Tra le varie funzionalità offerte da pfSense troviamo la possibilità di terminare diverse tipologie di VPN. Quella che prenderemo in esame oggi è OpenVPN.

dobbiamo creare 3

Un certificato per la nostra Certification Authority;

Un certificato di tipo server per il nostro pfSense;

Un certificato di tipo user per gli utenti che dovranno conettersi a pfSense.

Portarsi nel menù System > Cert Manager > CAs

Cliccare su Add

Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato

Description Name: Nome del certificato Method: Create an internal Certificate Authority Key length: 2048 Lifetime: 3650 days (10 anni) Distinguished Name: Country Code: State or Province: City: Organizathion: Email Address: Common Name: internal-ca

Cliccare su Save



Creazione del certificato Server:

Potarsi nel menù System > Cert Manager > Certificates

Cliccare su Add Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato

Method: Create an internal Certificate Descriptive Name: Nome del certificato Certificate Authority: Nome impostato nel certificato della CA Key length: 2048 Certificate Type: Server Certificate Lifetime: 3650 days (10 anni) Distinguished Name: Country Code: State or Province: City: Organizathion: Email Address: Common Name: nome dns firewall

Cliccare su Save





Creazione del certificato Utente:

Potarsi nel menù System > Cert Manager > Certificates

Cliccare su Add

Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato



Method: Create an internal Certificate Descriptive Name: Nome del certificato Certificate Authority: Nome impostato nel certificato della CA Key length: 2048 Certificate Type: User Certificate Lifetime: 3650 days (10 anni) Distinguished Name: Country Code: State or Province: City: Organizathion: Email Address: Common Name: nome dns firewall

Cliccare su Save

A questo punto i certificati sono pronti per l'uso

Configurazione del server OpenVPN

Portarsi nel menù VPN > OpenVPN > Server





Cliccare su Add



Impostare i seguenti campi:

Server Mode: Remote Access (SSL/TSL) Protocol: UDP Device Mode: tun Interface: any (interfaccia su cui viene fatto il bind) Local Port: 1194 Description: Nome della configurazione Peer Certificate Authority: Selezionare il certificato della CA Server Certificate: Selezionare il certificato del server DH Parameters Length: 1024 bits Encryption algorithm: BF-CBC (128 bit) Hardware Crypto: selezionare una eventuale scheda di accelerazione Certificate Depth: One (Client+Server) Tunnel Network: Inserire una subnet per il tunnel, non usare subnet in uso da client o server Local Network: Subnet della rete del server VPN Compression: Yes Inter Client communications: Yes Dynamic IP: Yes Address Pool: Yes DNS Default Domain: Yes + Nome dominio DNS DNS Server: Yes + DNS Server NetBIOS Options: Yes + b-node

Cliccare su Save

A questo punto la configurazione del nostro server è completata e non ci resta che configurare il firewall affinchè permetta il traffico verso la porta 1194 UDP.

Portarsi sul menù Firewall > Rules > WAN

Cliccare su Add

E compilare i seguenti campi:

Action: Pass

Protocol: UDP

Destination Port Range: From OpenVPN to OpenVPN



Ora possiamo configurare il client ed effettuare una connessione di test. Anche in quest'operazione pfSense ci viene in aiuto facilitandoci la vita.





Per prima cosa occorre installare un pacchetto aggiuntivo chiamato OpenVPN Client Export Utility, questo add-on consente di scaricare un pacchetto completo con la configurazione, i certificati necessari alla connessione e gli eseguibili windows per OpenVPN client.



Dopo aver installato il pacchetto possiamo tornare nel menù di OpenVPN: VPN > OpenVPN > Client Export





A questo punto non ci resta che scaricare la configurazione corrispondente al nostro certificato client selezionando una delle 5 possibili opzioni riportate a destra.





Per poter procedere con la configurazione di OpenVPN server occorre effettuare alcune operazioni preliminari che prevedono la creazione dei certificati digitali.Per iniziaretipi di certificati: