Comment configurer Proton VPN sur pfSense à l’aide d’OpenVPN
- Lecture
- 10 minutes
- Catégorie
- Routeurs
Dans ce guide, nous vous montrons comment configurer Proton VPN sur pfSense 23.09 et pfSense 2.7.x à l’aide du protocole VPN OpenVPN. Cela permet à votre routeur de protéger tout appareil qui y est connecté avec une connexion Proton VPN.
Si vous utilisez pfSense 2.7.x, nous vous recommandons plutôt d’utiliser le protocole WireGuard®.
Notez également que l’utilisation de plusieurs connexions n’est pas recommandée avec OpenVPN. Pour cet usage, nous vous recommandons à nouveau d’utiliser WireGuard.
- En savoir plus sur OpenVPN vs. WireGuard
- Découvrez comment configurer Proton VPN sur pfSense à l’aide de WireGuard
Avant de commencer, vous aurez besoin de :
- Une nouvelle installation de pfSense 23.09 ou pfSense 2.7.x
- Un ordinateur connecté à votre réseau LAN afin que vous puissiez accéder à l’interface pfSense
- Votre nom d’utilisateur et votre mot de passe OpenVPN. Ceux-ci sont différents de votre nom d’utilisateur et de votre mot de passe Proton VPN habituels. Pour les trouver, connectez-vous à account.protonvpn.com et accédez à Compte → Nom d’utilisateur OpenVPN.

1. Créer un fichier de configuration OpenVPN
Connectez-vous à Proton VPN à l’aide du nom d’utilisateur et du mot de passe de votre compte Proton sur account.protonvpn.com, accédez à Téléchargements → Fichiers de configuration OpenVPN, puis téléchargez un fichier de configuration OpenVPN. Veillez à Sélectionner la plateforme : Routeur.
Découvrez comment télécharger un fichier de configuration OpenVPN depuis Proton VPN
Pour configurer pfSense, vous aurez besoin du certificat TLS(nouvelle fenêtre) de ce fichier de configuration. Pour le trouver, ouvrez le fichier de configuration OpenVPN téléchargé dans un éditeur de texte et recherchez le texte qui commence par —–BEGIN CERTIFICATE—- et se termine par –—-END CERTIFICATE—–.

Vous aurez également besoin de l’adresse IP et du numéro de port du serveur VPN. Ceux-ci se trouvent sur la première ligne remote du certificat. Le premier numéro est l’adresse IP, et le second numéro est le numéro de port. Dans l’exemple ci-dessous, l’adresse IP est 185.159.157.6 et le numéro de port est 51820

Et enfin, vous aurez besoin de la clé OpenVPN Static key. Elle commence par —–BEGIN OpenVPN Static key V1—- et se termine par —–END OpenVPN Static key V1—–.

2. Ajouter le certificat TLS à pfSense
Saisissez 192.168.1.1 dans la barre d’adresse de votre navigateur pour ouvrir l’interface web de pfSense. Connectez-vous et accédez à System → Certificates → Add → Import certificate.

Configurez les paramètres suivants :
Créer / modifier l’autorité de certification (CA). Accédez à Authorities → Add et modifiez les paramètres suivants :
- Descriptive name : il peut s’agir de n’importe quel nom que vous jugez utile pour décrire le certificat TLS de Proton
- Method : importer une autorité de certification (CA) existante
Autorité de certification existante
- Copiez le certificat TLS de votre fichier de configuration OpenVPN et collez-le ici

Cliquez sur Save lorsque vous avez terminé.
3. Configurer le client OpenVPN
Vous allez maintenant ajouter un client OpenVPN pour chiffrer vos données et les acheminer via un tunnel vers le serveur VPN.
Accédez à VPN → OpenVPN → Clients, cliquez sur Add, puis configurez les paramètres suivants :
Informations générales :
- Description : choisissez un nom d’affichage pour cette configuration
- Disabled : décoché
Configuration du mode
- Server Mode : Peer to Peer (SSL/TLS)
- Device mode : tun – Layer 3 Tunnel Mode
Configuration du point de terminaison
- Protocol : soit UDP on IPv4 only, soit TCP on IPv4 only (au choix, mais cela doit correspondre au fichier de configuration que vous avez téléchargé). En savoir plus sur l’UDP par rapport au TCP.
- Interface : WAN
- Local Port : –
- Server host or address : veuillez vous référer à l’étape 1 pour trouver cette information.
- Server port : veuillez également vous référer à l’étape 1 pour trouver cette information.
- Proxy host or address : –
- Proxy port : –
- Proxy Authentication : none

