Så konfigurerar du Proton VPN på pfSense med OpenVPN
- Lästid
- 9 min
- Kategori
- Routrar
I den här guiden visar vi hur du konfigurerar Proton VPN på pfSense 23.09 och pfSense 2.7.x med VPN-protokollet OpenVPN. Detta gör att din router kan skydda alla enheter som är anslutna till den med en Proton VPN-anslutning.
Om du använder pfSense 2.7.x rekommenderar vi att du använder WireGuard®-protokollet i stället.
Observera också att flera anslutningar inte rekommenderas när du använder OpenVPN. För detta användningsområde rekommenderar vi återigen WireGuard.
- Lär dig mer om OpenVPN vs. WireGuard
- Lär dig hur du konfigurerar Proton VPN på pfSense med WireGuard
Innan du börjar behöver du:
- En ny pfSense 23.09- eller pfSense 2.7.x-installation
- En dator ansluten till ditt LAN-nätverk så att du kan få åtkomst till pfSense-frontenden
- Ditt användarnamn och lösenord för OpenVPN. Dessa skiljer sig från ditt vanliga användarnamn och lösenord för Proton VPN. Du hittar dem genom att logga in på account.protonvpn.com och gå till Konto → OpenVPN-användarnamn.

1. Skapa en OpenVPN-konfigurationsfil
Logga in på Proton VPN med ditt Proton-kontos användarnamn och lösenord på account.protonvpn.com, gå till Nedladdningar → OpenVPN-konfigurationsfiler, och ladda ner en OpenVPN-konfigurationsfil. Se till att Välj plattform: Router.
Lär dig hur du laddar ner en OpenVPN-konfigurationsfil från Proton VPN
För att konfigurera pfSense behöver du TLS-certifikatet(nytt fönster) från denna konfigurationsfil. För att hitta det öppnar du den nedladdade OpenVPN-konfigurationsfilen i en textredigerare och letar efter texten som börjar med —–BEGIN CERTIFICATE—- och slutar med –—-END CERTIFICATE—–.

Du behöver också VPN-serverns IP-adress och portnummer. Dessa hittar du på den första remote-raden i certifikatet. Det första numret är IP-adressen, och det andra numret är portnumret. I exemplet nedan är IP-adressen 185.159.157.6, och portnumret är 51820

Och slutligen behöver du den statiska OpenVPN-nyckeln. Denna börjar med —–BEGIN OpenVPN Static key V1—- och slutar med —–END OpenVPN Static key V1—–.

2. Lägg till TLS-certifikatet i pfSense
Ange 192.168.1.1 i din webbläsares URL-fält för att öppna pfSense-webbgränssnittet. Logga in och gå till System → Certificates → Add → Import certificate.

Konfigurera följande inställningar:
Skapa / redigera CA. Gå till Authorities → Add och ändra följande inställningar:
- Descriptive name: Detta kan vara valfritt namn som du tycker är användbart för att beskriva Protons TLS-certifikat
- Method: Import an existing Certificate Authority
Existing Certificate Authority
- Kopiera TLS-certifikatet från din OpenVPN-konfigurationsfil och klistra in det här

Klicka på Spara när du är klar.
3. Konfigurera OpenVPN-klienten
Du kommer nu att lägga till en OpenVPN-klient för att kryptera dina data och tunnla dem till VPN-servern.
Gå till VPN → OpenVPN → Clients, klicka på Add och konfigurera följande inställningar:
Allmän information:
- Description: Välj ett visningsnamn för denna konfiguration
- Disabled: Avmarkerad
Lägeskonfiguration
- Server Mode: Peer to Peer (SSL/TLS)
- Device mode: tun – Layer 3 Tunnel Mode
Slutpunktskonfiguration
- Protocol: Antingen UDP on IPv4 only eller TCP on IPv4 only (du väljer själv, men det måste matcha konfigurationsfilen du laddade ner). Lär dig mer om UDP vs TCP.
- Interface: WAN
- Local Port: –
- Server host or address: Se steg 1 för att hitta detta.
- Server port: Se även steg 1 för att hitta detta.
- Proxy host or address: –
- Proxy port: –
- Proxy Authentication: none

Inställningar för användarautentisering
- Username: Ditt Proton VPN OpenVPN-användarnamn
- Password: Ditt Proton VPN OpenVPN-lösenord
- Authentication Retry: Lämna avmarkerad
Kom ihåg: Dessa skiljer sig från ditt vanliga användarnamn och lösenord för Proton VPN. För att aktivera ytterligare funktioner lägger du till följande suffix till ditt OpenVPN-användarnamn.
- NetShield Ad-blocker: +f1
- NetShield Ad-blocker avancerat (endast tillgängligt om du har ett betalt paket, blockerar även skadlig kod och spårare): +f2
För att exempelvis aktivera NetShield Ad-blocker anger du användarnamn+f1.

