Uwaga: po aktualizacji do wersji 2.5.0 routery z oprogramowaniem pfSense mają wbudowanego klienta VPN z protokołem WireGuard. Obecnie nie ma możliwości skonfigurowania połączenia z protokołem NordLynx na routerach z pfSense z wbudowanym klientem WireGuard, ponieważ protokół NordLynx jest dostępny wyłącznie w aplikacji NordVPN na komputer i urządzenia mobilne. Więcej informacji na temat dostępności protokołu NordLynx można znaleźć tutaj.
1. Aby skonfigurować VPN na urządzeniu z pfSense 2.5.0, wejdź w panel sterowania pfSense w przeglądarce, a następnie przejdź do System > Certificate Manager > CAs. Wybierz +Add.
Powinien otworzyć się następujący ekran:
2. W tym przewodniku skonfigurujemy połączenie z serwerem w Holandii, ale Ty połącz się z serwerem wybranym dla Ciebie na NordKoncie.
Wykonaj poniższe kroki, aby znaleźć najlepszy serwer dla Twojego połączenia:
-
Zaloguj się na swoje NordKonto i kliknij NordVPN.
- Przewiń w dół do sekcji Ustawienia zaawansowane (Advanced Settings) i kliknij Skonfiguruj NordVPN ręcznie (Set up NordVPN manually).
- Wybierz zakładkę Zalecany serwer (Server recommendation). Wyświetli się najlepszy serwer dla Twojej lokalizacji.
- Gdy naciśniesz Zaawansowane filtry (Advanced filters), możesz dodatkowo dostosować zalecane serwery, wybierając Typ serwera (Server type) i Protokół bezpieczeństwa (Security protocol).
Jeśli chcesz wybrać konkretny serwer, wykonaj następujące kroki:
- W sekcji Skonfiguruj NordVPN ręcznie (Set up NordVPN manually) wybierz Pliki konfiguracyjne OpenVPN (OpenVPN configuration files).
2. Znajdź serwer, z którym chcesz się połączyć, wpisując go w okienku Szukaj (Search) lub przewijając w dół, a następnie pobierz go, klikając Pobierz UDP (Download UDP) lub Pobierz TCP (Download TCP).
3. Podczas łączenia się z OpenVPN i IKEv2 ręcznie musisz użyć Nazwy użytkownika (Username) i Hasła (Password) z zakładki Dane uwierzytelniające (Service credentials).
Wypełnij wszystkie pola w następujący sposób:
Descriptive Name: NordVPN_NL120_CA (jest to przykładowa nazwa – możesz wpisać dowolną)
Method: Import an existing Certificate Authority
Trust Store: odznacz
Randomize Serial: odznacz
Certificate data:
\-----BEGIN CERTIFICATE-----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==
\-----END CERTIFICATE-----
Nie zmieniaj innych ustawień. Kliknij Save.
3. Przejdź do VPN > OpenVPN > Clients i naciśnij +Add.
4. Wypełnij wszystkie pola w następujący sposób:
Disable this client: odznacz
Server mode: Peer to Peer (SSL/TLS)
Protocol: UDP on IPv4 only (możesz też użyć TCP)
Device mode: tun – Layer 3 Tunnel Mode
Interface: WAN
Local port: pozostaw pole puste
Server host or address: nazwa serwera zalecanego dla Ciebie (na naszym przykładzie jest to de855.nordvpn.com);
Server port: 1194 (użyj 443 dla TCP)
Proxy host or address: pozostaw pole puste
Proxy port: pozostaw pole puste
Proxy Authentication: none
Description: wpisz dowolną nazwę. Na przykładzie jest to NordVPN.
Sekcja User Authentication Settings
Username: Twoja nazwa użytkownika w usłudze NordVPN.
Password: Twoje hasło do usługi NordVPN.
Dane uwierzytelniające do NordVPN (nazwę użytkownika i hasło) znajdziesz na pulpicie NordKonta.
Wykonaj poniższe kroki, aby znaleźć dane uwierzytelniające do ręcznej konfiguracji połączenia:
-
Zaloguj się na swoje NordKonto, kliknij NordVPN, a w sekcji Konfiguracja ręczna (Manual setup) wybierz Dane uwierzytelniające (Service credentials). Tutaj znajdziesz nazwę użytkownika (Username) i hasło (Password) potrzebne do ręcznego połączenia.
Authentication Retry: pozostaw pole puste.
