ブログ

pfSense で独自の OpenVPN サーバーをセットアップする方法

pfSense OpenVPN サーバーのセットアップ



pfSense は、FreeBSD をベースにした強力なオープンソースのファイアウォール/ルーターです。一般的な消費者向けルーターの代わりに pfSense を使用すると、多くの利点があります。脆弱性にパッチを適用するために OS を頻繁にアップデートすることは重要です。ほとんどの消費者向けルーターはファームウェアのアップデートを取得せず、ほとんどの人はルーターを 5 年以上使用します。しかし、pfSense には、セキュリティの向上を超えて、その包括的な GUI のおかげで、ほとんどすべてのネットワーク構成を簡単に構成できるツールが多数含まれています。

pfSense で簡単にセットアップできるものの 1 つは、独自の OpenVPN サーバーです。ルーター上で VPN サーバーを実行すると、ホーム ネットワークに安全に接続でき、どこからでもローカル マシンにアクセスしたり、リモート デバイスからホーム インターネット接続を使用したりできます。それがこの記事で見ていきたいことです。 pfSense で独自の OpenVPN サーバーを構成するために必要なすべての手順を説明します。



の設定方法を学ぶには、 pfSense の商用 VPN プロバイダーへの OpenVPN クライアント接続 、専用ガイドをお読みください。

以下も参照してください。 pfSense に最適な VPN



このガイドは、WAN および LAN インターフェイスが動作するように pfSense がセットアップされていることを前提としています。

pfSense - WAN と LAN

指示で無視される設定は、デフォルト値のまま(つまり、変更しない)にする必要があります。

認証について考える

OpenVPN サーバーを構成する前に、認証方法を選択する必要があります。 OpenVPN と pfSense はどちらも、パスワードベースの認証、証明書ベースの認証、またはその両方をサポートしています。このガイドでは、すべての基本をカバーするために両方を使用します。ただし、どちらかを選択するのは自由です。パスワードベースの認証のみを使用することを選択した場合は、ユーザー証明書を生成する手順をスキップできます。ただし、サーバー証明書だけでなく認証局も生成する必要があります。

認証局 (CA) の生成

最初に行う必要があるのは、OpenVPN サーバーの ID を検証し、ユーザー証明書 (有効な場合) を認証する認証局 (CA) を生成することです。

  1. 画面上部のメニューから、 システム > 証明書マネージャーpfSense - 証明書マネージャー
  2. クリック 追加 右下のボタン。 pfSense - 「追加」をクリックします
  3. CA の名前を入力します。
  4. 確認する 方法 に設定されています 内部認証局を作成する
  5. を選択してください キーの種類 。使用します RSA この例ではこれを使用しますが、次を使用することもできます ECDSA
  6. を設定してください キーの長さ 少なくとも 2048年 。使用します 4096 この例では。
  7. を設定してください ダイジェストアルゴリズム 少なくとも しゃ256 。使用します しゃ512 この例では。
  8. を選択してください 一般名 証明書についてはデフォルトのままにするか、 内部-CApfSense - CA の構成
  9. クリック 保存 一番下にあります。認証局が作成されました。 pfSense - CA 作成

サーバー証明書の生成

  1. まだそこにいない場合は、画面上部のメニューから、 システム > 証明書マネージャー
  2. を選択 証明書 サブメニュー。 pfSense - 証明書マネージャー
  3. から 証明書 サブメニューで、 追加/署名 右下のボタン。
  4. 確認する 方法 に設定されています 内部証明書を作成する
  5. 入力します わかりやすい名前 あなたの証明書のために。
  6. 認証局に設定したのと同じ値を使用します。 キーの種類 そして 長さ 、同様に、 ダイジェストアルゴリズム
  7. をセットする 一生365 日々。
  8. 選択するサーバー証明書として 証明書の種類pfSense - サーバー証明書
  9. クリック 保存 。サーバー証明書が作成されました。

