Jak skonfigurować Proton VPN na pfSense przy użyciu OpenVPN
- Odczytywanie
- 9 min
- Kategoria
- Routery
W tym poradniku pokazujemy, jak skonfigurować Proton VPN na pfSense 23.09 i pfSense 2.7.x przy użyciu protokołu VPN OpenVPN. Dzięki temu Twój router będzie chronił każde podłączone do niego urządzenie za pomocą połączenia Proton VPN.
Jeśli używasz pfSense 2.7.x, zalecamy zamiast tego korzystanie z protokołu WireGuard®.
Pamiętaj również, że w przypadku korzystania z OpenVPN nie zaleca się stosowania wielu połączeń. Do tego zastosowania ponownie polecamy WireGuard.
- Dowiedz się więcej o OpenVPN vs. WireGuard
- Dowiedz się, jak skonfigurować Proton VPN na pfSense przy użyciu WireGuard
Zanim zaczniesz, przygotuj:
- Nowa instalacja pfSense 23.09 lub pfSense 2.7.x
- Komputer podłączony do Twojej sieci LAN, aby mieć dostęp do interfejsu pfSense
- Twoja nazwa użytkownika i hasło OpenVPN. Różnią się one od Twojej zwykłej nazwy użytkownika i hasła Proton VPN. Aby je znaleźć, zaloguj się na stronie account.protonvpn.com i przejdź do sekcji Konto → Nazwa użytkownika OpenVPN.

1. Utwórz plik konfiguracyjny OpenVPN
Zaloguj się do Proton VPN, używając swojej nazwy użytkownika i hasła do konta Proton na stronie account.protonvpn.com, przejdź do sekcji Do pobrania → Pliki konfiguracyjne OpenVPN i pobierz plik konfiguracyjny OpenVPN. Pamiętaj, aby ustawić opcję Wybierz platformę: Router.
Dowiedz się, jak pobrać plik konfiguracyjny OpenVPN z Proton VPN
Do skonfigurowania pfSense potrzebny będzie certyfikat TLS(nowe okno) z tego pliku konfiguracyjnego. Aby go znaleźć, otwórz pobrany plik konfiguracyjny OpenVPN w edytorze tekstu i znajdź tekst zaczynający się od —–BEGIN CERTIFICATE—- i kończący się na –—-END CERTIFICATE—–.

Będziesz także potrzebować adresu IP i numeru portu serwera VPN. Znajdziesz je w pierwszej linii remote w certyfikacie. Pierwsza liczba to adres IP, a druga liczba to numer portu. W poniższym przykładzie adres IP to 185.159.157.6, a numer portu to 51820

I na koniec, będziesz potrzebować klucza statycznego OpenVPN. Zaczyna się on od —–BEGIN OpenVPN Static key V1—-, a kończy na —–END OpenVPN Static key V1—–.

2. Dodaj certyfikat TLS do pfSense
Wpisz 192.168.1.1 w pasku adresu URL przeglądarki, aby otworzyć interfejs sieciowy pfSense. Zaloguj się i przejdź do System → Certificates → Add → Import certificate.

Skonfiguruj następujące ustawienia:
Utwórz / edytuj CA. Przejdź do Authorities → Add i zmień następujące ustawienia:
- Descriptive name: może to być dowolna nazwa, która pomoże Ci opisać certyfikat TLS Protonu
- Method: Import an existing Certificate Authority
Existing Certificate Authority
- Skopiuj certyfikat TLS z pliku konfiguracyjnego OpenVPN i wklej go tutaj

Kliknij Save, gdy skończysz.
3. Skonfiguruj klienta OpenVPN
Teraz dodasz klienta OpenVPN, aby szyfrować swoje dane i przesyłać je tunelem do serwera VPN.
Przejdź do VPN → OpenVPN → Clients, kliknij Add i skonfiguruj następujące ustawienia:
Informacje ogólne:
- Description: wybierz nazwę wyświetlaną dla tej konfiguracji
- Disabled: odznaczone
Konfiguracja trybu
- Server Mode: Peer to Peer (SSL/TLS)
- Device mode: tun – Layer 3 Tunnel Mode
Konfiguracja punktu końcowego
- Protocol: UDP on IPv4 only lub TCP on IPv4 only (do wyboru, ale musi to odpowiadać pobranemu plikowi konfiguracyjnemu). Dowiedz się więcej o UDP vs TCP.
- Interface: WAN
- Local Port: –
- Server host or address: przejdź do kroku 1, aby go znaleźć.
- Server port: również przejdź do kroku 1, aby go znaleźć.
- Proxy host or address: –
- Proxy port: –
- Proxy Authentication: none

Ustawienia uwierzytelniania użytkownika
- Username: Twoja nazwa użytkownika Proton VPN OpenVPN
- Password: Twoje hasło Proton VPN OpenVPN
- Authentication Retry: pozostaw odznaczone
Pamiętaj: różnią się one od Twojej zwykłej nazwy użytkownika i hasła Proton VPN. Aby włączyć dodatkowe funkcje, dodaj następujące przyrostki do swojej nazwy użytkownika OpenVPN.
- NetShield Ad-blocker: +f1
- NetShield Ad-blocker advanced (dostępny tylko w płatnym planie, blokuje również złośliwe oprogramowanie i elementy śledzące): +f2
Na przykład, aby włączyć NetShield Ad-blocker, wpisz nazwa_użytkownika+f1.

