Como configurar o Proton VPN no pfSense usando o OpenVPN
- Leitura
- 10 min
- Categoria
- Roteadores
Neste guia, mostramos a você como configurar o Proton VPN no pfSense 23.09 e no pfSense 2.7.x usando o protocolo VPN OpenVPN. Isso permite que seu roteador proteja qualquer dispositivo conectado a ele com uma conexão Proton VPN.
Se você estiver usando o pfSense 2.7.x, recomendamos usar o protocolo WireGuard® em vez disso.
Observe também que múltiplas conexões não são recomendadas ao usar o OpenVPN. Para esse caso de uso, recomendamos novamente o WireGuard.
- Saiba mais sobre OpenVPN vs. WireGuard
- Saiba como configurar o Proton VPN no pfSense usando o WireGuard
Antes de começar, você vai precisar de:
- Uma nova instalação do pfSense 23.09 ou pfSense 2.7.x
- Um computador conectado à sua rede LAN para que você possa acessar a interface do pfSense
- Seu nome de usuário e senha do OpenVPN. Eles são diferentes do seu nome de usuário e senha habituais do Proton VPN. Para encontrá-los, inicie sessão em account.protonvpn.com e vá em Conta → Nome de usuário do OpenVPN.

1. Crie um arquivo de configuração OpenVPN
Inicie sessão no Proton VPN usando o nome de usuário e a senha da sua conta Proton em account.protonvpn.com, acesse Downloads → Arquivos de configuração OpenVPN e baixe um arquivo de configuração OpenVPN. Certifique-se de escolher Selecione a plataforma: Roteador.
Saiba como baixar um arquivo de configuração OpenVPN do Proton VPN
Para configurar o pfSense, você precisará do certificado TLS(nova janela) deste arquivo de configuração. Para encontrá-lo, abra o arquivo de configuração do OpenVPN baixado em um editor de texto e procure pelo texto que começa com —–BEGIN CERTIFICATE—- e termina com –—-END CERTIFICATE—–.

Você também precisará do endereço IP e do número da porta do servidor VPN. Eles podem ser encontrados na primeira linha remote listada no certificado. O primeiro número é o endereço IP e o segundo número é o número da porta. No exemplo abaixo, o endereço IP é 185.159.157.6 e o número da porta é 51820

E, finalmente, você precisará da chave estática do OpenVPN. Ela começa com —–BEGIN OpenVPN Static key V1—- e termina com —–END OpenVPN Static key V1—–.

2. Adicione o certificado TLS ao pfSense
Insira 192.168.1.1 na barra de URL do seu navegador para abrir a interface web do pfSense. Inicie sessão e vá em Sistema → Certificados → Adicionar → Importar certificado.

Configure as seguintes configurações:
Criar / Editar CA. Vá em Autoridades → Adicionar e altere as seguintes configurações:
- Nome descritivo: este pode ser qualquer nome que você ache útil para descrever o certificado TLS do Proton
- Método: importar uma Autoridade de Certificação existente
Autoridade de Certificação existente
- Copie o certificado TLS do seu arquivo de configuração do OpenVPN e cole-o aqui

Clique em Salvar quando terminar.
3. Configure o cliente OpenVPN
Agora você adicionará um cliente OpenVPN para criptografar seus dados e enviá-los por um túnel até o servidor VPN.
Vá em VPN → OpenVPN → Clientes, clique em Adicionar e defina as seguintes configurações:
Informações gerais:
- Descrição: escolha um nome de exibição para esta configuração
- Desativado: desmarcado
Configuração do modo
- Modo do servidor: ponto a ponto (SSL/TLS)
- Modo do dispositivo: tun – Modo de túnel de Camada 3
Configuração do ponto de extremidade
- Protocolo: UDP apenas em IPv4 ou TCP apenas em IPv4 (sua escolha, mas deve corresponder ao arquivo de configuração que você baixou). Saiba mais sobre UDP vs. TCP.
- Interface: WAN
- Porta local: –
- Host ou endereço do servidor: consulte a Etapa 1 para encontrar essa informação.
- Porta do servidor: também consulte a Etapa 1 para encontrar essa informação.
- Host ou endereço de proxy: –
- Porta de proxy: –
- Autenticação de proxy: nenhuma

