Road warrior с pfSense

ваше требование выглядит более или менее похожим на VPN любой корпорации; вы хотите, чтобы ваш ноутбук, как представляется, на домашней сети для целей доступа в Интернет (и вполне возможно, другой доступ).

Я не использовал IPSec VPN, и они должны работать нормально при правильной настройке, но я сделал именно то, что вы предлагаете с OpenVPN-серверами на pfSense и OpenVPN-клиентах на Windows, Linux и Android в течение многих лет, поэтому я дам вам некоторые рекомендации по OpenVPN сторона вещей.

во-первых, рекомендуется читать: - https://doc.pfsense.org/index.php/VPN_Capability_OpenVPN - Вы хотите раздел сервера удаленного доступа - https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense/ - Вы можете пропустить Мастер и перейти прямо к обычным вкладкам настроек, которые он переходит к После мастера. - https://openvpn.net/index.php/open-source/documentation/howto.html - Помните, все GUI в pfSense делает это написать большую часть конфигурационных файлов для вас, и генерировать ключ или три.

теперь, некоторые рекомендации для установки высокого уровня безопасности, потому что это то, что я верю в

• в PFsense, система, менеджер сертификатов
  • создайте центр сертификации для VPN
    • используйте SHA256 или SHA512 для подписи и 2048 или 4096 битовых ключей RSA.
      • даже на ALIX (500 МГц одноядерный, 256 МБ оперативной памяти) я нашел 4096 бит ключи штраф.
    • в идеале, назовите его что-то вроде " VPN1Home_CA_2014Dec"
      • вы хотите это позже, когда следующий эксплойт Heartbleed толкает вас, чтобы восстановить сертификаты, и / или вы хотите другой VPN для другой цели, как радионяня
  • создайте сертификат "Server" для VPN
    • используйте SHA256 или SHA512 для подписи и 2048 или 4096 битовых ключей RSA.
    • установите CA в тот, который вы только что создали
    • в идеале, назовите его что-то вроде "VPN1Home_Server_2014Dec"
  • создать сертификат" клиент " для вашего ноутбука, телефона и все, что вы хотите
    • угадайте!
  • создание списка отзыва сертификатов для центра сертификации
    • вы можете оставить его пустым, но вы можете также иметь один набор в VPN в случае, если вам нужно отозвать сертификат позже.
• в pfSense, сервисы - >OpenVPN
  • WAN-интерфейс
  • мне нравится выбирать порт в эфемерном диапазоне (от 49152 до 65535), а не использоватьhttps://en.wikipedia.org/wiki/Ephemeral_port
  • проверка подлинности TLS
    • TLS Auth-вот почему я не был так обеспокоен Heartbleed, как мог бы быть.
  • пусть он создает ключ для тебя
  • DH параметры длина 2048 или 4096
    • даже на ALIX (500 МГц одноядерный, 256 МБ оперативной памяти) я нашел 4096 битные клавиши в порядке.
  • алгоритм шифрования
    • ok, на ALIX (500 МГц одноядерный, 256 МБ оперативной памяти) я придерживаюсь AES-128
    • выберите Camellia или AES здесь, в зависимости от того, что ваш клиент будет поддерживать, на любой длине вам нравится.
  • установить сетей, очевидно
  • Redirect Gateway должен быть проверен; это опция, которая управляет опцией " redirect-gateway def1
    • т. е. отправка всего трафика через VPN.
      • который отправляет весь трафик вашего ноутбука на ваш pfSense box, а затем в интернет
  • не используйте сжатие, если большая часть вашего интернет-передачи данных не сжимается
  • не позволяйте клиентам общаться друг с другом, если они должны
  • дополнительно: тип в
    • TLS-шифр DHE-RSA-AES256-SHA
• Примечание: Если вы используете чистый сертификат безопасности на основе, вам не нужно создавать пользователей pfSense
• убедитесь, что в pfSense настроена переадресация/распознаватель DNS.
• в pfSense настройте и / или проверьте правила брандмауэра
  • WAN-интерфейса
    • на порту, который вы выбрали выше, входящий, либо TCP или UDP для соответствия VPN.
    • включите ведение журнала, пока у вас есть вещи, работающие, и, возможно, после того, как хорошо.
  • интерфейс OpenVPN
    • в диапазоне IP-адресов, назначенных VPN-клиентам, передайте UDP на DNS (53) x.y.z.1 адрес туннельной сети, чтобы клиенты могли получать DNS через VPN.
    • в диапазоне IP, назначенном VPN-клиентам, передайте UDP по NTP (123)x.y.z.1 адрес сети тоннеля, поэтому клиенты могут получить синхронизация времени через VPN.
    • включите вход на них, по крайней мере, пока у вас есть вещи, работающие
• для ваших клиентов
  • вы можете использовать пакет pfSense, который экспортирует конфигурации клиента OpenVPN, если вам нравится
  • вы также можете просто скачать бинарные пакеты
    • Android: OpenVPN для Android от Arne Швабе
      • https://code.google.com/p/ics-openvpn/
    • Windows: клиент сообщества OpenVPN
      • https://openvpn.net/index.php/open-source/downloads.html
    • Linux: используйте пакет OpenVPN вашего дистрибутива
  • вам понадобятся следующие файлы:
    • система, менеджер сертификатов, CA, сертификат только вашего CA
      • DO НЕ ЗАГРУЖАТЬ КЛЮЧ!!! ТОЛЬКО СЕРТИФИКАТ
      • назовите его, как вам нравится, возможно, описательное имя, которое вы уже сделали!
      • используется в " ca ca.crt " Client config line
      • очевидно, заменить ca.ЭЛТ с описательным именем.
    • система, менеджер сертификатов, сертификаты, сертификат клиента и ключ
      • да, для этого, ключ также
      • назовите его, как вам нравится, возможно, описательный имя тебе уже сделали!
      • сертификат клиента, используемый в " клиенте сертификата.crt " Client config line
      • очевидно, что заменить клиента.ЭЛТ с описательным именем.
      • ключ клиента, используемый в " клиенте сертификата.ключ" от клиента строку
      • очевидно, что заменить клиента.введите описательное имя файла.
    • сервисы, OpenVPN, ваш VPN, общий ключ TLS
      • просто скопировать и вставить из текстового поля в текстовый файл, имя по умолчанию - " ta.ключ"
      • используется в " TLS-auth ta.ключ 1" от клиента строку
      • очевидно замените ta.введите имя файла.
  • редактировать config как требуется, через GUI или редактирования .файл conf себя как вы считаете нужным
    • соответствует параметрам, установленным на сервере; ссылки помогут, или вы можете найти файл конфигурации сервера OpenVPN pfSense и просто прочитать его; за исключением 1 vs 0 на tls-auth, большинство параметров шифрования одинаковы для обоих.
    • не забудьте добавить tls-шифр
      • TLS-шифр DHE-RSA-AES256-SHA

картинка была очень полезной; для тех, кто больше не может ее видеть, желаемый" виртуальный " конфиг выглядел как

интернет | pfSense | Ноутбук

отметим, что фактический config я предлагаю is:

интернет (исходя из местоположения pfSense в) | pfSense | Интернет (только OpenVPN соединение) | Ноутбук

Дополнительные ссылки, которые могут или не могут быть полезны для вас: http://pfsensesetup.com/video-pfsense-vpn-part-three-openvpn-pt-1/