pfsense и OpenVPN для дорожных воинов

Автор: Seb

25

семь

Это относительно просто создать подключение VPN с pfsense, например, с помощью OpenVPN, которая встроена в программное обеспечение. После завершения установки и проверки pfsense должны следовать несколько шагов, которые подробно описаны далее в этой статье. Это VPN настроен для доступа к мобильным пользователям, такие как продажа людей ноутбуки и хотите удаленно подключаться к внутренней сети компании надежно.

Первое, что нужно сделать, это загрузить OpenVPN GUI и установки (Ниже описаны установки на Windows XP). Установка может выполняться с использованием параметров по умолчанию (обратите внимание, что оно должно иметь права локального администратора). В дополнение к установке самого программного обеспечения, дополнительного подключения к сети создана и она будет переименовать его, например, VPN.

Откройте консоль DOS и перейдите к C: \ Program Files \ OpenVPN \ простой RSA введите инициализации конфигурации. Это позволит создать (или заменить эти файлы уже существуют) и vars.bat openssl.cnf файлы, расположенные в этом каталоге.

Отредактируйте файл, который содержит vars.bat настройки по умолчанию, который будет использоваться при создании различных ключей шифрования. Определите параметры KEY_COUNTRY, KEY_PROVINCE, KEY_CITY и KEY_ORG KEY_EMAIL (не оставляйте пустым).

В окне DOS, запускать команды переменные, то чистая, все сборки-ок. Это имеет эффект загрузки по умолчанию, удалить все файлы в папке \ OpenVPN \ простой RSA \ ключами и создания центра сертификации (Certificate Authority) ca.key. Наиболее популярные параметры уже будут заполнены через файл и он будет vars.bat просто заполните общее название, например, с VPN_CA.

После создания CA должен генерировать ключи шифрования, связанных с сервера. Для этого, по-прежнему в консоли DOS, введите команду построить ключ-сервер-сервер и оставить по умолчанию. Для общего параметра Name введите сервер. Ответить на два вопроса там "Sign сертификат? "А" 1 из 1 просит сертификат сертифицированы, совершить? "Это создает файлы server.crt, server.key и server.csr в \ OpenVPN \ простой RSA \ клавиш.

Для выполнения основной системы генерации необходимо, а затем введите сборки-DH, dh1024.pem файл.

Остается для создания ключей шифрования для клиентов. Введите команду построить ключ и ввести ИмяФамилия ИмяФамилия например, в качестве общего имени. Будьте осторожны, чтобы ввести точно такие же имя, что и команда построить ключ и использовать уникальное имя для каждого клиента. PrenomNom.crt файлов и PrenomNom.csr PrenomNom.key создаются всегда в \ OpenVPN \ простой RSA \ клавиш.

Внимание всех этих файлов определенных сохранять конфиденциальность: ca.key, server.key, PrenomNom.key, Prenom2Nom2.key и т.д..

В интерфейсе pfsense выберите VPN> OpenVPN выберите значок "+", чтобы добавить туннель VPN. Вот параметры, которые входят:

  • выберите UDP
  • Динамический IP-флажок для того, чтобы клиент для подключения в любой точке мира
  • определить локальный порт (например 1284)
  • определить пул IP-адресов различных местных всех локальных подсетей (например, 192.168.192.0/24 )
  • указывают на локальную сеть, что является доступным для клиентов рабочих станций, подключенных в VPN (например, 192.168.1.0/24 )
  • Выберите BF-CBC (128 бит) шифрование методом,
  • Выберите PKI качестве метода проверки подлинности
  • скопируйте и вставьте содержимое файла ca.crt между - BEGIN CERTIFICATE - и - END CERTIFICATE - CA сертификат в области
  • скопируйте и вставьте содержимое файла server.crt между - BEGIN CERTIFICATE - и - END CERTIFICATE - в сертификат сервера
  • скопируйте и вставьте содержимое файла server.key между - BEGIN CERTIFICATE - и - END CERTIFICATE - ключ сервера
  • скопируйте и вставьте dh1024.pem содержимое файла между - BEGIN CERTIFICATE - и - END CERTIFICATE - DH параметры в области
  • проверка компрессии LZO
  • Пользовательские опции в поле для ввода вариантов, которые будут переданы клиентам в пример подключения

нажмите кнопку "DHCP-опции DOMAIN corp.com" толчок "DHCP-опцию DNS 192.168.1.1"; толчок "DHCP-WINS-вариант 192.168.1.1"

Это имеет эффект определения локального домена, сервер DNS и WINS-сервера по умолчанию. Вы также можете добавить запись маршрутизации в другой подсети с помощью команды "192.168.2.0 255.255.255.0 маршрут", например.

