Come configurare Proton VPN su pfSense utilizzando OpenVPN
- Lettura
- 8 minuti
- Categoria
- Router
In questa guida ti mostriamo come configurare Proton VPN su pfSense 23.09 e pfSense 2.7.x utilizzando il protocollo VPN OpenVPN. Questo consente al tuo router di proteggere qualsiasi dispositivo connesso con una connessione Proton VPN.
Se utilizzi pfSense 2.7.x, ti consigliamo di utilizzare invece il protocollo WireGuard®.
Tieni presente inoltre che l’uso di connessioni multiple non è consigliato con OpenVPN. Per questo caso d’uso, ti consigliamo nuovamente WireGuard.
- Scopri di più su OpenVPN vs. WireGuard
- Scopri come configurare Proton VPN su pfSense utilizzando WireGuard
Prima di iniziare, ti serviranno:
- Un’installazione pulita di pfSense 23.09 o pfSense 2.7.x
- Un computer connesso alla tua rete LAN in modo che tu possa accedere al frontend di pfSense
- Il tuo nome utente e la tua password OpenVPN. Questi sono diversi dai tuoi normali nome utente e password di Proton VPN. Per trovarli, accedi a account.protonvpn.com e vai su Account → Nome utente OpenVPN.

1. Crea un file di configurazione OpenVPN
Accedi a Proton VPN usando il nome utente e la password del tuo account Proton su account.protonvpn.com, vai su Download → File di configurazione di OpenVPN e scarica un file di configurazione OpenVPN. Assicurati di impostare Seleziona piattaforma: Router.
Scopri come scaricare un file di configurazione OpenVPN da Proton VPN
Per configurare pfSense, avrai bisogno del certificato TLS(nuova finestra) da questo file di configurazione. Per trovarlo, apri il file di configurazione OpenVPN scaricato in un editor di testo e cerca il testo che inizia con —–BEGIN CERTIFICATE—- e finisce con –—-END CERTIFICATE—–.

Avrai anche bisogno dell’indirizzo IP e del numero di porta del server VPN. Puoi trovarli sulla prima riga remote elencata nel certificato. Il primo numero è l’indirizzo IP e il secondo numero è il numero di porta. Nell’esempio seguente, l’indirizzo IP è 185.159.157.6 e il numero di porta è 51820

E infine, avrai bisogno della chiave statica OpenVPN. Questa inizia con —–BEGIN OpenVPN Static key V1—- e finisce con —–END OpenVPN Static key V1—–.

2. Aggiungi il certificato TLS a pfSense
Inserisci 192.168.1.1 nella barra degli URL del tuo browser per aprire l’interfaccia web di pfSense. Accedi e vai su System → Certificates → Add → Import certificate.

Configura le seguenti impostazioni:
Crea / Modifica CA. Vai su Authorities → Add e modifica le seguenti impostazioni:
- Descriptive name: può essere un nome qualsiasi che ritieni utile per descrivere il certificato TLS di Proton
- Method: Importa una Certificate Authority esistente
Certificate Authority esistente
- Copia il certificato TLS dal tuo file di configurazione OpenVPN e incollalo qui

Fai clic su Salva quando hai finito.
3. Configura il client OpenVPN
Ora aggiungerai un client OpenVPN per crittografare i tuoi dati e instradarli tramite tunnel verso il server VPN.
Vai su VPN → OpenVPN → Clients, fai clic su Add e configura le seguenti impostazioni:
Informazioni generali:
- Description: scegli un nome visualizzato per questa configurazione
- Disabled: deselezionata
Configurazione della modalità
- Server Mode: Peer to Peer (SSL/TLS)
- Device mode: tun – Layer 3 Tunnel Mode
Configurazione endpoint
- Protocol: UDP on IPv4 only o TCP on IPv4 only (a tua scelta, ma deve corrispondere al file di configurazione che hai scaricato). Scopri di più su UDP vs TCP.
- Interface: WAN
- Local Port: –
- Server host or address: fai riferimento al passaggio 1 per trovarlo.
- Server port: fai anche riferimento al passaggio 1 per trovarla.
- Proxy host or address: –
- Proxy port: –
- Proxy Authentication: nessuna

Impostazioni di autenticazione utente
- Username: il tuo nome utente OpenVPN di Proton VPN
- Password: la tua password OpenVPN di Proton VPN
- Authentication Retry: lascia deselezionata
Ricorda: questi dati sono diversi dai tuoi normali nome utente e password di Proton VPN. Per attivare funzionalità aggiuntive, aggiungi i seguenti suffissi al tuo nome utente OpenVPN.
- NetShield Ad-blocker: +f1
- NetShield Ad-blocker avanzato (disponibile solo se hai un piano a pagamento, blocca anche malware e tracker): +f2
Ad esempio, per attivare NetShield Ad-blocker, inserisci nomeutente+f1.