Kryptografiska inställningar
- Use a TLS Key: Markerad
- Automatically generate a TLS Key: Avmarkerad
- TLS Key: Klistra in den statiska OpenVPN-nyckeln från OpenVPN-konfigurationsfilen (se steg 1)
- TLS Key Usage Mode: TLS-kryptering och -autentisering
- TLS keydir direction: Använd standardriktning
- Peer Certificate Authority: Proton AG (eller det beskrivande namn du använde i steg 2)
- Peer Certificate Revocation List: Lämna oförändrad
- Client Certificate: Inget (användarnamn och/eller lösenord krävs)
- Data Encryption Negotiation: Markerad
- Data Encryption Algorithms: AES-256-GCM, CHACHA20-POLY1305
- Fallback Data Encryption Algorithm: AES-256-GCM
- Auth digest algorithm: SHA256 (256-bitars)
- Hardware Crypto: Huruvida detta stöds beror på din enhet. Om det stöds måste det först aktiveras genom att gå till System → Avancerat → Miscellaneous. Om du är osäker väljer du No hardware crypto acceleration.
- Server Certificate Key Usage Validation: Markerad

Tunnelinställningar
- IPv4 Tunnel Network: –
- IPv6 Tunnel Network:-
- IPv4 Remote network(s): –
- IPv6 Remote network(s): –
- Limit outgoing bandwidth: – (om du inte föredrar något annat)
- Allow Compression: Neka all icke-stub-komprimering (säkrast)
- Topology: Subnät – En IP-adress per klient i ett gemensamt subnät
- Type of service: Lämna omarkerad
- Don’t pull routes: Markera
- Don’t add/remove routes: Lämna omarkerad
- Pull DNS: Markera

Ping-inställningar
- Lämna allt på standardvärdena.

Avancerad konfiguration
- Custom Options: Lägg till följande:
tun-mtu 1500;
mssfix 0;
reneg-sec 0;
remote-cert-tls server;
Obs! Dessa konfigurationsinställningar ersätter de som visas i skärmdumpen nedan.
För att förbättra anslutningens tillförlitlighet öppnar du OpenVPN-konfigurationsfilen som du laddade ner med en textredigerare och letar upp raderna som börjar med remote. Från och med den andra remote-raden kopierar du varje rad som börjar med remote till fältet Custom Options i pfSense, följt av ett semikolon.

- UDP Fast I/O: Markerad
- Exit Notify: Inaktiverad
- Send/Receive Buffer: Standard
- Gateway creation: Endast IPv4
- Verbosity level: 3 (rekommenderas)

Klicka på Spara och gå till Status → OpenVPN. Du bör se den nya VPN-klienten med dess Status som visar up.

4. Konfigurera OpenVPN-gränssnittet
VPN-klienten är nu igång, men ingen trafik dirigeras genom den. För att dirigera all din nätverkstrafik genom den säkra Proton VPN-tunneln måste du konfigurera gränssnitten och brandväggsreglerna.
Gå till Interfaces → Interface Assignments → Available network ports och välj den VPN-klient du just lade till i rullgardinsmenyn → Lägg till.
Detta skapar ett gränssnitt med namnet OPTx (där x beror på hur många fysiska gränssnitt din router har). Klicka på det nyskapade gränssnittet för att konfigurera det.

Gå till fliken Interfaces, klicka på OPTx och ange följande konfigurationsinställningar:
Allmän konfiguration:
- Enable: markerad
- Description: Välj ett beskrivande namn för gränssnittet
Reserverade nätverk:
- Block bogon networks: Markera
Lämna resten av fälten oförändrade.
Klicka på Spara och Tillämpa ändringar.