OpenVPN ユーザーとユーザー証明書を作成する

次に、OpenVPN サーバーにアクセスするためのユーザーを作成する必要があります。

このガイドでは 1 人のユーザーを作成しますが、必要なだけユーザーを作成できます。これらの手順を繰り返すだけです。

  1. 画面上部のメニューから、 システム > ユーザーマネージャー 。あなたはに連れて行かれます ユーザーマネージャーpfSense - ユーザー マネージャー
  2. クリック 追加 右下のボタン。
  3. 入力します ユーザー名 そして パスワード ユーザーのために。 pfSense - ユーザーの構成
  4. クリック 保存 。 OpenVPN ユーザーを作成すると、次の画面に戻ります。 ユーザーマネージャーpfSense - ユーザー作成
  5. 証明書ベースの認証または証明書とパスワードベースの認証用にサーバーを設定することを選択した場合は、 鉛筆アイコン 新しいユーザーの右側にあるあなたは元の場所に連れ戻されます ユーザーの編集 窓。
  6. クリック 追加 下のボタン ユーザー証明書 。連れて行かれるのは、 証明書 マネージャー をクリックすると、ユーザー証明書のパラメータを入力するように求められます。 pfSense - ユーザー証明書の追加
  7. 確認する 方法 に設定されています 内部証明書を作成する
  8. 入力します わかりやすい名前 あなたの証明書のために。
  9. 認証局に設定したのと同じ値を設定します。 キーの種類と長さ 、同様に、 ダイジェストアルゴリズム
  10. ライフタイムを次のように設定します 365 日々。
  11. 確認する 証明書 タイプ に設定されています ユーザー 証明書pfSense - ユーザー証明書
  12. クリック 保存 。あなたは元の場所に連れ戻されます ユーザー マネージャー 、新しく作成したユーザー証明書が OpenVPN ユーザーに関連付けられていることがわかります。 pfSense - ユーザー証明書を追加しました
  13. クリック 保存

OpenVPN サーバーの作成

これで、OpenVPN サーバーを作成する準備が整いました。

  1. 画面上部のメニューから、 VPN > OpenVPN 。あなたはに連れて行かれます OpenVPN サーバー サブメニュー。 pfSense - OpenVPN サーバー
  2. クリック 追加 右下のボタン。

一般情報

  1. をセットする サーバーモード どちらかに リモートアクセス(SSL/TLS)リモートアクセス(ユーザー認証) 、 または リモートアクセス (SSL/TLS + ユーザー認証) 。上で述べたように、私は使用します リモートアクセス (SSL/TLS + ユーザー認証) この例では。
  2. 変更 ローカルポート ネットワーク トポロジで必要な場合は別のポートに接続するか、デフォルトのままにしておきます ( 1194 )。
  3. サーバーの名前を入力します。 説明 分野。 pfSense - サーバー - 一般情報

暗号化設定

  1. 確認する TLS キーを使用する そして TLS キーを自動的に生成する 有効になっています。
  2. 必ず確認してください ピア 証明書 権限 は、前に作成した CA に設定されます。
  3. をセットする サーバ 証明書 フィールドを、前に作成したサーバー証明書に追加します。
  4. には 4096 を選択します DH パラメータ 長さ 設定。
  5. をセットする 認証 ダイジェスト アルゴリズムRSA-SHA512 (512ビット)pfSense - サーバー - 暗号化設定

トンネル設定

  1. の中に IPv4トンネルネットワーク フィールドに、OpenVPN ネットワークの内部サブネットとして使用する、ネットワーク上に存在しないサブネットを入力します。私の場合、使用しているのは、 192.168.2.0/24
  2. ネットワークが IPv6 もサポートしており、OpenVPN トンネルでも IPv6 をサポートしたい場合は、未使用の IPv6 サブネットを IPv6トンネルネットワーク 分野。この例では、サーバーを IPv4 のみに設定しています。
  3. 有効にする リダイレクトIPv4ゲートウェイ すべての IPv4 トラフィックを VPN トンネル経由でルーティングするためです。
  4. 有効にする リダイレクトIPv6ゲートウェイ 必要に応じて、すべての IPv6 トラフィックを VPN トンネル経由でルーティングします。 pfSense - サーバー - トンネル設定

高度な構成

  1. 有効にする UDP高速I/O
  2. IPv4 のみを使用している場合は、[IPv4] を選択します。 IPv4のみ の中に ゲートウェイの作成 分野。 IPv4 と IPv6 の両方を使用している場合は、設定のままにしておきます。 両方。 pfSense - サーバー - 詳細構成
  3. クリック 保存 。 OpenVPN サーバーの作成が完了しました。 pfSense - サーバーが作成されました

OpenVPN サーバー構成の確認

  1. サーバーが正しく設定されていることを確認するには、次を選択してください ステータス > システムログ トップメニューから。
  2. を選択 OpenVPN サブメニュー。 OpenVPN ログが表示されます。
  3. すべてが正しく設定されている場合は、次のように表示されます。 初期化シーケンスが完了しました ログにあります。 pfSense - OpenVPN ログ

ファイアウォールルールを作成する

OpenVPN サーバーが構成されたので、サーバーとの間のトラフィックを許可するファイアウォール ルールを作成する必要があります。

OpenVPN ルール

このルールにより、OpenVPN サブネットからインターネットへのトラフィックが許可されます。

  1. 画面上部のメニューから、 ファイアウォール > ルール
  2. を選択 OpenVPN サブメニュー。
  3. クリック 追加 ボタンをクリックして、リストの上部に新しいルールを作成します。 pfSense - ファイアウォール ルール - [追加] をクリックします
  4. をセットする アドレスファミリーIPv4 + IPv6 システムが IPv4 と IPv6 の両方を使用している場合。そうでない場合は、デフォルト値のままにしておきます。 IPv4
  5. をセットする プロトコル フィールドから どれでも
  6. をセットする ソース通信網
  7. [送信元アドレス] フィールドに、前に指定した OpenVPN サブネットを入力します。ただし、 /24 。例えば: 192.168.2.0
  8. 選択する 24 の右側にあるドロップダウン メニューから 送信元アドレス 分野。
  9. このルールの説明を 説明 分野。 pfSense - ファイアウォール - OpenVPN ルール
  10. クリック 保存 。そしてクリックしてください 変更を適用する 。これで、OpenVPN サブネットからファイアウォールを通過するトラフィックが許可されます。 pfSense - ファイアウォール - 適用