В меню Firewall> Правила pfsense выберите WAN и щелкните значок "+", чтобы добавить новое правило и введите следующие параметры:

  • Действие: Pass
  • Интерфейс: WAN
  • Протокол: UDP
  • Источник: Тип: любой
  • Назначение: Тип: любой
  • Порт назначения диапазон: от (других) в 1284 (другие) 1284 (осторожно введите номер порта определен выше)
  • Шлюз: по умолчанию
  • Описание: VPN

Затем нажмите кнопку Сохранить, а затем Применить.

Создайте файл в VPN.ovpn \ OpenVPN \ простой RSA \ ключей, который будет содержать параметры соединения для клиента, особенно маршрутизатора IP и порт. Вот ovpn образец файла:

плавать
порт 1284
разработчика тун
Dev-узел VPN
прото UDP
удаленный IP_du_Routeur 1284
пинг 10
сохраняются-тун
сохраняется ключ
TLS-клиента
CA ca.crt
сертификат PrenomNom.crt
ключевые PrenomNom.key
нс-сертификат типа сервера
свитер
комп-LZO
Глагол 4

Измените настройки порта в соответствии с портом для использования, разработчика узла на основе имени подключения к сети, дистанционное зависимости от внешних IP-маршрутизатора и портов в использовании и сертификатов и ключевых направлений в зависимости от пользователя .
Установки на клиентском чрезвычайно проста и может быть выполнена пользователей без специальной подготовки. Просто установите OpenVPN GUI клиент скачал в начале этой статьи, установить все параметры по умолчанию, а затем переименовать соединение, созданное за счет установки VPN. Затем он должен обеспечивать четыре файла для клиента хранится в C: \ Program Files \ OpenVPN \ Config: ca.crt NomPrenom.crt и NomPrenom.key VPN.ovpn. Конечно, мы должны обеспечить namePrénom файлов, соответствующих пользователей на индивидуальной основе.

Для подключения клиенту останется только щелкнуть правой кнопкой мыши на иконке OpenVPN в панель уведомлений, а затем нажмите кнопку Подключить. Откроется окно, то записи различных текущих операций и позволяет debuguage. После этого клиент может получить доступ к локальной сети компании надежно.

Теги: , ,
  • del.icio.us
  • Facebook
  • FriendFeed
  • Google Bookmarks
  • LinkedIn
  • Live
  • Netvibes
  • Reddit
  • StumbleUpon
  • Technorati
  • Twitter
  • viadeo FR
  • Wikio FR
  • email

Статьи по Теме

11 комментарий (ев) на эту тему
Подписаться на тему: Комментарии RSS или TrackBack URL
raptor45 Identicon Иконка
raptor45 писал 25-8-2009 8:56:04

Здравствуйте,

Я смотрю на ваш сайт время от времени. И, мне нужно руководство, что вы сделали, чтобы настроить сервер VPN с pfsense поставить OpenVPN. Но у меня есть проблемы (я BTS IG сети вариант, поэтому я начал). Итак, сначала мне удалось следуйте инструкциям на ваш учебник до конца против мимо, не может подключиться. Я не могу найти решение. Так что я удалить и переустановить, но невозможно пройти эту команду: встроенный ca.bat! Я твой учебник для письма, но как только я получаю эту команду, я получаю эту ошибку:

"Ошибка в строке 117 openssl.cnf
340: ошибка: 0E065068: конфигурация процедуры файла: STR_COPY: переменная не имеет значения. Cryptoconfconf_def.c: 629: строка 117 "

-> Таким образом, я понимаю, что нет значения переменной STR_COPY но я не понимаю, почему и, особенно, я не знаю, как заставить ее работать!
-> Обратите внимание, что в первый раз я установил OpenVPN-2.0.9-GUI-1.0.3-install.exe, он прошел без забот.