Impostazioni crittografiche
- Use a TLS Key: selezionata
- Automatically generate a TLS Key: deselezionata
- TLS Key: incolla la chiave statica OpenVPN dal file di configurazione di OpenVPN (vedi passaggio 1)
- Modalità d’uso della chiave TLS: crittografia e autenticazione TLS
- Direzione keydir TLS: usa la direzione predefinita
- Autorità di certificazione peer: Proton AG (o il nome descrittivo che hai usato nel passaggio 2)
- Elenco di revoca dei certificati peer: lascia invariato
- Certificato client: nessuno (nome utente e/o password richiesti)
- Negoziazione crittografia dati: selezionata
- Algoritmi di crittografia dati: AES-256-GCM, CHACHA20-POLY1305
- Algoritmo di crittografia dati di fallback: AES-256-GCM
- Algoritmo digest di autenticazione: SHA256 (256-bit)
- Crittografia hardware: il supporto a questa funzionalità dipende dal tuo dispositivo. Se supportata, deve prima essere abilitata andando su Sistema → Avanzate → Varie. In caso di dubbi, seleziona Nessuna accelerazione crittografica hardware.
- Convalida dell’uso della chiave del certificato del server: selezionata

Impostazioni tunnel
- Rete tunnel IPv4: –
- Rete tunnel IPv6:-
- Rete/i remota/e IPv4: –
- Rete/i remota/e IPv6: –
- Limita banda in uscita: – (a meno che tu non preferisca diversamente)
- Consenti compressione: rifiuta qualsiasi compressione non stub (più sicuro)
- Topologia: sottorete — Un indirizzo IP per client in una sottorete comune
- Tipo di servizio: lascia deselezionato
- Non estrarre le rotte: seleziona
- Non aggiungere/rimuovere rotte: lascia deselezionata
- Estrai DNS: seleziona

Impostazioni ping
- Lascia tutto ai valori predefiniti.

Configurazione avanzata
- Opzioni personalizzate: aggiungi quanto segue:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Nota: queste impostazioni di configurazione sostituiscono quelle mostrate nello screenshot qui sotto.
Per migliorare l’affidabilità della connessione, apri il file di configurazione di OpenVPN che hai scaricato con un editor di testo e individua le righe che iniziano con remote. A partire dalla seconda riga che inizia con remote, copia ogni riga che inizia con remote nel campo Opzioni personalizzate in pfSense, seguita da un punto e virgola.

- UDP Fast I/O: selezionato
- Notifica di uscita: disattivata
- Buffer di invio/ricezione: predefinito
- Creazione gateway: solo IPv4
- Livello di verbosità: 3 (consigliato)

Fai clic su Salva e vai su Stato → OpenVPN. Dovresti vedere il nuovo client VPN con il suo Stato che mostra up.

4. Configura l’interfaccia OpenVPN
Il client VPN è ora in esecuzione, ma nessun traffico viene instradato attraverso di esso. Per instradare tutto il tuo traffico di rete attraverso il tunnel sicuro di Proton VPN, dovrai configurare le interfacce e le regole del firewall.
Vai su Interfacce → Assegnazioni interfacce → Porte di rete disponibili e seleziona il client VPN che hai appena aggiunto dal menu a discesa → Aggiungi.
In questo modo verrà creata un’interfaccia denominata OPTx (dove x dipende da quante interfacce fisiche ha il tuo router). Fai clic su quella appena creata per configurarla.

Vai alla scheda Interfacce, fai clic su OPTx e inserisci le seguenti impostazioni di configurazione·
Configurazione generale:
- Abilita: selezionato
- Descrizione: scegli un nome descrittivo per l’interfaccia
Reti riservate:
- Blocca reti bogon: seleziona
Lascia invariati i restanti campi.
Fai clic su Salva e Applica modifiche.

