SSL/TLS + Auth con PfSense Release 2.4.3.p1.JTVCYWRyb3RhdGUlMjBiYW5uZXIlM0QlMjIyJTIyJTVE
Creare 3 certificati
[vc_separator border_width=”2″ css=”.vc_custom_1519892703184{margin-top: -20px !important;}”]Certificato CA: System –> Cert.Manager premiano il pulsante verde “ADD” in basso per creare il certificato CA e compiliamo i campi come mostrato in figura:[vc_single_image image=”15568″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338093983{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]Method: Create an Internal Certificate AuthorityKey Length: 2048
Digest Algorithm: sha256
Lifetime: 3650
Country Code: IT
State or Province: <Provincia>
City: <Città>
Organization:<Azienda>
Email Address: <email> – la vostra email
Common Name: <opzionale>
Cliccare su Save.Certificato per il server: System –> Cert.Manager à certificates, cliccare anche qui sul pulsante verde Add, la videata è la stessa della precedente ma seguite questa linee guida riportate su questa immagine:[vc_single_image image=”15572″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338088314{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]Certificato utente: come sopra ma selezionare Client certificate al posto di server.
VPN–>Openvon–>Wizard: nella prima maschera che appare selezionate local user access[vc_single_image image=”15574″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338077136{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]Cliccare su “Next”
Selezionare il certificato CA creato, cliccare “Next” selezionare il certificato server, cliccare “Next” selezionare l’interfaccia WAN, il protocollo UDP (o TCP) e la porta 1194 (questa è quella di default ma potete mettere quella che preferite), e in ultimo una descrizione del server.[vc_single_image image=”15576″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338069326{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]Cliccare su fine e andare avanti: per la configurazione del server vi lasciamo alle immagini seguenti.
[vc_single_image image=”15592″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539337945710{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”][vc_single_image image=”15590″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338059968{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]IPv4 Tunnel network: la rete virtuale che userà OpenVPN. IPv4 local network: la rete LAN del firewall ad esempio “192.168.0.0/24”. Potete cliccare, se volete, su force all client generated trafic throught the tunnel. Lasciate tutto di default come nelle immagini che seguono e poi salvate tutto.[vc_single_image image=”15588″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338053240{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”][vc_single_image image=”15586″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338048573{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]Per esportare l’utente: VPN –> Openvpn –> client exportNella finestra Nome host dovrai inserire l’IP pubblico della WAN; scendendo, apparirà l’elenco degli utenti creati con un certificato valido. Premendo i pulsanti blu ci permetterà di scaricare l’applicazione più adatta per il nostro dispositivo.[vc_single_image image=”15584″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338042368{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]Per esportare i certificati utente, consigliamo di installare openvpn-client-export da System –> package Manager e selezioniamo Available package.
Per creare l’utente: System —> User Manager creare l’utente inserendo i valori per nome, una password, full name, cliccare la spunta su certifacte per creare il certificato per l’utente, in certificate autority, selezionate il certificato CA.
E’ possibile creare un gruppo chiamato VpnUsers e poi confinare tutti gli utenti vpn in esso.[vc_single_image image=”15582″ img_size=”full” alignment=”center” onclick=”link_image” css=”.vc_custom_1539338037126{margin-top: -20px !important;padding-top: 10px !important;padding-right: 10px !important;padding-bottom: 10px !important;padding-left: 10px !important;background-color: #f4f4f2 !important;}”]
Non dimenticare di:
[vc_separator border_width=”2″ css=”.vc_custom_1519892703184{margin-top: -20px !important;}”]- Aprire la porta sulla rete WAN
- Enable traffic on the OpenVPN interface