Ustawienia kryptograficzne
- Use a TLS Key: zaznaczone
- Automatically generate a TLS Key: odznaczone
- TLS Key: wklej klucz statyczny OpenVPN z pliku konfiguracyjnego OpenVPN (patrz krok 1)
- TLS Key Usage Mode: szyfrowanie i uwierzytelnianie TLS
- TLS keydir direction: użyj domyślnego kierunku
- Peer Certificate Authority: Proton AG (lub opisowa nazwa użyta przez Ciebie w kroku 2)
- Peer Certificate Revocation List: pozostaw bez zmian
- Client Certificate: brak (wymagana nazwa użytkownika i/lub hasło)
- Data Encryption Negotiation: zaznaczone
- Data Encryption Algorithms: AES-256-GCM, CHACHA20-POLY1305
- Fallback Data Encryption Algorithm: AES-256-GCM
- Auth digest algorithm: SHA256 (256-bit)
- Hardware Crypto: to, czy ta opcja jest obsługiwana, zależy od Twojego urządzenia. Jeśli tak, należy ją najpierw włączyć, przechodząc do System → Zaawansowane → Różne. W razie wątpliwości wybierz Brak sprzętowej akceleracji kryptograficznej.
- Server Certificate Key Usage Validation: zaznaczone

Ustawienia tunelu
- IPv4 Tunnel Network: –
- IPv6 Tunnel Network:-
- IPv4 Remote network(s): –
- IPv6 Remote network(s): –
- Limit outgoing bandwidth: – (chyba że wolisz inaczej)
- Allow Compression: odrzuć wszelką kompresję typu non-stub (najbardziej bezpieczne)
- Topology: Subnet — jeden adres IP na klienta we wspólnej podsieci
- Type of service: pozostaw niezaznaczone
- Don’t pull routes: zaznacz
- Don’t add/remove routes: pozostaw niezaznaczone
- Pull DNS: zaznacz

Ustawienia Ping
- Pozostaw wszystkie wartości domyślne.

Zaawansowana konfiguracja
- Custom Options: dodaj następujące:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Uwaga: te ustawienia konfiguracji zastępują te pokazane na poniższym zrzucie ekranu.
Aby zwiększyć niezawodność połączenia, otwórz pobrany przez Ciebie plik konfiguracyjny OpenVPN w edytorze tekstu i znajdź linie zaczynające się od słowa remote. Skopiuj każdą taką linię, począwszy od drugiej linii „remote” w dół, do pola Custom Options w pfSense, dodając po każdej z nich średnik.

- UDP Fast I/O: zaznaczone
- Exit Notify: wyłączone
- Send/Receive Buffer: domyślny
- Gateway creation: tylko IPv4
- Verbosity level: 3 (zalecane)

Kliknij Zapisz i przejdź do Status → OpenVPN. Zobaczysz nowego klienta VPN, którego Status powinien być wyświetlany jako up.

4. Skonfiguruj interfejs OpenVPN
Klient VPN jest już uruchomiony, ale żaden ruch sieciowy nie jest przez niego przesyłany. Aby skierować cały swój ruch sieciowy przez bezpieczny tunel Proton VPN, musisz skonfigurować interfejsy oraz reguły zapory sieciowej.
Przejdź do Interfejsy → Przypisanie interfejsów → Dostępne porty sieciowe i wybierz z menu rozwijanego właśnie dodanego klienta VPN → DODAJ.
Spowoduje to utworzenie interfejsu o nazwie OPTx (gdzie x zależy od liczby fizycznych interfejsów routera). Kliknij nowo utworzony interfejs, aby go skonfigurować.

Przejdź do karty Interfejsy, kliknij OPTx i wprowadź następujące ustawienia konfiguracji·
Ogólna konfiguracja:
- Enable: zaznaczone
- Description: wybierz opisową nazwę dla interfejsu
Zarezerwowane sieci:
- Block bogon networks: zaznacz
Pozostaw pozostałe pola bez zmian.
Kliknij Zapisz i Zastosuj zmiany.

