Remote Desktop Connection, vet at det fungerer når jeg ikke er koblet til VPN, så det er av denne grunn at jeg samler han må sikkert jeg sette en regel i brannmuren pfsense men jeg har allerede satt tcp (dette kan være på skrivebordet til UDP disance? jeg vet ikke).

Så jeg vil se at dataene overføres via denne tunnelen er kryptert. Jeg antar du må bruke Wireshark? Men jeg vet ikke hvordan den skal brukes og hvordan å "dissekere" resultatene jeg må vite at dette faktisk er godt kryptert. Kan du hjelpe meg please? Jeg vil se om det er kryptert på den ene hånden for å fortelle meg hva som er god og det fungerer den andre hånden for å demonstrere for juryen på dagen for eksamen min (dvs. i 10 måneder).

Jeg venter svarene dine.

@ Akkurat nå håper jeg.

raptor45.

raptor45 skrev på 28-8-2009 på 13:27:26

hei,

Jeg forventer fra dere, virkelig.

takk.

raptor45.

raptor45 skrev på 2-9-2009 på 18:39:28

hei,

kan du fjerne min msn-adresse dette i det første innlegget du?

takk på forhånd.

raptor45.

Opprette en VPN-tilkobling på en annen linje enn pfSense WAN | Network Admin - Blog skrev på 27-5-2010 på 13:33:43

[...] VPN på en sekundær linje av en pfSense ruter. Skapelsen selv er detaljert her og her avhengig av om du vil opprette en tilkobling for mobile brukere eller tunnel [...]