5. Configura le regole del firewall
Utilizziamo le regole del firewall per instradare tutto il traffico attraverso l’interfaccia Proton VPN che abbiamo appena configurato. Vai su Firewall → NAT → In uscita e seleziona Generazione manuale delle regole NAT in uscita. Quindi fai clic su Salva e Applica modifiche.

Sotto Mappature, vedrai sei regole elencate. Nella colonna Origine, 4 di queste regole mostrano gli indirizzi 127.0.0.0/8 e ::1/128. Ignorale e Modifica (fai clic sull’icona della matita nella colonna Azioni) le altre due regole.

Per entrambe le regole, imposta Interfaccia sull’interfaccia Proton VPN che hai creato nel passaggio 4. Fai clic su Salva e Applica modifiche.

Nota: questo crea automaticamente anche un gateway con lo stesso nome dell’interfaccia.

Le impostazioni di Mappings dovrebbero ora apparire così:

Vai su Firewall → Rules → LAN. Fai clic sull’icona ✓ accanto a Default allow LAN IPv6 to any rule per disattivarla.

Vai su Default allow LAN to any rule → Modifica (icona con la matita).

Fai clic su Display advanced → Gateway e seleziona il gateway che abbiamo creato al passaggio 5. Fai clic su Salva e Applica modifiche.

Ora vai su Status → OpenVPN e fai clic sull’icona Service → Restart per riavviare il client OpenVPN con le nuove impostazioni.

Configura le impostazioni DNS
Tutto il traffico internet che passa attraverso il firewall di pfSense verrà ora instradato attraverso un server Proton VPN. Tuttavia, le richieste DNS no. Per risolvere questo problema, dobbiamo modificare le impostazioni DNS in pfSense.
Vai su System → General Setup → DNS Servers → DNS servers e inserisci le seguenti impostazioni:
- DNS Servers → Address: 10.2.0.1
- DNS servers → Gateway: seleziona l’interfaccia VPN che hai creato al Passaggio 4
- DNS Server Override: seleziona
- DNS Resolution Behavior: Use remote DNS Servers, ignore local DNS

Ora vai su Services → DNS Resolver → Outgoing Network Interfaces e inserisci le seguenti impostazioni:
- Outgoing Network Interfaces: seleziona l’interfaccia VPN che hai creato al Passaggio 4
- DNS Query Forwarding: seleziona
Se hai attivato la nostra funzionalità NetShield Ad-blocker aggiungendo i suffissi +f1 o +f2 al tuo nome utente OpenVPN (vedi Passaggio 3), devi disattivare il supporto DNSSEC.

Fai clic su Salva e Applica modifiche.
La configurazione è ora completata. Tutto il traffico della tua rete dovrebbe ora essere instradato in modo sicuro attraverso il server Proton VPN che hai scelto. Puoi testarlo visitando il nostro scanner di indirizzi IP sicuro e gratuito da qualsiasi dispositivo sulla tua rete.
Ottimizzazioni facoltative
Puoi escludere alcuni computer della tua rete dall’utilizzo dell’interfaccia VPN. Ad esempio, potresti preferire che la tua console di gioco acceda a internet senza essere connessa a una VPN. Per fare questo:
1. Vai su Firewall → Rules → LAN → Add.

2. Configura le impostazioni come segue:
- Action: Pass
- Disabled: deselezionata
- Interface: LAN
- Address Family: IPv4
- Protocol: Any
- Source: Single Host or Alias e aggiungi l’IP del dispositivo che desideri escludere
- Destination: Any
- Log: Unchanged
- Description: aggiungi una descrizione

3. Fai clic su Display Advanced e cambia Gateway in WAN.

4. Fai clic su Salva e Applica modifiche.

5. Vai su Firewall → NAT → Outbound e imposta Mode su Automatic, quindi fai clic su Salva e Applica modifiche. Poi reimposta Mode su Manual, quindi fai clic su Salva e Applica modifiche.

Questo crea due nuove regole che consentono al dispositivo selezionato di accedere alla rete WAN locale.

Il dispositivo è ora escluso dall’interfaccia VPN e accederà a internet utilizzando l’indirizzo IP assegnato dal tuo ISP. Tuttavia, utilizzerà il server DNS di Proton VPN.