So konfigurierst du Proton VPN auf pfSense mit OpenVPN
- Lesen
- 8 Min.
- Kategorie
- Router
In dieser Anleitung zeigen wir dir, wie du Proton VPN auf pfSense 23.09 und pfSense 2.7.x mit dem OpenVPN-VPN-Protokoll einrichtest. Dadurch kann dein Router jedes mit ihm verbundene Gerät mit einer Proton VPN-Verbindung schützen.
Wenn du pfSense 2.7.x verwendest, empfehlen wir, stattdessen das WireGuard®-Protokoll zu verwenden.
Beachte auch, dass bei der Verwendung von OpenVPN nicht mehrere Verbindungen empfohlen werden. Für diesen Anwendungsfall empfehlen wir ebenfalls WireGuard.
- Erfahre mehr über OpenVPN vs. WireGuard
- Erfahre, wie du Proton VPN auf pfSense mit WireGuard konfigurierst
Bevor du beginnst, benötigst du:
- Eine Neuinstallation von pfSense 23.09 oder pfSense 2.7.x
- Ein mit deinem LAN-Netzwerk verbundener Computer, damit du auf das pfSense-Frontend zugreifen kannst
- Dein OpenVPN-Benutzername und -Passwort. Diese unterscheiden sich von deinem normalen Proton VPN-Benutzernamen und -Passwort. Um sie zu finden, melde dich bei account.protonvpn.com an und gehe zu Konto → OpenVPN-Benutzername.

1. Erstelle eine OpenVPN-Konfigurationsdatei
Melde dich mit deinem Proton-Konto-Benutzernamen und -Passwort bei Proton VPN unter account.protonvpn.com an, gehe zu Downloads → OpenVPN Konfigurationsdateien und lade eine OpenVPN-Konfigurationsdatei herunter. Achte darauf, Plattform auswählen: Router zu wählen.
Erfahre, wie du eine OpenVPN-Konfigurationsdatei von Proton VPN herunterlädst
Um pfSense zu konfigurieren, benötigst du das TLS-Zertifikat(neues Fenster) aus dieser Konfigurationsdatei. Um es zu finden, öffne die heruntergeladene OpenVPN-Konfigurationsdatei in einem Texteditor und suche nach dem Text, der mit —–BEGIN CERTIFICATE—- beginnt und mit –—-END CERTIFICATE—– endet.

Du benötigst außerdem die IP-Adresse und die Portnummer des VPN-Servers. Diese findest du in der ersten mit remote gekennzeichneten Zeile im Zertifikat. Die erste Zahl ist die IP-Adresse und die zweite Zahl ist die Portnummer. Im folgenden Beispiel lautet die IP-Adresse 185.159.157.6 und die Portnummer 51820

Und schließlich benötigst du den statischen OpenVPN-Schlüssel. Dieser beginnt mit —–BEGIN OpenVPN Static key V1—- und endet mit —–END OpenVPN Static key V1—–.

2. TLS-Zertifikat zu pfSense hinzufügen
Gib 192.168.1.1 in die URL-Leiste deines Browsers ein, um die pfSense-Weboberfläche zu öffnen. Melde dich an und gehe zu System → Certificates → Add → Import certificate.

Konfiguriere die folgenden Einstellungen:
CA erstellen / bearbeiten. Gehe zu Authorities → Add und ändere die folgenden Einstellungen:
- Descriptive name: Dies kann ein beliebiger Name sein, den du nützlich findest, um das TLS-Zertifikat von Proton zu beschreiben
- Method: Import an existing Certificate Authority
Existing Certificate Authority
- Kopiere das TLS-Zertifikat aus deiner OpenVPN-Konfigurationsdatei und füge es hier ein

Klicke auf Speichern, wenn du fertig bist.
3. OpenVPN-Client konfigurieren
Du fügst nun einen OpenVPN-Client hinzu, um deine Daten zu verschlüsseln und sie durch einen Tunnel zum VPN-Server zu leiten.
Gehe zu VPN → OpenVPN → Clients, klicke auf Add und konfiguriere die folgenden Einstellungen:
Allgemeine Informationen:
- Description: Wähle einen Anzeigenamen für diese Konfiguration
- Disabled: Nicht ausgewählt
Modus-Konfiguration
- Server Mode: Peer to Peer (SSL/TLS)
- Device mode: tun – Layer-3-Tunnelmodus
Endpunkt-Konfiguration
- Protocol: Entweder UDP on IPv4 only oder TCP on IPv4 only (deine Wahl, aber es muss mit der von dir heruntergeladenen Konfigurationsdatei übereinstimmen). Erfahre mehr über UDP vs. TCP.
- Interface: WAN
- Local Port: –
- Server host or address: Bitte schaue in Schritt 1 nach, um diese zu finden.
- Server port: Bitte schaue ebenfalls in Schritt 1 nach, um diesen zu finden.
- Proxy host or address: –
- Proxy port: –
- Proxy Authentication: none

Benutzerauthentifizierungseinstellungen
- Username: Dein OpenVPN-Benutzername für Proton VPN
- Password: Dein OpenVPN-Passwort für Proton VPN
- Authentication Retry: Nicht auswählen
Remember: These are different from your regular Proton VPN username and password. To enable additional features, add the following suffixes to your OpenVPN username.
- NetShield-Werbeblocker: +f1
- NetShield Ad-blocker Erweitert (nur verfügbar, wenn du ein kostenpflichtiges Abonnement hast, blockiert auch Malware und Tracker): +f2
Um beispielsweise den NetShield Ad-blocker zu aktivieren, gib benutzername+f1 ein.

