Skip to main content

Cấu hình OpenVPN trên pfSense - Phần 4

18,April 2017
Cấu hình OpenVPN trên pfSense 2.3

Khi nhân viên hay sếp của bạn đi công tác xa nhưng vẫn muốn truy cập dữ liệu tại văn phòng ở bất cứ đây. OpenVPN sẽ giải quyết vấn đề giúp bạn. OpenVPN server sẽ cho phép bạn mã hóa toàn bộ dữ liệu và truyền tải qua môi trường internet. OpenVPN chứng thực theo Certificate từ Server và User( user local, Ldap, ... ). Trong bài lab chúng ta sẽ cấu hình OpenVPN chứng thực theo Certificate và user local. Dữ liệu của bạn sẽ được bảo mật tuyệt đối thông quá OpenVPN

Bước 1: Chỉnh lại thông số interface WAN & LAN 

- Trên card mạng WAN, chỉnh các thông số ip address: 10.1.10.10/24, gateway: 10.1.10.1, bỏ tích ở mục "Block private networks and loopback addresses" và "Block bogon networks"  -> click "Save" để lưu cấu hình

Cấu hình OpenVPN trên pfSense 2.3

 

- Trên card LAN, chỉnh các thông số như sau : IP Address: 192.168.8.10/24 , Gateway: None -> Click "Save" để lưu cấu hình

Cấu hình OpenVPN trên pfSense 2.3

 

- Chọn "System > General Setup" để cấu hình thông số cơ bản như hostname: pfsense, domain: itlabvn.net, DNS Server: 8.8.8.8, timezone..., cho pfSense.

Cấu hình OpenVPN trên pfSense 2.3

 

 - Chọn "Services > DHCP Server > LAN tab", Cấu hình DHCP Server cho dải mạng LAN interface ( 192.168.8.0/24 )

Cấu hình OpenVPN trên pfSense 2.3

 

Bước 2: Tạo Certificate để cấp phát cho Server (pfSense) và user (user khi chứng thực vpn ) 

a. Tạo Certificate Authority (CA)

- Vào "System > Certificate Manager > CAs Tab" -> Click "Add

Cấu hình OpenVPN trên pfSense 2.3

- Điền các thống số Desciption: ca-pfsense, Method: Create an internal Certificate Authority, Coutry Code: VN, City: Ha Noi..., Common Name: ca-pfsense -> Click "Save" Lưu cấu hình

Cấu hình OpenVPN trên pfSense 2.3

 

b. Tạo Server Certificate

- Chuyển qua "Certificates Tab" ( System > Certificate Manager > Certificates ) -> Click "Add"

Cấu hình OpenVPN trên pfSense 2.3

- Điền các thông số: Method: Create an internal Certificate, Certificate authority: ca-pfsense, Certificate Type: Server Certificate, Common Name: 10.1.10.10, Alternative Names (FQDN or Hostname: 10.1.10.10) .... Click "Save" để lưu cấu hình

Cấu hình OpenVPN trên pfSense 2.3

 

- Tạo username và cấp phát Certificate cho user. Chọn "System > User Manager > Users", chọn "Add" . Username: openvpn (có thể đặt túy ý), Tích vào "Click to create a user certificate" , ở mục "Certificate Authority: ca-pfsense" -> click "Save" để lưu cấu hình

Cấu hình OpenVPN trên pfSense 2.3

 

Bước 3: Cài đặt "openvpn-client-export" packages

- Chọn "System > Package Manager > Available Packages Tab" . Gõ "openvpn" và click search, click "Install" để cài đặt openvpn-client-export packages

Cấu hình OpenVPN trên pfSense 2.3

 

Bước 4: Cấu hình OpenVPN sử dụng Wizard method

- Vào "VPN > OpenVPN > click Wizard Tab" 

Cấu hình OpenVPN trên pfSense 2.3

 

- Trong mục "Select an Authentication Backend Type" chọn "Type of Server: Local User Access" -> Click "Next"

Cấu hình OpenVPN trên pfSense 2.3

- Mục "Certificate Authority Selection" . Chọn "Certifcate Authority: ca-pfsense"  -> Click "Next"

Cấu hình OpenVPN trên pfSense 2.3

 

- Tiếp theo mục "Server Certificate Selection". Chọn "Certificate: pfsense" -> click "Next"

Cấu hình OpenVPN trên pfSense 2.3

 

- Trong "Server Setup". Thêm Description: VPN - ITlabvn, Tích chọn "Enable authentication of TLS packets & Automatically generate a shared TLS authentication key",  Auth Digest Algorithm : SHA256 (256bit), Tunnel Network : 172.16.2.0/24 ( Tùy các bạn để khác dải LAN address ). Local Network: 192.168.8.0/24 ( LAN ip address). Concurrent Connections: 20 ( số lượng truy cập cùng thời điểm - tùy chọn) -> Click "Next"

Cấu hình OpenVPN trên pfSense 2.3

 

- Mục "Firewall Rule Configuration" , Tích vào "Add a rule to permit connection to this OpenVPN server process from clients anywhere on the Internet" & " Add a rule to allow all traffic from connected clients to pass inside the VPN tunnel" -> click "Next"

Cấu hình OpenVPN trên pfSense 2.3

 

- Click "Finish" để kết thúc cấu hình OpenVPN 

Cấu hình OpenVPN trên pfSense 2.3

- Kết quả thu được sau quá trình cấu hình OpenVPN by Wizard method

Cấu hình OpenVPN trên pfSense 2.3

- Chúng ta có thể start, stop dịch vụ OpenVPN chọn "Status > Services"  và click vào biểu tượng start, stop

Cấu hình OpenVPN trên pfSense 2.3

 

Bước 5: Sử dụng phần mền OpenVPN client để tạo kết nối VPN từ client tới pfSense (OpenVPN Server )

- Các bạn vào trang chủ https://openvpn.net để download version mới nhất hoặc down trực tiếp từ địa chỉ  https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.1-I601.exe  và tiến hành cài đặt 

- Tiếp theo chúng ta export file cấu hình openvpn client . Chọn "VPN > OpenVPN > Client Export" . "Remote Access Server: VPN - Itlabvn UDP:1194 (Chọn tương ứng với tên bạn đặt)" . Kéo xuống OpenVPN Clients, mục "standard configuration" -> Chuột phải vào "Archive" để download file cấu hình openvpn client về máy

Cấu hình OpenVPN trên pfSense 2.3

 

- Giải nén file config openvpn client bạn download ở trên vào thư mục "config" của chương trình OpenVPN client như hình dưới ( gồm 3 files )

Cấu hình OpenVPN trên pfSense 2.3

 

- Chạy chương trình OpenVPN Client cài đặt trên máy client. Chuột phải vào biểu tượng openvpn client ở góc dưới màn hình desktop -> Chọn "Connect" để kết nối tới pfSense ( OpenVPN Server ) -> Hộp thoại yêu cầu nhập "Username & Password" Bạn tạo cho client trước đó (bước 3). Nhập xong click "OK

Cấu hình OpenVPN trên pfSense 2.3

 

- Kiểm tra kết nối VPN bằng cách ping vào địa chỉ LAN interface của pfSense ( 192.168.8.10) 

Cấu hình OpenVPN trên pfSense 2.3

 

=> Như vậy kết nối VPN đã được thiết lập từ client tới pfSense ( OpenVPN Server). Tới đây chúng ta đã hoàn thành xong bài lab "Cấu hình OpenVPN trên pfSense 2.3". Chúc các bạn làm lab thành công