5. Skonfiguruj reguły zapory sieciowej
Używamy reguł zapory sieciowej, aby skierować cały ruch sieciowy przez skonfigurowany przed chwilą interfejs Proton VPN. Przejdź do Zapora sieciowa → NAT → Ruch wychodzący i wybierz Ręczne generowanie reguł NAT dla ruchu wychodzącego. Następnie kliknij Zapisz i Zastosuj zmiany.

W sekcji Mapowania zobaczysz listę sześciu reguł. W kolumnie Źródło 4 z tych reguł wskazują adresy 127.0.0.0/8 i ::1/128. Zignoruj je i Edytuj (kliknij ikonę ołówka w kolumnie Działania) pozostałe dwie reguły.

W przypadku obu reguł zmień Interfejs na interfejs Proton VPN utworzony przez Ciebie w kroku 4. Kliknij Zapisz i Zastosuj zmiany.

Uwaga: spowoduje to również automatyczne utworzenie bramy o takiej samej nazwie jak interfejs.

Ustawienia Mappings powinny teraz wyglądać następująco:

Przejdź do Zapora sieciowa → Reguły → LAN. Kliknij ikonę ✓ obok reguły Default allow LAN IPv6 to any rule, aby ją wyłączyć.

Przejdź do Default allow LAN to any rule → Edit (ikona ołówka).

Kliknij Display advanced → Gateway i wybierz bramę utworzoną w kroku 5. Kliknij Save oraz Apply Changes.

Teraz przejdź do Status → OpenVPN i kliknij ikonę Service → Restart, aby uruchomić ponownie klienta OpenVPN z nowymi ustawieniami.

Skonfiguruj ustawienia DNS
Cały ruch internetowy przechodzący przez zaporę sieciową pfSense będzie teraz kierowany przez serwer Proton VPN. Zapytania DNS jednak nie są tak kierowane. Aby to naprawić, musimy zmienić ustawienia DNS w pfSense.
Przejdź do System → General Setup → DNS Servers → DNS servers i wpisz następujące ustawienia:
- Serwery DNS → Adres: 10.2.0.1
- Serwery DNS → Brama: wybierz interfejs VPN utworzony w kroku 4
- Zastąpienie serwera DNS: zaznacz
- Sposób rozwiązywania nazw DNS: Użyj zdalnych serwerów DNS, ignoruj lokalny DNS

Teraz przejdź do Usługi → DNS Resolver → Wyjściowe interfejsy sieciowe i wpisz następujące ustawienia:
- Wyjściowe interfejsy sieciowe: wybierz interfejs VPN utworzony w kroku 4
- Przekazywanie zapytań DNS: zaznacz
Jeśli włączysz naszą funkcję blokady reklam NetShield, dodając sufiksy +f1 lub +f2 do swojej nazwy użytkownika OpenVPN (patrz Krok 3), musisz wyłączyć wsparcie dla DNSSEC.

Kliknij Zapisz i Zastosuj zmiany.
Konfiguracja została zakończona. Cały ruch sieciowy z Twojej sieci powinien być teraz bezpiecznie przekierowywany przez wybrany przez Ciebie serwer Proton VPN. Możesz to przetestować, odwiedzając nasz darmowy, bezpieczny skaner IP z dowolnego urządzenia w swojej sieci.
Opcjonalne modyfikacje
Możesz wykluczyć niektóre komputery w swojej sieci z korzystania z interfejsu VPN. Na przykład możesz woleć, aby Twoja konsola do gier łączyła się z internetem bez połączenia z VPN. Aby to zrobić:
1. Przejdź do Zapora sieciowa → Reguły → LAN → Dodaj.

2. Skonfiguruj ustawienia w następujący sposób:
- Akcja: Pass
- Disabled: odznaczone
- Interfejs: LAN
- Rodzina adresów: IPv4
- Protokół: Dowolny
- Źródło: Pojedynczy host lub alias i dodaj adres IP urządzenia, które chcesz wykluczyć
- Miejsce docelowe: Dowolne
- Logowanie: Bez zmian
- Opis: Dodaj opis

3. Kliknij Wyświetl zaawansowane i zmień Brama na WAN.

4. Kliknij Zapisz i Zastosuj zmiany.

5. Przejdź do Zapora sieciowa → NAT → Wychodzące i przełącz Tryb na Automatyczny, a następnie kliknij Zapisz i Zastosuj zmianę. Następnie przełącz Tryb z powrotem na Ręczny, po czym kliknij Zapisz i Zastosuj zmianę.

Spowoduje to utworzenie dwóch nowych reguł, które pozwolą wybranemu urządzeniu na dostęp do lokalnej sieci WAN.

Urządzenie jest teraz wykluczone z interfejsu VPN i będzie łączyć się z internetem przy użyciu adresu IP przypisanego przez Twojego ISP. Będzie jednak korzystać z serwera DNS Proton VPN.