Kryptografische Einstellungen
- Use a TLS Key: Ausgewählt
- Automatically generate a TLS Key: Nicht ausgewählt
- TLS Key: Füge hier den statischen OpenVPN-Schlüssel aus der OpenVPN-Konfigurationsdatei ein (siehe Schritt 1)
- TLS-Schlüsselverwendungsmodus: TLS-Verschlüsselung und -Authentifizierung
- TLS-keydir-Richtung: Standardrichtung verwenden
- Peer-Zertifikatsstelle: Proton AG (oder der beschreibende Name, den du in Schritt 2 verwendet hast)
- Peer-Zertifikatswiderrufsliste: Unverändert lassen
- Client-Zertifikat: Keines (Benutzername und/oder Passwort erforderlich)
- Aushandlung der Datenverschlüsselung: Aktiviert
- Datenverschlüsselungsalgorithmen: AES-256-GCM, CHACHA20-POLY1305
- Fallback-Datenverschlüsselungsalgorithmus: AES-256-GCM
- Auth-Digest-Algorithmus: SHA256 (256-Bit)
- Hardware-Krypto: Ob dies unterstützt wird, hängt von deinem Gerät ab. Wenn es unterstützt wird, muss es zuerst unter System → Erweitert → Sonstiges aktiviert werden. Wähle im Zweifelsfall Keine Hardware-Kryptobeschleunigung.
- Überprüfung der Schlüsselverwendung des Serverzertifikats: Aktiviert

Tunneleinstellungen
- IPv4-Tunnelnetzwerk: –
- IPv6-Tunnelnetzwerk:-
- IPv4-Remote-Netzwerk(e): –
- IPv6-Remote-Netzwerk(e): –
- Ausgehende Bandbreite begrenzen: – (außer du bevorzugst etwas anderes)
- Komprimierung zulassen: Jede Nicht-Stub-Komprimierung ablehnen (am sichersten)
- Topologie: Subnetz — Eine IP-Adresse pro Client in einem gemeinsamen Subnetz
- Diensttyp: Deaktiviert lassen
- Routen nicht abrufen: Aktivieren
- Routen nicht hinzufügen/entfernen: Deaktiviert lassen
- DNS abrufen: Aktivieren

Ping-Einstellungen
- Belasse alle Einstellungen auf ihren Standardwerten.

Erweiterte Konfiguration
- Benutzerdefinierte Optionen: Füge Folgendes hinzu:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Hinweis: Diese Konfigurationseinstellungen ersetzen die im folgenden Screenshot gezeigten.
Um die Zuverlässigkeit der Verbindung zu verbessern, öffne die heruntergeladene OpenVPN-Konfigurationsdatei mit einem Texteditor und suche nach den Zeilen, die mit remote beginnen. Kopiere ab der zweiten remote-Zeile jede mit remote beginnende Zeile in das Feld Benutzerdefinierte Optionen in pfSense, gefolgt von einem Semikolon.

- UDP Fast I/O: Aktiviert
- Exit Notify: Deaktiviert
- Sende-/Empfangspuffer: Standard
- Gateway-Erstellung: Nur IPv4
- Ausführlichkeitsstufe: 3 (empfohlen)

Klicke auf Speichern und gehe zu Status → OpenVPN. Du solltest den neuen VPN-Client sehen, dessen Status als up angezeigt wird.

4. OpenVPN-Schnittstelle konfigurieren
Der VPN-Client läuft nun, aber es wird noch kein Datenverkehr darüber geleitet. Um deinen gesamten Netzwerkverkehr durch den sicheren Proton VPN-Tunnel zu leiten, musst du die Schnittstellen und Firewall-Regeln konfigurieren.
Gehe zu Schnittstellen → Schnittstellenzuweisungen → Verfügbare Netzwerk-Ports und wähle den soeben hinzugefügten VPN-Client aus dem Dropdown-Menü aus → Hinzufügen.
Dadurch wird eine Schnittstelle namens OPTx erstellt (wobei x davon abhängt, wie viele physische Schnittstellen dein Router hat). Klicke auf die neu erstellte Schnittstelle, um sie zu konfigurieren.

Gehe zum Tab Schnittstellen, klicke auf OPTx und gib die folgenden Konfigurationseinstellungen ein·
Allgemeine Konfiguration:
- Enable: Aktiviert
- Beschreibung: Wähle einen aussagekräftigen Namen für die Schnittstelle
Reservierte Netzwerke:
- Bogon-Netzwerke blockieren: Aktivieren
Lass die restlichen Felder unverändert.
Klicke auf Speichern und Änderungen anwenden.

