Proton VPN hemsida

Så konfigurerar du Proton VPN på pfSense med OpenVPN

Lästid
9 min
Kategori
Routrar

I den här guiden visar vi hur du konfigurerar Proton VPN på pfSense 23.09 och pfSense 2.7.x med VPN-protokollet OpenVPN. Detta gör att din router kan skydda alla enheter som är anslutna till den med en Proton VPN-anslutning.

Lär dig mer om OpenVPN

Om du använder pfSense 2.7.x rekommenderar vi att du använder WireGuard®-protokollet i stället.

Observera också att flera anslutningar inte rekommenderas när du använder OpenVPN. För detta användningsområde rekommenderar vi återigen WireGuard.

Innan du börjar behöver du:

  • En ny pfSense 23.09- eller pfSense 2.7.x-installation
  • En dator ansluten till ditt LAN-nätverk så att du kan få åtkomst till pfSense-frontenden
  • Ditt användarnamn och lösenord för OpenVPN. Dessa skiljer sig från ditt vanliga användarnamn och lösenord för Proton VPN. Du hittar dem genom att logga in på account.protonvpn.com och gå till KontoOpenVPN-användarnamn.

1. Skapa en OpenVPN-konfigurationsfil

Logga in på Proton VPN med ditt Proton-kontos användarnamn och lösenord på account.protonvpn.com, gå till NedladdningarOpenVPN-konfigurationsfiler, och ladda ner en OpenVPN-konfigurationsfil. Se till att Välj plattform: Router.

Lär dig hur du laddar ner en OpenVPN-konfigurationsfil från Proton VPN

För att konfigurera pfSense behöver du TLS-certifikatet(nytt fönster) från denna konfigurationsfil. För att hitta det öppnar du den nedladdade OpenVPN-konfigurationsfilen i en textredigerare och letar efter texten som börjar med —–BEGIN CERTIFICATE—- och slutar med –—-END CERTIFICATE—–.

OpenVPN TLS-certifikatet

Du behöver också VPN-serverns IP-adress och portnummer. Dessa hittar du på den första remote-raden i certifikatet. Det första numret är IP-adressen, och det andra numret är portnumret. I exemplet nedan är IP-adressen 185.159.157.6, och portnumret är 51820

Det första numret är IP-adressen och det andra numret är portnumret.

Och slutligen behöver du den statiska OpenVPN-nyckeln. Denna börjar med —–BEGIN OpenVPN Static key V1—- och slutar med —–END OpenVPN Static key V1—–.

Den statiska OpenVPN-nyckeln

2. Lägg till TLS-certifikatet i pfSense

Ange 192.168.1.1 i din webbläsares URL-fält för att öppna pfSense-webbgränssnittet. Logga in och gå till SystemCertificatesAdd → Import certificate.

Konfigurera följande inställningar:

Skapa / redigera CA. Gå till AuthoritiesAdd och ändra följande inställningar:

  • Descriptive name: Detta kan vara valfritt namn som du tycker är användbart för att beskriva Protons TLS-certifikat
  • Method: Import an existing Certificate Authority

Existing Certificate Authority

Konfigurera certifikatet

Klicka på Spara när du är klar.

3. Konfigurera OpenVPN-klienten

Du kommer nu att lägga till en OpenVPN-klient för att kryptera dina data och tunnla dem till VPN-servern.

Gå till VPNOpenVPNClients, klicka på Add och konfigurera följande inställningar:

Allmän information:

  • Description: Välj ett visningsnamn för denna konfiguration
  • Disabled: Avmarkerad

Lägeskonfiguration

  • Server Mode: Peer to Peer (SSL/TLS)
  • Device mode: tun – Layer 3 Tunnel Mode

Slutpunktskonfiguration

  • Protocol: Antingen UDP on IPv4 only eller TCP on IPv4 only (du väljer själv, men det måste matcha konfigurationsfilen du laddade ner). Lär dig mer om UDP vs TCP
  • Interface: WAN
  • Local Port: –
  • Server host or address: Se steg 1 för att hitta detta. 
  • Server port: Se även steg 1 för att hitta detta. 
  • Proxy host or address: –
  • Proxy port: –
  • Proxy Authentication: none
Konfigurera OpenVPN-klient 1

Inställningar för användarautentisering

  • Username: Ditt Proton VPN OpenVPN-användarnamn
  • Password: Ditt Proton VPN OpenVPN-lösenord
  • Authentication Retry: Lämna avmarkerad

Kom ihåg: Dessa skiljer sig från ditt vanliga användarnamn och lösenord för Proton VPN. För att aktivera ytterligare funktioner lägger du till följande suffix till ditt OpenVPN-användarnamn.