Paramètres d’authentification de l’utilisateur
- Username : votre nom d’utilisateur Proton VPN OpenVPN
- Password : votre mot de passe Proton VPN OpenVPN
- Authentication Retry : laissez décoché
Rappel : ceux-ci sont différents de votre nom d’utilisateur et de votre mot de passe Proton VPN habituels. Pour activer des fonctionnalités supplémentaires, ajoutez les suffixes suivants à votre nom d’utilisateur OpenVPN.
- NetShield Ad-blocker : +f1
- NetShield Ad-blocker avancé (disponible uniquement si vous disposez d’un abonnement payant, bloque également les logiciels malveillants et les traqueurs) : +f2
Par exemple, pour activer NetShield Ad-blocker, saisissez nom_d’utilisateur+f1.

Paramètres de chiffrement
- Use a TLS Key : coché
- Automatically generate a TLS Key : décoché
- TLS Key : collez-y la clé OpenVPN Static key du fichier de configuration OpenVPN (voir l’étape 1)
- Mode d’utilisation de la clé TLS : chiffrement et authentification TLS
- Direction de keydir TLS : utiliser la direction par défaut
- Autorité de certification de pair : Proton AG (ou le nom descriptif que vous avez utilisé à l’étape 2)
- Liste de révocation de certificats de pair : laisser inchangé
- Certificat client : aucun (nom d’utilisateur et/ou mot de passe requis)
- Négociation du chiffrement des données : coché
- Algorithmes de chiffrement des données : AES-256-GCM, CHACHA20-POLY1305
- Algorithme de chiffrement des données de secours : AES-256-GCM
- Algorithme de condensé d’authentification : SHA256 (256 bits)
- Crypto matérielle : la prise en charge de cette option dépend de votre appareil. Si elle est prise en charge, elle doit d’abord être activée en allant dans Système → Paramètres avancés → Divers. En cas de doute, sélectionnez Pas d’accélération cryptographique matérielle.
- Validation de l’utilisation de la clé du certificat du serveur : coché

Paramètres du tunnel
- Réseau du tunnel IPv4 : –
- Réseau du tunnel IPv6 : –
- Réseau(x) distant(s) IPv4 : –
- Réseau(x) distant(s) IPv6 : –
- Limiter la bande passante sortante : – (sauf si vous préférez le contraire)
- Autoriser la compression : refuser toute compression autre que stub (le plus sécurisé)
- Topologie : sous-réseau — une adresse IP par client dans un sous-réseau commun
- Type de service : laisser décoché
- Ne pas récupérer les routes : cocher
- Ne pas ajouter/retirer de routes : laisser décoché
- Récupérer les DNS : cocher

Paramètres de ping
- Laissez toutes les options à leurs valeurs par défaut.

Configuration avancée
- Options personnalisées : ajoutez ce qui suit :
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Remarque : ces paramètres de configuration remplacent ceux de la capture d’écran ci-dessous.
Pour améliorer la fiabilité de la connexion, ouvrez le fichier de configuration OpenVPN que vous avez téléchargé à l’aide d’un éditeur de texte et localisez les lignes commençant par remote. À partir de la deuxième ligne remote, copiez chaque ligne commençant par remote dans le champ Options personnalisées dans pfSense, suivie d’un point-virgule.

- UDP Fast I/O : coché
- Exit Notify : désactivé
- Send/Receive Buffer : par défaut
- Création de passerelle : IPv4 uniquement
- Niveau de verbosité : 3 (recommandé)

Cliquez sur Enregistrer et allez dans Statut → OpenVPN. Vous devriez voir le nouveau client VPN avec son Statut affichant up.

4. Configurer l’interface OpenVPN
Le client VPN est maintenant en cours d’exécution, mais aucun trafic n’est acheminé par celui-ci. Pour acheminer tout votre trafic réseau via le tunnel sécurisé Proton VPN, vous devrez configurer les interfaces et les règles du pare-feu.
Allez dans Interfaces → Assignation des interfaces → Ports réseau disponibles et sélectionnez le client VPN que vous venez d’ajouter dans le menu déroulant → Ajouter.
Cela créera une interface nommée OPTx (où x dépend du nombre d’interfaces physiques de votre routeur). Cliquez sur l’interface nouvellement créée pour la configurer.

Allez sur l’onglet Interfaces, cliquez sur OPTx et saisissez les paramètres de configuration suivants·
Configuration générale :
- Activer : coché
- Description : choisissez un nom descriptif pour l’interface
Réseaux réservés :
- Bloquer les réseaux bogon : cocher
Laissez les autres champs inchangés.
Cliquez sur Enregistrer et sur Appliquer les modifications.