5. Firewall-Regeln konfigurieren
Wir verwenden Firewall-Regeln, um den gesamten Datenverkehr über die soeben eingerichtete Proton VPN-Schnittstelle zu leiten. Gehe zu Firewall → NAT → Ausgehend und wähle Manuelle Erstellung ausgehender NAT-Regeln. Klicke dann auf Speichern und Änderungen anwenden.

Unter Zuordnungen siehst du sechs aufgelistete Regeln. In der Spalte Quelle zeigen 4 dieser Regeln die Adressen 127.0.0.0/8 und ::1/128. Ignoriere diese und bearbeite (klicke auf das Stiftsymbol in der Spalte „Aktionen“) die anderen beiden Regeln.

Ändere bei beiden Regeln die Schnittstelle auf die Proton VPN-Schnittstelle, die du in Schritt 4 erstellt hast. Klicke auf Speichern und Änderungen anwenden.

Hinweis: Dadurch wird automatisch auch ein Gateway mit demselben Namen wie die Schnittstelle erstellt.

Die Einstellungen für Mappings sollten jetzt so aussehen:

Gehe zu Firewall → Rules → LAN. Klicke auf das ✓-Symbol neben Default allow LAN IPv6 to any rule, um es zu deaktivieren.

Gehe zu Default allow LAN to any rule → Bearbeiten (Stiftsymbol).

Klicke auf Display advanced → Gateway und wähle das Gateway aus, das wir in Schritt 5 erstellt haben. Klicke auf Speichern und Änderungen anwenden.

Gehe nun zu Status → OpenVPN und klicke auf das Symbol Service → Restart, um den OpenVPN-Client mit den neuen Einstellungen neu zu starten.

Konfiguriere DNS-Einstellungen
Der gesamte Internetverkehr, der die pfSense-Firewall passiert, wird nun über einen Proton VPN-Server geleitet. DNS-Anfragen sind davon jedoch ausgenommen. Um dies zu beheben, müssen wir die DNS-Einstellungen in pfSense ändern.
Gehe zu System → General Setup → DNS Servers → DNS servers und gib die folgenden Einstellungen ein:
- DNS-Server → Adresse: 10.2.0.1
- DNS-Server → Gateway: Wähle die VPN-Schnittstelle aus, die du in Schritt 4 erstellt hast
- DNS Server Override: Häkchen setzen
- DNS Resolution Behavior: Remote-DNS-Server verwenden, lokales DNS ignorieren

Gehe nun zu Services → DNS Resolver → Outgoing Network Interfaces und gib die folgenden Einstellungen ein:
- Outgoing Network Interfaces: Wähle die VPN-Schnittstelle aus, die du in Schritt 4 erstellt hast
- DNS Query Forwarding: Häkchen setzen
Wenn du unsere NetShield-Werbeblocker-Funktion aktiviert hast, indem du die Suffixe +f1 oder +f2 zu deinem OpenVPN-Benutzernamen hinzugefügt hast (siehe Schritt 3), musst du die DNSSEC-Unterstützung deaktivieren.

Klicke auf Speichern und Änderungen anwenden.
Deine Einrichtung ist nun abgeschlossen. Der gesamte Datenverkehr aus deinem Netzwerk sollte nun sicher über den von dir ausgewählten Proton VPN-Server geleitet werden. Du kannst dies testen, indem du unseren kostenlosen sicheren IP-Scanner von einem beliebigen Gerät in deinem Netzwerk aus besuchst.
Optionale Anpassungen
Du kannst einige Computer in deinem Netzwerk von der Verwendung der VPN-Schnittstelle ausschließen. Beispielsweise möchtest du vielleicht, dass deine Spielkonsole auf das Internet zugreift, ohne mit einem VPN verbunden zu sein. Gehe dazu wie folgt vor:
1. Gehe zu Firewall → Rules → LAN → Hinzufügen.

2. Konfiguriere die Einstellungen wie folgt:
- Action: Pass
- Disabled: Nicht ausgewählt
- Interface: LAN
- Adresse-Familie: IPv4
- Protokoll: Any
- Quelle: Single Host oder Alias und füge die IP des Geräts hinzu, das du ausschließen möchtest
- Ziel: Any
- Protokoll: Unverändert
- Beschreibung: Füge eine Beschreibung hinzu

3. Klicke auf Display Advanced und ändere Gateway in WAN.

4. Klicke auf Speichern und Änderungen anwenden.

5. Gehe zu Firewall → NAT → Outbound und wechsle den Modus auf Automatisch, klicke dann auf Speichern und Änderung anwenden. Wechsle dann den Modus zurück auf Manuell und klicke auf Speichern und Änderung anwenden.

Dies erstellt zwei neue Regeln, die es dem ausgewählten Gerät ermöglichen, auf das lokale WAN-Netzwerk zuzugreifen.

Das Gerät ist nun von der VPN-Schnittstelle ausgeschlossen und greift über die von deinem ISP zugewiesene IP-Adresse auf das Internet zu. Es verwendet jedoch den DNS-Server von Proton VPN.