Configurações de autenticação do usuário
- Nome de usuário: seu nome de usuário do OpenVPN no Proton VPN
- Senha: sua senha do OpenVPN no Proton VPN
- Repetir autenticação: deixe desmarcado
Lembre-se: eles são diferentes do seu nome de usuário e senha habituais do Proton VPN. Para ativar recursos adicionais, adicione os seguintes sufixos ao seu nome de usuário do OpenVPN.
- NetShield Ad-blocker: +f1
- NetShield Ad-blocker avançado (disponível apenas se você tiver um plano pago, também bloqueia malware e rastreadores): +f2
Por exemplo, para ativar o NetShield Ad-blocker, insira nome_de_usuário+f1.

Configurações criptográficas
- Usar uma chave TLS: marcado
- Gerar automaticamente uma chave TLS: desmarcado
- Chave TLS: cole a chave estática do OpenVPN do arquivo de configuração do OpenVPN (consulte a Etapa 1)
- Modo de uso da chave TLS: Criptografia e autenticação TLS
- Direção do keydir do TLS: Usar direção padrão
- Autoridade de certificação do par: Proton AG (ou o nome descritivo que você usou no Passo 2)
- Lista de revogação de certificados do par: Deixar inalterado
- Certificado do cliente: Nenhum (Nome de usuário e/ou senha necessários)
- Negociação de criptografia de dados: Marcado
- Algoritmos de criptografia de dados: AES-256-GCM, CHACHA20-POLY1305
- Algoritmo alternativo de criptografia de dados: AES-256-GCM
- Algoritmo digest de autenticação: SHA256 (256-bit)
- Criptografia por hardware: O suporte para isso depende do seu dispositivo. Se for suportado, deve primeiro ser ativado acessando Sistema → Avançado → Diversos. Em caso de dúvida, selecione Sem aceleração de criptografia por hardware.
- Validação do uso da chave do certificado do servidor: Marcado

Configurações de túnel
- Rede de túnel IPv4: –
- Rede de túnel IPv6:-
- Rede(s) remota(s) IPv4: –
- Rede(s) remota(s) IPv6: –
- Limitar largura de banda de saída: – (a menos que você prefira o contrário)
- Permitir compressão: Recusar qualquer compressão que não seja stub (Mais seguro)
- Topologia: Sub-rede — Um endereço IP por cliente em uma sub-rede comum
- Tipo de serviço: Deixar desmarcado
- Não extrair rotas: Marcar
- Não adicionar/remover rotas: Deixar desmarcado
- Obter DNS: Marcar

Configurações de ping
- Deixe tudo nos valores padrão.

Configuração avançada
- Opções personalizadas: Adicione o seguinte:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Nota: estas configurações substituem as mostradas na captura de tela abaixo.
Para melhorar a confiabilidade da conexão, abra o arquivo de configuração do OpenVPN que você baixou com um editor de texto e localize as linhas que começam com remote. A partir da segunda linha “remote” para baixo, copie cada linha que começa com “remote” para o campo Opções personalizadas no pfSense, seguido por um ponto e vírgula.

- E/S rápida de UDP: Marcado
- Notificação de saída: Desativado
- Buffer de envio/recebimento: Padrão
- Criação de gateway: Somente IPv4
- Nível de detalhamento: 3 (recomendado)

Clique em Salvar e acesse Status → OpenVPN. Você deverá ver o novo cliente VPN com o seu Status mostrando up.

4. Configurar a interface OpenVPN
O cliente VPN agora está em execução, mas nenhum tráfego está sendo roteado por ele. Para rotear todo o seu tráfego de rede pelo túnel seguro do Proton VPN, você precisará configurar as interfaces e as regras de firewall.
Acesse Interfaces → Atribuições de interface → Portas de rede disponíveis e selecione o cliente VPN que você acabou de adicionar no menu suspenso → Adicionar.
Isso criará uma interface chamada OPTx (onde o x depende de quantas interfaces físicas seu roteador possui). Clique na interface recém-criada para configurá-la.