То есть, не могли бы вы помочь мне пожалуйста? Это важно, потому что это вопрос, который я представлю в день моего экзамена. Спасибо заранее.

Действительно спасибо заранее.

Identicon Иконка Seb
Seb писал 25-8-2009 12:26:16

Странно, я никогда не встречал никаких проблем с этим методом установки. Пытаясь чисто удалить (удалить все файлы в директории установки, если удаление OpenVPN оставляет файлы) и установить OpenVPN-2.0.7-GUI-1.0.3-install.exe, который является версия, что Я использовал в случае, если это будет ошибка в вашей версии. Затем возобновить все шаги установки.

Как только это будет сделано, и если вы отвечаете всегда ошибка, копировать / вставить здесь раздел openssl.conf которой является линия указывает ошибку.

raptor45 Identicon Иконка
raptor45 писал 26-8-2009 8:51:04

Спасибо за ваш ответ в любом случае. Слушает Я просто скачал версию вы дали мне указали. Я установить его. Вы хотите, чтобы обсудить с MSN, пожалуйста? Это поможет мне очень нравится.

Спасибо заранее.

raptor45 Identicon Иконка
raptor45 писал 26-8-2009 9:09:18

Так что я просто переустановить версию показали, я последовал за учебник следующим образом:

- Init-конфигурации
- Изменение положить ключи vars.bat переменных KEY_COUNTRY и т.д. ...
- Vars.bat
- Очистка all.bat
- Встроенный ca.bat

-> Те же ошибки

Вот конфигурационный файл openssl.cnf линия 117:

stateOrProvinceName_default = $ ENV :: KEY_PROVINCE

Переменные vars.bat, я определил так:
KEY_COUNTRY = EN
KEY_PROVINCE = SO
KEY_CITY OR =
KEY_ORG = ST
KEY_EMAIL = monadressemail

Спасибо заранее. Так как я только отправил верхнюю вы будете читать, возможно, нет, поэтому я ставлю этот: Вы бы обсуждать это с MSN, пожалуйста? Это поможет мне очень нравится.

Спасибо заранее.

raptor45 Identicon Иконка
raptor45 писал 26-8-2009 в 1:09:08 часов вечера

Снова,

Я, наконец, выяснить, почему он дал мне эту ошибку. В самом деле, учебник, он сказал, что это "vars.bat редактировать файл, который содержит настройки по умолчанию, который будет использоваться при создании различных ключей шифрования. Определите параметры KEY_COUNTRY, KEY_PROVINCE, KEY_CITY и KEY_ORG KEY_EMAIL (не оставляйте пустым). "Так что я сделал то, что я был редактирования файлов непосредственно vars.bat стороны изменить переменные (как показано на самом деле!), Потом я записал файл, а затем я выполнил следующие команды, чтобы знать : vars.bat, чисто all.bat и встроенный ca.bat. Тогда это было только после того как я все это время ошибки. Я понял, что мы не должны прикасаться к файлу, но vars.bat информации ... ключевых переменных, которые при выполнении сборки командной ca.bat.

Что вы думаете?

В MSN, я по-прежнему имеют место, если вы не возражаете? Спасибо заранее за MSN, потому что на самом деле мне очень помогают. Я прошу, чтобы вы не мой "гид" 24h/24 конечно! Было бы действительно помочь мне все равно, потому что у меня есть курс подготовки учителя! Но этот, хотя и приятный, не заботится слишком много для меня такая работа, так что я все только затем, чтобы потратить на то, что я застрял, это не легко. Я знаю, что это не ваша проблема, но есть вопрос не в этом. Это просто запрос на MSN, вот и все.

Я жду вашего ответа. Спасибо заранее.

raptor45.

raptor45 Identicon Иконка
raptor45 писал 26-8-2009 в 1:30:03 часов вечера

Так что я и впредь следить за урок, и я до сих пор есть еще одна ошибка! В командной построить ключ-сервер сервер, я не о чем беспокоиться. Хотя мне интересно, следует ли оставить или поместить имя сервера, чтобы ее? Например, встроенный сервер ключей pfsense.local?