  • NetShield Ad-blocker: +f1
  • NetShield Ad-blocker avancerat (endast tillgängligt om du har ett betalt paket, blockerar även skadlig kod och spårare): +f2

För att exempelvis aktivera NetShield Ad-blocker anger du användarnamn+f1.

Konfigurera OpenVPN-klient 2

Kryptografiska inställningar

  • Use a TLS Key: Markerad
  • Automatically generate a TLS Key: Avmarkerad
  • TLS Key: Klistra in den statiska OpenVPN-nyckeln från OpenVPN-konfigurationsfilen (se steg 1)
  • TLS Key Usage Mode: TLS-kryptering och -autentisering
  • TLS keydir direction: Använd standardriktning
  • Peer Certificate Authority: Proton AG (eller det beskrivande namn du använde i steg 2)
  • Peer Certificate Revocation List: Lämna oförändrad
  • Client Certificate: Inget (användarnamn och/eller lösenord krävs)
  • Data Encryption Negotiation: Markerad
  • Data Encryption Algorithms: AES-256-GCM, CHACHA20-POLY1305
  • Fallback Data Encryption Algorithm: AES-256-GCM
  • Auth digest algorithm: SHA256 (256-bitars)
  • Hardware Crypto: Huruvida detta stöds beror på din enhet. Om det stöds måste det först aktiveras genom att gå till SystemAvanceratMiscellaneous. Om du är osäker väljer du No hardware crypto acceleration.
  • Server Certificate Key Usage Validation: Markerad
Ports explained

Tunnelinställningar

  • IPv4 Tunnel Network: –
  • IPv6 Tunnel Network:-
  • IPv4 Remote network(s): –
  • IPv6 Remote network(s): –
  • Limit outgoing bandwidth: – (om du inte föredrar något annat)
  • Allow Compression: Neka all icke-stub-komprimering (säkrast)
  • Topology: Subnät – En IP-adress per klient i ett gemensamt subnät
  • Type of service: Lämna omarkerad
  • Don’t pull routes: Markera
  • Don’t add/remove routes: Lämna omarkerad
  • Pull DNS: Markera
Konfigurera OpenVPN-klient 4

Ping-inställningar

  • Lämna allt på standardvärdena.
Konfigurera OpenVPN-klient 5

Avancerad konfiguration

  • Custom Options: Lägg till följande:

tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;

Obs! Dessa konfigurationsinställningar ersätter de som visas i skärmdumpen nedan.

För att förbättra anslutningens tillförlitlighet öppnar du OpenVPN-konfigurationsfilen som du laddade ner med en textredigerare och letar upp raderna som börjar med remote. Från och med den andra remote-raden kopierar du varje rad som börjar med remote till fältet Custom Options i pfSense, följt av ett semikolon.

how port forwarding works

  • UDP Fast I/O: Markerad
  • Exit Notify: Inaktiverad
  • Send/Receive Buffer: Standard
  • Gateway creation: Endast IPv4
  • Verbosity level: 3 (rekommenderas)
Konfigurera OpenVPN-klient 6

Klicka på Spara och gå till StatusOpenVPN. Du bör se den nya VPN-klienten med dess Status som visar up.

OpenVPN-klienten bör nu vara igång

4. Konfigurera OpenVPN-gränssnittet

VPN-klienten är nu igång, men ingen trafik dirigeras genom den. För att dirigera all din nätverkstrafik genom den säkra Proton VPN-tunneln måste du konfigurera gränssnitten och brandväggsreglerna.

Gå till InterfacesInterface Assignments → Available network ports och välj den VPN-klient du just lade till i rullgardinsmenyn → Lägg till.

Detta skapar ett gränssnitt med namnet OPTx (där x beror på hur många fysiska gränssnitt din router har). Klicka på det nyskapade gränssnittet för att konfigurera det.

Konfigurera OpenVPN-gränssnitt 1

Gå till fliken Interfaces, klicka på OPTx och ange följande konfigurationsinställningar:

Allmän konfiguration:

  • Enable: markerad
  • Description: Välj ett beskrivande namn för gränssnittet

Reserverade nätverk:

  • Block bogon networks: Markera

Lämna resten av fälten oförändrade.

Klicka på Spara och Tillämpa ändringar.

Konfigurera OpenVPN-gränssnittet 2

5. Konfigurera brandväggsregler

Vi använder brandväggsregler för att dirigera all trafik genom det Proton VPN-gränssnitt vi just konfigurerat. Gå till FirewallNATOutbound och välj Manual Outbound NAT rule generation. Klicka sedan på Spara och Tillämpa ändringar.