5. Konfigurera brandväggsregler
Vi använder brandväggsregler för att dirigera all trafik genom det Proton VPN-gränssnitt vi just konfigurerat. Gå till Firewall → NAT → Outbound och välj Manual Outbound NAT rule generation. Klicka sedan på Spara och Tillämpa ändringar.

Under Mappings ser du sex listade regler. I kolumnen Source visar 4 av dessa regler adresserna 127.0.0.0/8 och ::1/128. Ignorera dessa och redigera (klicka på pennikonen i Actions-kolumnen) de andra två reglerna.

För båda reglerna ändrar du Interface till det Proton VPN-gränssnitt du skapade i steg 4. Klicka på Spara och Tillämpa ändringar.

Observera: detta skapar automatiskt också en gateway med samma namn som gränssnittet.

Inställningarna för Mappings bör nu se ut så här:

Gå till Brandvägg → Regler → LAN. Klicka på ikonen ✓ bredvid Default allow LAN IPv6 to any rule för att inaktivera den.

Gå till Default allow LAN to any rule → Redigera (pennikonen).

Klicka på Visa avancerat → Gateway och välj den gateway vi skapade i steg 5. Klicka på Spara och Tillämpa ändringar.

Gå nu till Status → OpenVPN och klicka på ikonen Tjänst → Starta om för att starta om OpenVPN-klienten med de nya inställningarna.

Konfigurera DNS-inställningar
All internettrafik som passerar genom pfSense-brandväggen kommer nu att dirigeras via en Proton VPN-server. Det gör däremot inte DNS-förfrågningar. För att åtgärda detta måste vi ändra DNS-inställningarna i pfSense.
Gå till System → Allmän konfiguration → DNS-servrar → DNS-servrar och ange följande inställningar:
- DNS-servrar → Adress: 10.2.0.1
- DNS-servrar → Gateway: välj det VPN-gränssnitt du skapade i steg 4
- DNS Server Override: markera
- DNS Resolution Behavior: Använd fjärranslutna DNS-servrar, ignorera lokal DNS

Gå nu till Tjänster → DNS-upplösare → Utgående nätverksgränssnitt och ange följande inställningar:
- Utgående nätverksgränssnitt: välj det VPN-gränssnitt du skapade i steg 4
- DNS Query Forwarding: markera
Om du har aktiverat vår NetShield-annonsblockerare genom att lägga till suffixen +f1 eller +f2 till ditt OpenVPN-användarnamn (se steg 3), måste du inaktivera stöd för DNSSEC.

Klicka på Spara och Tillämpa ändringar.
Din konfiguration är nu klar. All trafik från ditt nätverk bör nu dirigeras säkert genom den Proton VPN-server du valde. Du kan testa detta genom att besöka vår kostnadsfria säkra IP-skanner från valfri enhet i ditt nätverk.
Valfria justeringar
Du kan exkludera vissa datorer i ditt nätverk från att använda VPN-gränssnittet. Du kanske till exempel föredrar att din spelkonsol ansluter till internet utan att vara ansluten till ett VPN. För att göra detta:
1. Gå till Brandvägg → Regler → LAN → Lägg till.

2. Konfigurera inställningarna på följande sätt:
- Åtgärd: Pass
- Disabled: Avmarkerad
- Gränssnitt: LAN
- Adressfamilj: IPv4
- Protokoll: Alla
- Källa: Single Host or Alias och lägg till IP-adressen för den enhet du vill exkludera
- Destination: Alla
- Logg: Oförändrad
- Beskrivning: Lägg till en beskrivning

3. Klicka på Visa avancerat och ändra Gateway till WAN.

4. Klicka på Spara och Tillämpa ändringar.

5. Gå till Brandvägg → NAT → Utgående och ändra Läge till Automatiskt, klicka sedan på Spara och Tillämpa ändringar. Ändra sedan Läge tillbaka till Manuellt, och klicka sedan på Spara och Tillämpa ändringar.

Detta skapar två nya regler som ger den valda enheten åtkomst till det lokala WAN-nätverket.

Enheten är nu exkluderad från VPN-gränssnittet och kommer att ansluta till internet med den IP-adress som tilldelats av din internetleverantör. Den kommer dock att använda Proton VPN:s DNS-server.