La risorsa Italiana per pfSense

1 agosto 2012

Configurare OpenVPN Server su pfSense

Tra le varie funzionalità offerte da pfSense troviamo la possibilità di terminare diverse tipologie di VPN. Quella che prenderemo in esame oggi è OpenVPN.

Per poter procedere con la configurazione di OpenVPN server occorre effettuare alcune operazioni preliminari che prevedono la creazione dei certificati digitali.

Per iniziare dobbiamo creare 3 tipi di certificati:
  • Un certificato per la nostra Certification Authority;
  • Un certificato di tipo server per il nostro pfSense;
  • Un certificato di tipo user per gli utenti che dovranno conettersi a pfSense.
Creazione del certificato della CA:
Portarsi nel menù System > Cert Manager > CAs
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Description Name: Nome del certificato
  2. Method: Create an internal Certificate Authority
  3. Key length: 2048
  4. Lifetime: 3650 days (10 anni)
  5. Distinguished Name:
  6. Country Code:
  7. State or Province:
  8. City:
  9. Organizathion:
  10. Email Address:
  11. Common Name: internal-ca
Cliccare su Save
 
Creazione del certificato Server:
Potarsi nel menù System > Cert Manager > Certificates
Cliccare su AddCompilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Method: Create an internal Certificate
  2. Descriptive Name: Nome del certificato
  3. Certificate Authority: Nome impostato nel certificato della CA
  4. Key length: 2048
  5. Certificate Type: Server Certificate
  6. Lifetime: 3650 days (10 anni)
  7. Distinguished Name:
  8. Country Code:
  9. State or Province:
  10. City:
  11. Organizathion:
  12. Email Address:
  13. Common Name: nome dns firewall
Cliccare su Save

Creazione del certificato Utente:
Potarsi nel menù System > Cert Manager > Certificates
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Method: Create an internal Certificate
  2. Descriptive Name: Nome del certificato
  3. Certificate Authority: Nome impostato nel certificato della CA
  4. Key length: 2048
  5. Certificate Type: User Certificate
  6. Lifetime: 3650 days (10 anni)
  7. Distinguished Name:
  8. Country Code:
  9. State or Province:
  10. City:
  11. Organizathion:
  12. Email Address:
  13. Common Name: nome dns firewall
Cliccare su Save

A questo punto i certificati sono pronti per l'uso
Configurazione del server OpenVPN
Portarsi nel menù VPN > OpenVPN > Server

Cliccare su Add

Impostare i seguenti campi:
  1. Server Mode: Remote Access (SSL/TSL)
  2. Protocol: UDP
  3. Device Mode: tun
  4. Interface: any (interfaccia su cui viene fatto il bind)
  5. Local Port: 1194
  6. Description: Nome della configurazione
  7. Peer Certificate Authority: Selezionare il certificato della CA
  8. Server Certificate: Selezionare il certificato del server
  9. DH Parameters Length: 1024 bits
  10. Encryption algorithm: BF-CBC (128 bit)
  11. Hardware Crypto: selezionare una eventuale scheda di accelerazione
  12. Certificate Depth: One (Client+Server)
  13. Tunnel Network: Inserire una subnet per il tunnel, non usare subnet in uso da client o server
  14. Local Network: Subnet della rete del server VPN
  15. Compression: Yes
  16. Inter Client communications: Yes
  17. Dynamic IP: Yes
  18. Address Pool: Yes
  19. DNS Default Domain: Yes + Nome dominio DNS
  20. DNS Server: Yes + DNS Server
  21. NetBIOS Options: Yes + b-node
Cliccare su Save
A questo punto la configurazione del nostro server è completata e non ci resta che configurare il firewall affinchè permetta il traffico verso la porta 1194 UDP.
Portarsi sul menù Firewall > Rules > WAN
Cliccare su Add
E compilare i seguenti campi:
Action: Pass
Protocol: UDP
Destination Port Range: From OpenVPN to OpenVPN 

Ora possiamo configurare il client ed effettuare una connessione di test. Anche in quest'operazione pfSense ci viene in aiuto facilitandoci la vita.

Per prima cosa occorre installare un pacchetto aggiuntivo chiamato OpenVPN Client Export Utility, questo add-on consente di scaricare un pacchetto completo con la configurazione, i certificati necessari alla connessione e gli eseguibili windows per OpenVPN client.

Dopo aver installato il pacchetto possiamo tornare nel menù di OpenVPN: VPN > OpenVPN > Client Export


A questo punto non ci resta che scaricare la configurazione corrispondente al nostro certificato client selezionando una delle 5 possibili opzioni riportate a destra.

2 commenti:

inutiliy ha detto...

Ottima guida ;)

Anonimo ha detto...

a me non funziona, al termine non vedo file da scaricare ma solo l'errore: "If a client is missing from the list it is likely due to a CA mismatch between the OpenVPN server instance and the client certificate, the client certificate does not exist on this firewall, or a user certificate is not associated with a user when local database authentication is enabled."

Blog Archive

Nome

Email *

Messaggio *