Тогда ошибка, что я делаю, когда я после урока, а именно:
построить ключ client1 (я уже знаю, не уверен, что все элементы управления, поэтому я немного неприятности, я имею в виду я понимаю, что он генерирует ключи, сертификаты ... но я понимаю, почему client1, client2, client3; это так, мы хотим, чтобы прикрепить 3 VPN-клиентов это все?). Итак, создание ключей client1, я заполнил запрашиваемую информацию и только после завершения «вызов пароль" и "дополнительного фирменного наименования" и "подписать сертификат" (Так что я ставлю 'у'), но я не знаю Не уверен, что это, к сожалению, (если бы вы могли сказать мне, что было бы неплохо), я всегда ошибкам заявив, что не может сделать это и говорит мне:
"Не удалось обновить базу данных
TXT_DB ошибка № 2
Не удается найти C:. \ Program Files \ OpenVPN \ простой RSA \ ключи \ * Старые "

Я тогда повторное тестирование, поставив на адрес электронной почты отличается от созданных с сервера и это прошло. Это потому, что из этого?

Спасибо заранее за ответы на мои различные должности. Извините, что после так много!

Некоторое время назад я надеюсь и заранее благодарю.

raptor45.

raptor45 Identicon Иконка
raptor45 писал 26-8-2009 в 1:34:34 часов вечера

Я также вижу следующее руководство по Common Name и что он должен быть уникальным для каждого клиента, я думал, что это общее название для сервера имен, так что я не так уж много там! Потому что, когда я построить ключ-сервера сервера на месте, что также требует, поэтому я положил pfsense.local (это имя моего pfsense машина, но она не подходит она на самом деле?)

Спасибо.

raptor45 Identicon Иконка
raptor45 писал 26-8-2009 в 2:13:23 часов вечера

Решительно, я пою, и я отвечу! LOL.
Так мне удалось подключиться! Наконец-то! LOL К минусам я буду благодарен любезно рассмотреть мое различных должностях с утра любезно ответить на некоторые вопросы моего STP.

Таким образом, еще одна проблема, я подключить его согласиться. Но что потом? После того как я попытался взять мой удаленный ПК в локальной сети из глобальной сети ПК стороны, но это не так. Следует, возможно, что-то отложить FireWall, не так ли? Я так думаю, но я не знаю, что? Я попытался снять удаленного компьютера через Remote Desktop Connection, зная, что это работает, когда я не подключены к VPN, так что по этой причине я понял, он должен, конечно я поставил правило в брандмауэре pfsense но я уже поставил TCP (это может быть на рабочем столе disance UDP? я не знаю).

Тогда я хочу видеть, что данные, передаваемые через этот туннель в зашифрованном виде. Я думаю, вы должны использовать Wireshark? Но я не знаю, как его использовать и как "препарировать" результатов я должен знать, что это действительно так и в зашифрованном виде. Можете ли вы помочь мне, пожалуйста? Я хочу увидеть, если он шифруется с одной стороны, чтобы сказать мне, что хорошо, и он работает с другой стороны, чтобы продемонстрировать жюри в день моего экзамена (т.е. за 10 месяцев).

Я жду ваших ответов.

@ Только что я надеюсь.

raptor45.

raptor45 Identicon Иконка
raptor45 писал 28-8-2009 в 1:27:26 часов вечера

Привет,

Я ожидаю от вас, на самом деле.

Спасибо.

raptor45.

raptor45 Identicon Иконка
raptor45 писал 2-9-2009 в 6:39:28 часов вечера

Привет,

Вы можете удалить свой адрес MSN этом в первом посте, пожалуйста?

Спасибо заранее.

raptor45.

Создание подключения VPN на линии помимо WAN pfSense | Network Admin - Блог Identicon Иконка
Создание подключения VPN на линии помимо WAN pfSense | Network Admin - Блог писал 27-5-2010 в 1:33:43 часов вечера

[...] VPN на второй линии от pfSense маршрутизатора. Создание самой подробно здесь и здесь в зависимости от того, требуется, чтобы создать подключение для мобильных пользователей или туннель [...]

Добавить комментарий

Имя (* обязательно)

Email (не будет отображаться)

Сайт (* опционально)

Переводчик

French flagItalian flagChinese (Simplified) flagEnglish flagGerman flagSpanish flagJapanese flagArabic flagRussian flagNorwegian flag

Дневники обновления