跳到主內容

pfSense OpenVPN 設定

BUBU 因為公司目前想要把大陸的分公司的資料回傳回來,那使用現行的 VPN 連線測試是有問題會不定時斷線,另外因為自己本身也有架設 VPN 服務,現行架設的 VPN 服務是使用 OpenVPN Access Server 安裝流程 ,由於該服務是屬於商業軟體,免費使用人數只能同時上線二人,對於一般使用者而言是足夠使用,除非您有很多人朋友想要使用您服務的話那這一套可以參考看看。

設定流程


1、如何建立憑證,首先到 「 System 」--> 「 Cert. Manager 」

pfsense-ca-01.png

2、進入該畫面,選擇「 Add 」

pfsense-ca-02.png

3、進入設定的畫面

pfsense-ca-03.png

4、建立 CA 憑證
  • Descriptive name :自行命名
  • Common Name:自行命名會建議跟
  • Descriptive name 名稱一樣這樣子之後如果有建立多組憑證才不會亂掉
  • Country Code:選擇國碼,我是選擇 TW
  • state or Province:輸入國家,例:Taiwan
  • City:城名,例:Tainan
  • Organization:組織名稱,輸入完畢之後存檔

pfsense-ca-04.png

5、會回到憑證畫面看到剛剛新增的憑證

pfsense-ca-05.png

6、選擇 Certificates ,按下Add

pfsense-ca-06.png

7、建立內部憑證
  • Descriptive name:自行命名
  • Common Name:輸入網址
  • Organization:組織名稱
  • Lifetime (days):因憑證安全問題,在 2.6 版以後已有做天數的限制,系統建議是 398 天或者可在自行修改想要的天數

pfsense-ca-07.png

8、憑證屬性,請在 Certificate Type:下拉選擇 Server Certificate,設定完整後按下存檔

pfsense-ca-08.png

9、建立使用者 System --> User Manager

pfsense-ca-09.png

10、按下 「 Add 」

pfsense-ca-10.png

11、Username:使用者名稱,Password:使用者密碼,由於我們是要建立該使用者憑證,下面有一個 Certificate 這個選擇要打勾

pfsense-ca-11.png

12、Descriptive name:自行命名,我是命是服務名稱加上使用者名稱,存檔

pfsense-ca-12.png

13、安裝 OpneVPN 套件,System --> Package Manager

pfsense-ca-13.png

14、選擇 Available Packager

pfsense-ca-14.png

15、用尋詢方式來找,找到之後安裝該套件

pfsense-ca-15.png

16、詢問是否要安裝,按下 Confifm

pfsense-ca-16.png

17、安裝套件過程

pfsense-ca-17.png

18、安裝完成

pfsense-ca-18.png

19、選擇 VPN --> OpenVPN

pfsense-ca-19.png

20、選擇 Wizards 這是設定精靈

pfsense-ca-20.png

21、不用選擇直接按下一步

pfsense-ca-21.png

22、這是選擇您所使用的 CA 憑證,如果您還有其他的憑證就要選擇,我目前只有一個,選擇完按下一步

pfsense-ca-22.png

23、這是選擇您所使用的服務憑證,如果您還有其他的憑證就要選擇,我目前只有一個,選擇完按下一步

pfsense-ca-23.png

24、Protocol:預設是UDP,可以選擇使用TCP,Local Port:預設是1194,可以修改您想要的Port,BUBU是使用 TCP 方式來設定

pfsense-ca-24.png

25、Tunnel Network 配置
  • Tunnel Network:設定要配放的 IP
  • Local Network:設定您本地的網段 IP
  • Concurrent Connections:這是限制幾台設備連到VPN 主機,這可以選擇性填寫
  • Inter-Client Communication:打勾

pfsense-ca-25.png

26、填入 DNS 服務,那通常都是 168.95.1.1、8.8.8.8 這兩組很常見,除非您有架設內部的 DNS 服務,可以在這裡輸入,設定好按下一步

pfsense-ca-26.png

27、這裡會幫你設定好防火牆的規則,Firewall Rule、OpenVPN rule 這兩個都打勾,然後下一步

pfsense-ca-27.png

28、按下完成

pfsense-ca-28.png

29、這是精靈建立好的設畫面

pfsense-ca-29.png

30、如何查看服務狀況,Status --> Services

pfsense-ca-30.png

31、您會在畫面上看到 openvpn 目前狀態

pfsense-ca-31.png

32、查看記錄檔,Status --> System Logs

pfsense-ca-32.png

33、再選擇我們想要查看那個服務的記錄,選擇看 OpenVPN

pfsense-ca-33.png

34、這是目前 OpenVPN 記錄

pfsense-ca-34.png

35、將使用者 VPN 設定檔匯出,在 OpenVPN 裡面有一個選擇 Client Export 這裡

pfsense-ca-35.png

36、進來的畫面

pfsense-ca-36.png

37、Host Name Resolution:下拉選擇 Other,會出現 Host Name:這裡可以使用網域方式來連線

pfsense-ca-37.png

38、填寫完之後按下存檔即可

pfsense-ca-38.png

39、下面會有一個 OpenVPN Clients:這裡是讓您可以下載使用者 VPN 設定檔

pfsense-ca-39.png

補充說明


因 BUBU 在測試的發現到一個問題,就是無法正常連線內部主機的網頁及 ssh 服務,但是可以正常連線網路芳臨,問題出在 Hardware Checksum Offloading 這個項目要打勾才會正常,官方是說明這個做硬體的校驗及卸載用。

  • System -> Advanced -> Networking 在系統設定裡的進階選擇網卡

pfsense-ca-41.png

  • 進入之後找尋圖示上面的項目並且打勾,存檔就可以正常連線了

pfsense-ca-40.png

BUBU 最近才從群友那裡知道如果不是原帳號發的憑證可以在該帳號上面用其他帳號登入,預設 `Strict User-CN Matching` 此選擇是沒有打勾,需要手動去勾這樣子就只能該帳號所發憑證才可以登入使用

  • 在這裡修改

pfsense-ca-42.png




參考相關網頁


參考線上影片