5. Configurez les règles du pare-feu
Nous utilisons des règles de pare-feu pour acheminer tout le trafic via l’interface Proton VPN que nous venons de configurer. Allez dans Pare-feu → NAT → Sortant et sélectionnez Génération manuelle de règles de NAT sortant. Cliquez ensuite sur Enregistrer et sur Appliquer les modifications.

Sous Mappings, vous verrez six règles répertoriées. Dans la colonne Source, 4 de ces règles affichent les adresses 127.0.0.0/8 et ::1/128. Ignorez-les et modifiez (cliquez sur l’icône de crayon dans la colonne Actions) les deux autres règles.

Pour les deux règles, remplacez Interface par l’interface Proton VPN que vous avez créée à l’étape 4. Cliquez sur Enregistrer et sur Appliquer les modifications.

Remarque : cela crée également automatiquement une passerelle portant le même nom que l’interface.

Les paramètres de Mappings doivent maintenant ressembler à ceci :

Accédez à Pare-feu → Règles → LAN. Cliquez sur l’icône ✓ à côté de la règle Default allow LAN IPv6 to any rule pour la désactiver.

Accédez à Default allow LAN to any rule → Modifier (icône de crayon).

Cliquez sur Display advanced → Gateway et sélectionnez la passerelle que nous avons créée à l’étape 5. Cliquez sur Enregistrer et appliquer les modifications.

Accédez maintenant à Statut → OpenVPN et cliquez sur l’icône Service → Redémarrer pour redémarrer le client OpenVPN avec les nouveaux paramètres.

Configurer les paramètres DNS
Tout le trafic Internet transitant par le pare-feu pfSense sera désormais acheminé via un serveur Proton VPN. Cependant, ce n’est pas le cas des requêtes DNS. Pour y remédier, nous devons modifier les paramètres DNS dans pfSense.
Accédez à Système → Configuration générale → Serveurs DNS → Serveurs DNS et saisissez les paramètres suivants :
- Serveurs DNS → Adresse : 10.2.0.1
- Serveurs DNS → Passerelle : sélectionnez l’interface VPN que vous avez créée à l’étape 4
- DNS Server Override : cochez
- DNS Resolution Behavior : utiliser les serveurs DNS distants, ignorer le DNS local

Accédez maintenant à Services → DNS Resolver → Interfaces réseau sortantes et saisissez les paramètres suivants :
- Interfaces réseau sortantes : sélectionnez l’interface VPN que vous avez créée à l’étape 4
- DNS Query Forwarding : cochez
Si vous avez activé notre fonctionnalité de bloqueur de publicités NetShield en ajoutant les suffixes +f1 ou +f2 à votre nom d’utilisateur OpenVPN (voir l’étape 3), vous devez désactiver le support DNSSEC.

Cliquez sur Enregistrer et sur Appliquer les modifications.
Votre configuration est maintenant terminée. Tout le trafic de votre réseau devrait désormais être acheminé de manière sécurisée via le serveur Proton VPN que vous avez choisi. Vous pouvez tester cela en consultant notre scanner d’adresse IP sécurisé gratuit depuis n’importe quel appareil de votre réseau.
Ajustements facultatifs
Vous pouvez exclure certains ordinateurs de votre réseau de l’utilisation de l’interface VPN. Par exemple, vous préférerez peut-être que votre console de jeux accède à Internet sans être connectée à un VPN. Pour ce faire :
1. Accédez à Pare-feu → Règles → LAN → Ajouter.

2. Configurez les paramètres de la manière suivante :
- Action : Pass
- Disabled : décoché
- Interface : LAN
- Famille d’adresses : IPv4
- Protocole : N’importe lequel
- Source : Single Host or Alias et ajoutez l’IP de l’appareil que vous souhaitez exclure
- Destination : N’importe laquelle
- Journal : inchangé
- Description : ajoutez une description

3. Cliquez sur Display Advanced et remplacez Gateway par WAN.

4. Cliquez sur Enregistrer et sur Appliquer les modifications.

5. Accédez à Pare-feu → NAT → Outbound et passez le Mode sur Automatique, puis cliquez sur Enregistrer et sur Appliquer la modification. Repassez ensuite le Mode sur Manuel, puis cliquez sur Enregistrer et sur Appliquer la modification.

Cela crée deux nouvelles règles qui permettent à l’appareil sélectionné d’accéder au réseau WAN local.

L’appareil est désormais exclu de l’interface VPN et accèdera à Internet en utilisant l’adresse IP attribuée par votre FAI. Cependant, il utilisera le serveur DNS de Proton VPN.