Sekcja Cryptographic Settings
TLS Configuration: Use a TLS Key – zaznacz; Automatically generate a TLS key – odznacz
TLS Key:
\-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
\-----END OpenVPN Static key V1-----
TLS Key Usage Mode: TLS Authentication
TLS keydir direction: Use default direction
Peer certificate authority: NordVPN_CA
Peer Certificate Revocation list: zostaw tak, jak jest
Client certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (cyfry na Twoim urządzeniu mogą być inne)
Data Encryption Negotiation: zaznacz
Data Encryption Algorithms: AES-256-GCM i AES-256-CBC
Fallback Data Encryption Algorithm: AES-256-CBC
Auth digest algorithm: SHA512 (512-bit)
Hardware Crypto: No Hardware Crypto Acceleration
Sekcja Tunnel Settings
IPv4 tunnel network: pozostaw pole puste
IPv6 tunnel network: pozostaw pole puste
IPv4 remote network(s): pozostaw pole puste
IPv6 remote network(s): pozostaw pole puste
Limit outgoing bandwidth: pozostaw pole puste
Allow Compression: Refuse any non-stub compression (Most Secure)
Topology: Subnet – One IP address per client in a common subnet
Type-of-Service: odznacz
Don’t pull routes: odznacz
Don’t add/remove routes: zaznacz
Sekcja Advanced Configuration
Custom Options
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;
UDP FAST I/O: odznacz
Exit Notify: Disabled
Send/Receive Buffer: Default
Gateway creation: IPv4 only
Verbosity level: 3 (recommended)
5. Przejdź do Interfaces > Interface Assignments i kliknij Add, aby dodać interfejs NordVPN.
6. Naciśnij OPT1 po lewej stronie przypisanego interfejsu i wypełnij następujące informacje:
Enable: zaznacz
Description: NordVPN
Mac Address: pozostaw pole puste
MTU: pozostaw pole puste
MSS: pozostaw pole puste
Nie zmieniaj innych ustawień. Przewiń w dół i zapisz konfigurację, naciskając przycisk Save.
7. Przejdź do Services -> DNS Resolver -> General Settings
Enable: zaznacz
Listen port: nic nie zmieniaj
Enable SSL/TLS Service: odznacz
SSL/TLS Certificate: webConfigurator default (59f92214095d8) (Server: Yes, In Use) (cyfry na Twoim urządzeniu mogą być inne);
SSL/TLS Listen Port: nic nie zmieniaj
Network Interfaces: All
Outgoing Network Interfaces: NordVPN
System Domains Local Zone Type: Transparent
DNSSEC: odznacz
Python Module: odznacz
DNS Query Forwarding: Enable forwarding mode – zaznacz; Use SSL/TLS for outgoing DNS Queries to Forwarding Servers — odznacz
DHCP Registration: zaznacz
Static DHCP: zaznacz
OpenVPN Clients: odznacz
Kliknij Save.
8. W sekcji DNS Resolver wybierz Advanced Settings na górze i uzupełnij dane:
Sekcja Advanced Privacy Options:
Hide Identity: zaznacz
Hide Version: zaznacz
Query Name Minimization: odznacz
Strict Query Name Minimization: odznacz
Sekcja Advanced Resolver Options:
Prefetch Support: zaznacz
Prefetch DNS Key Support: zaznacz
Harden DNSSEC Data: odznacz
Nie zmieniaj innych ustawień. Przewiń w dół i zapisz konfigurację, naciskając przycisk Save
9. Przejdź do Firewall > NAT > Outbound i wybierz Manual Outbound NAT rule generation. Kliknij Save. Wyświetli się sześć reguł. Usuń wszystkie reguły IPv6, a następnie dodaj nową.
9.1. Interface: NordVPN.
9.2.Address Family: IPv4
9.3.Source: Twoja podsieć LAN, np. 192.168.2.0/24.
9.4.Kliknij Save. Ustawienia powinny wyglądać następująco:
Ważne: nowo utworzona reguła NAT musi być na samej górze.
10. Przejdź do Firewall > Rules > LAN i usuń regułę IPv6. Następnie edytuj regułę IPv4.
10.1. Naciśnij Display Advanced.
10.2. Zmień Gateway na NordVPN. 10.3. Kliknij Save. Ustawienia powinny wyglądać następująco:
11. Przejdź do System > General Setup i uzupełnij dane:
DNS Server 1: 103.86.96.100; none
DNS Server 2: 103.86.99.100; NordVPN_VPNV4 - opt1 - ...
Nie zmieniaj innych ustawień. Kliknij Save.
12. Przejdź do Status > OpenVPN. Status usługi pod nagłówkiem Status powinien zmienić się na up.
13. Możesz też sprawdzić log połączenia: Status > System Logs > OpenVPN:
Gotowe!Konfiguracja VPN na urządzeniu z pfSense jest gotowa, a połączenie z VPN powinno zostać nawiązane.
Jeśli adres IP nie zmienił się po skonfigurowaniu połączenia VPN, zrestartuj router pfSense i sprawdź adres IP ponownie.