WAN ルール

外部 (インターネットなど) から OpenVPN サーバーに接続するには、サーバーが実行されているポートを開く必要があります ( 1194 、この例では) WAN インターフェイス上にあります。このルールにより、クライアントはインターネットから OpenVPN サーバーに接続できるようになります。

  1. 画面上部のメニューから、 ファイアウォール > ルール
  2. を選択 による サブメニュー (デフォルト)。
  3. クリック 追加 ボタンをクリックして、リストの上部に新しいルールを作成します。
  4. をセットする アドレスファミリーIPv4 + IPv6 システムが IPv4 と IPv6 の両方を使用している場合。そうでない場合は、デフォルト値のままにしておきます。 IPv4
  5. 確認する ソース に設定されています どれでも
  6. をセットする プロトコル フィールドから UDP
  7. をセットする 行き先 ポート 範囲1194
  8. このルールの説明を 説明 分野。 pfSense - ファイアウォール - WAN ルール
  9. クリック 保存 。そしてクリックしてください 変更を適用する 。これで、インターネットから OpenVPN サーバーへのトラフィックが許可されます。 pfSense - ファイアウォール - WAN ルールが作成されました

OpenVPN クライアント エクスポート ユーティリティをインストールする

OpenVPN クライアントを簡単に構成するために、pfSense は OpenVPN 用の自動構成ジェネレーターを提供します。ただし、デフォルトではインストールされません。 pfSense パッケージ マネージャーからパッケージを手動でインストールする必要があります。

  1. 画面上部のメニューから、 システム > パッケージマネージャー 。あなたはに連れて行かれます パッケージマネージャー
  2. を選択 利用可能 パッケージ サブメニュー。 pfSense - パッケージマネージャー
  3. が表示されるまで下にスクロールします openvpn-クライアント-エクスポート そして、 インストール その右側にあるボタンをクリックします。連れて行かれるのは、 パッケージインストーラー ページ。 pfSense - クライアント エクスポート ユーティリティのインストール
  4. クリック 確認する 。インストールが始まります。 pfSense - パッケージマネージャー - 確認
  5. インストールが完了すると、進行状況バーが緑色に変わり、次のことが表示されます。 成功 に表示される パッケージのインストール 窓。 pfSense - パッケージがインストールされました

OpenVPN クライアント構成をエクスポートする

  1. 画面上部のメニューから、 VPN > OpenVPN
  2. を選択 クライアント 輸出 サブメニュー。
  3. の横に正しい OpenVPN サーバーが選択されていることを確認してください。 リモートアクセスサーバー
  4. 使用している場合 ダイナミックDNS pfSense WAN にアクセスするには、選択します 他の から ホスト名解決 ドロップダウンメニュー。次にホスト名を入力します。 ホスト名 以下に表示されるボックス。これにより、IP アドレスではなくホスト名で pfSense WAN にアクセスできるようになります。つまり、ISP が WAN IP アドレスを変更しても、OpenVPN サーバーへのアクセスが失われることはありません。ダイナミック DNS を使用していない場合は、そのままにしてください ホスト名解決 に設定 インターフェースIPアドレスpfSense - クライアントのエクスポート
  5. ページの一番下までスクロールすると、さまざまなシステムやアプリ用に生成された構成が表示されます。デバイスに適切な設定をクリックして、コンピュータにダウンロードします。 pfSense - ユーザー バンドルのエクスポート

Linux ラップトップを接続するつもりなので、 ほとんどのクライアント インライン構成。

Linux のネットワーク マネージャーに構成をインポートする際、ユーザー名とパスワード (構成ファイルには含まれていません) を入力するだけで、OpenVPN サーバーに接続できます。

pfSense - Linux 接続済み

次に、Comparitech の IP アドレス チェック ツールを使用して、自分のパブリック IP アドレスが自宅のインターネットの WAN アドレスに変更されていることを確認します。

pfSense - IP チェッカー

まとめ

以上が、pfSense でリモート アクセス用の基本的な OpenVPN サーバーをセットアップする方法です。より複雑なセットアップに対応するために、ここから進むべき場所がたくさんあります。 pfSense ボックスでコンテンツ フィルタリングを設定して、広告や悪意のあるサイトをブロックすることもできます。 OpenVPN クライアントもこれによって恩恵を受けるでしょう。ただし、現時点では、完全に機能する OpenVPN サーバーがホーム ルーター (pfSense) に構成されており、どこにいても、どのデバイスからでもホーム インターネット接続を使用できるようになります。

VPN がオンになっています、友達。

^