Acesse a guia Interfaces, clique em OPTx e insira as seguintes configurações·
Configuração geral:
- Enable: marcado
- Descrição: Escolha um nome descritivo para a interface
Redes reservadas:
- Bloquear redes bogon: Marcar
Deixe o restante dos campos inalterado.
Clique em Salvar e em Aplicar alterações.

5. Configure as regras de firewall
Usamos regras de firewall para rotear todo o tráfego pela interface do Proton VPN que acabamos de configurar. Acesse Firewall → NAT → Saída e selecione Geração manual de regras NAT de saída. Em seguida, clique em Salvar e em Aplicar alterações.

Em Mapeamentos, você verá seis regras listadas. Na coluna Origem, 4 dessas regras mostram os endereços 127.0.0.0/8 e ::1/128. Ignore-as e clique em Editar (clique no ícone de lápis na coluna Ações) nas outras duas regras.

Para ambas as regras, altere a Interface para a interface do Proton VPN que você criou no Passo 4. Clique em Salvar e em Aplicar alterações.

Nota: isso também cria automaticamente um gateway com o mesmo nome que a interface.

As configurações de Mappings devem ficar assim agora:

Acesse Firewall → Rules → LAN. Clique no ícone ✓ ao lado de Default allow LAN IPv6 to any rule para desativá-la.

Acesse Default allow LAN to any rule → Editar (ícone de lápis).

Clique em Display advanced → Gateway e selecione o gateway que criamos no Passo 5. Clique em Salvar e Aplicar alterações.

Agora acesse Status → OpenVPN e clique no ícone Service → Restart para reiniciar o cliente OpenVPN com as novas configurações.

Configure as configurações de DNS
Todo o tráfego de internet que passa pelo firewall do pfSense agora será roteado por um servidor Proton VPN. No entanto, as solicitações de DNS não serão. Para corrigir isso, precisamos alterar as configurações de DNS no pfSense.
Acesse System → General Setup → DNS Servers → DNS servers e insira as seguintes configurações:
- Servidores DNS → Endereço: 10.2.0.1
- Servidores DNS → Gateway: selecione a interface VPN que você criou no Passo 4
- DNS Server Override: marque
- DNS Resolution Behavior: usar servidores DNS remotos, ignorar o DNS local

Agora acesse Services → DNS Resolver → Outgoing Network Interfaces e insira as seguintes configurações:
- Outgoing Network Interfaces: selecione a interface VPN que você criou no Passo 4
- DNS Query Forwarding: marque
Se você ativou o nosso recurso de bloqueador de anúncios NetShield adicionando os sufixos +f1 ou +f2 ao seu nome de usuário do OpenVPN (consulte o Passo 3), você deve desativar o suporte ao DNSSEC.

Clique em Salvar e Aplicar alterações.
Sua configuração está concluída. Todo o tráfego da sua rede agora deve ser roteado com segurança através do servidor Proton VPN que você escolheu. Você pode testar isso visitando nosso scanner de IP seguro e gratuito de qualquer dispositivo na sua rede.
Ajustes opcionais
Você pode excluir alguns computadores da sua rede de usar a interface VPN. Por exemplo, você pode preferir que seu console de videogame acesse a internet sem estar conectado a uma VPN. Para fazer isso:
1. Acesse Firewall → Rules → LAN → Adicionar.

2. Configure as configurações da seguinte forma:
- Ação: Pass
- Desativado: desmarcado
- Interface: LAN
- Família de endereços: IPv4
- Protocolo: Any
- Origem: Single Host ou Alias e adicione o IP do dispositivo que deseja excluir
- Destino: Any
- Log: Unchanged
- Descrição: Adicione uma descrição

3. Clique em Display Advanced e altere o Gateway para WAN.

4. Clique em Salvar e Aplicar alterações.

5. Acesse Firewall → NAT → Outbound e mude o Modo para Automatic, depois clique em Salvar e em Aplicar alteração. Em seguida, mude o Modo de volta para Manual, depois clique em Salvar e em Aplicar alteração.

Isso cria duas novas regras que permitem que o dispositivo selecionado acesse a rede WAN local.

O dispositivo agora está excluído da interface VPN e acessará a internet usando o endereço IP atribuído pelo seu provedor de internet (ISP). No entanto, ele usará o servidor DNS do Proton VPN.