Konfigurera brandväggsregler 1

Under Mappings ser du sex listade regler. I kolumnen Source visar 4 av dessa regler adresserna 127.0.0.0/8 och ::1/128. Ignorera dessa och redigera (klicka på pennikonen i Actions-kolumnen) de andra två reglerna.

Konfigurera brandväggsregler 2

För båda reglerna ändrar du Interface till det Proton VPN-gränssnitt du skapade i steg 4. Klicka på Spara och Tillämpa ändringar.

Configure firewall rules 3

Observera: detta skapar automatiskt också en gateway med samma namn som gränssnittet.

Konfigurera brandväggsregler 4

Inställningarna för Mappings bör nu se ut så här:

Konfigurera brandväggsregler 5

Gå till BrandväggReglerLAN. Klicka på ikonen bredvid Default allow LAN IPv6 to any rule för att inaktivera den.

Configure firewall rules 6

Gå till Default allow LAN to any rule Redigera (pennikonen).

Konfigurera brandväggsregler 7

Klicka på Visa avanceratGateway och välj den gateway vi skapade i steg 5. Klicka på Spara och Tillämpa ändringar.

Konfigurera brandväggsregler 8

Gå nu till StatusOpenVPN och klicka på ikonen TjänstStarta om för att starta om OpenVPN-klienten med de nya inställningarna.

Konfigurera brandväggsregler 9

Konfigurera DNS-inställningar

All internettrafik som passerar genom pfSense-brandväggen kommer nu att dirigeras via en Proton VPN-server. Det gör däremot inte DNS-förfrågningar. För att åtgärda detta måste vi ändra DNS-inställningarna i pfSense.

Gå till System → Allmän konfiguration → DNS-servrar → DNS-servrar och ange följande inställningar:

  • DNS-servrarAdress: 10.2.0.1
  • DNS-servrarGateway: välj det VPN-gränssnitt du skapade i steg 4
  • DNS Server Override: markera
  • DNS Resolution Behavior: Använd fjärranslutna DNS-servrar, ignorera lokal DNS
Konfigurera inställningar för DNS-server

Gå nu till TjänsterDNS-upplösareUtgående nätverksgränssnitt och ange följande inställningar:

  • Utgående nätverksgränssnitt: välj det VPN-gränssnitt du skapade i steg 4
  • DNS Query Forwarding: markera

Om du har aktiverat vår NetShield-annonsblockerare genom att lägga till suffixen +f1 eller +f2 till ditt OpenVPN-användarnamn (se steg 3), måste du inaktivera stöd för DNSSEC.

Konfigurera allmänna alternativ för DNS-upplösare

Klicka på Spara och Tillämpa ändringar.

Din konfiguration är nu klar. All trafik från ditt nätverk bör nu dirigeras säkert genom den Proton VPN-server du valde. Du kan testa detta genom att besöka vår kostnadsfria säkra IP-skanner från valfri enhet i ditt nätverk.

Valfria justeringar

Du kan exkludera vissa datorer i ditt nätverk från att använda VPN-gränssnittet. Du kanske till exempel föredrar att din spelkonsol ansluter till internet utan att vara ansluten till ett VPN. För att göra detta:

1. Gå till BrandväggReglerLANLägg till.

Exkludera en enhet från VPN 1

2. Konfigurera inställningarna på följande sätt:

  • Åtgärd: Pass
  • Disabled: Avmarkerad
  • Gränssnitt: LAN
  • Adressfamilj: IPv4
  • Protokoll: Alla
  • Källa: Single Host or Alias och lägg till IP-adressen för den enhet du vill exkludera
  • Destination: Alla
  • Logg: Oförändrad
  • Beskrivning: Lägg till en beskrivning
pfSense-konfiguration 22

3. Klicka på Visa avancerat och ändra Gateway till WAN.

pfSense-konfiguration 23

4. Klicka på Spara och Tillämpa ändringar.

Exkludera en enhet från VPN 4

5. Gå till BrandväggNATUtgående och ändra Läge till Automatiskt, klicka sedan på Spara och Tillämpa ändringar. Ändra sedan Läge tillbaka till Manuellt, och klicka sedan på Spara och Tillämpa ändringar.

Exkludera en enhet från VPN 5

Detta skapar två nya regler som ger den valda enheten åtkomst till det lokala WAN-nätverket.

pfSense-konfiguration 24

Enheten är nu exkluderad från VPN-gränssnittet och kommer att ansluta till internet med den IP-adress som tilldelats av din internetleverantör. Den kommer dock att använda Proton VPN:s DNS-server.