虛擬專用網(***)可用於許多非常有用的應用。您可以安全地連接到任何公共WiFi熱點。您可以克服自己喜愛的網站上的地理阻止限制,也可以連接到世界上任何地方的家庭或辦公室網絡。通過***連接發送的任何內容都將從您的設備加密,直到到達您的Open***服務器。
本指南將引導您完成在pfSense上設置Open***服務器所涉及的步驟,從而允許您從遠程位置安全地訪問家庭/辦公室網絡,並可選擇通過它發送所有網絡流量,以便您可以安全的訪問互聯網。
本指南不會處理與設置路由器有關的任何問題。運行pfSense的服務器可能充當路由器本身,因此我們假設pfSense服務器使用自己的IP地址直接連接到互聯網。
注意事項
我們假設你已完成了以下的準備:
您已經安裝了最新版本的pfSense2.3
pfSense 已經至少配置了一個WAN接口和一個LAN接口
您通過LAN接口將客戶端設備連接到pfSense服務器
pfSense是一個全新的安裝
您的客戶端設備上已經安裝了一個Viscosity副本
您的客戶端設備需要通過LAN接口連接到pfSense服務器,以便您可以訪問web配置器來設置pfSense。 具體如何實現這一點取決於您的特定網絡配置。
如果您的客戶端上沒有安裝Viscosity,那麼請查看此設置指南以安裝Viscosity (Mac | Windows)。
入門
首先,您需要從連接到pfSense服務器的LAN接口的客戶端設備登錄到Web配置器。 打開客戶端上的瀏覽器,並導航到pfSense服務器的LAN接口的IP地址 (例如: https://10.0.0.1 或 https://192.168.0.1)。默認用戶名密碼如下:
User: admin
Password: pfsense
如果這是您第一次登錄到Web配置器,它將運行設置嚮導。 通過點擊pfSense徽標跳過此步驟並轉到主儀表板。
爲了安全起見,應該更改pfSense管理員密碼。 單擊 System > User Manager。 通過單擊管理員帳戶Actions下的編輯圖標編輯密碼。
通過輸入新密碼及其確認來更改密碼,然後單擊底部的 Save 按鈕。
DNS服務器
設置我們將使用的DNS服務器的IP地址:
1. 單擊 System > General Setup.
2. 在DNS Server Settings部分,首先設置兩個DNS服務器地址爲 8.8.8.8和8.8.4.4 (Google DNS)。 如果要使用不同的DNS服務器,請隨時在這裏設置。單擊底部的 Save 按鈕。
啓用這些DNS服務器:
1. 單擊 Interfaces > WAN.
2. 在General configuration部分, 設置 IPv4 Configuration Type 爲 'Static IP'。
3. 在Static IPv4 configuration 部分, 設置 IPv4 address 爲你的pfSense服務器的WAN IP地址。
4. 單擊底部的 Save 保存按鈕。
5. 頁面頂部會出現一個×××框, 單擊 Apply changes(應用更改) 使用新的DNS設置重置WAN接口。
默認情況下,DNS解析器啓用後,這些DNS服務器將交給連接的客戶端。
1. 在 Services > DNS Resolver 上修改DNS 解析器設置。
2. 選中 DNS Query Forwarding框,啓用轉發模式。
3. 單擊 Save 按鈕。
4. 頁面頂部會出現一個×××框, 單擊 Apply changes。
Open*** 嚮導
可以通過內置嚮導設置Open***服務器。
1. 單擊 *** > Open*** ,單擊 Wizards 選項卡。
2. 選擇身份驗證後端類型。 單擊 Next 接受默認的'Local User Access'。
3. 現在我們需要創建一個新的證書頒發機構(CA)證書。 將描述性名稱設置爲“pfSense-CA”。
4. 將key length(密鑰長度)設置爲2048 bit ,將lifetime(有效期)設置爲3650 days。
5. 其餘的參數是識別控制該認證機構的人員或組織,根據您的情況適當設置。
6. 單擊 Add new CA 轉到服務器證書。
7. 設置服務器的descriptive(描述名稱),key length(密鑰長度)設置爲 2048 bits,lifetime(有效期)爲3650 天。
8. 填寫個人/機構信息.。
9. 單擊Create new Certificate(創建新證書)。
10. 轉到下一頁, 在General Open*** Server Information 部分,設置服務器的Description (描述名稱)爲'server'。
11. 在Cryptographic Settings(加密設置)部分選擇TLS Authentication。
12. 將Encryption Algorithm(加密算法)保留爲'AES-256-CBC (256-bit)'。
13. 在Tunnel Settings(隧道設置) 輸入Tunnel Network address(隧道網絡地址)爲10.8.0.0/24。
14. 要允許訪問本地網絡上的計算機,請在本地網絡設置中輸入本地IP範圍。 它可能會像10.0.0.0/24。
15. 設置Compression 爲 'Enabled with Adaptive Compression(啓用自適應壓縮)'。
16. 選中 Inter-Client Communication(客戶端間通信)框。
17. 在 Client Settings (客戶端設置)部分,將DNS Server1設置爲指向Open***服務器(10.8.0.1)。
18. 在Advanced text (高級選項)框內,添加以下內容:
push "route 10.0.0.0 255.255.255.0";mute 10;comp-lzo;
我們假設您的LAN子網爲10.0.0.0/24。 如果不是,請相應調整。
19. 我們可以保留其餘的設置,然後點擊下面的 Next (下一步)。
20. 現在通過選中Firewall Rule(防火牆規則)和Open*** rule(Open*** 規則)框,然後點擊 Next(下一步)。這些規則將允許您的客戶端連接到Open***服務器,並允許客戶端和服務器之間的***流量。
21. 現在將顯示一個完成屏幕。 點擊 Finish(完成)。
您現在已經創建了服務器證書。 在繼續操作之前,我們需要修改嚮導中未涵蓋的幾個設置。
1. 單擊server(服務器)旁邊的編輯圖標以編輯配置。
2. 在 General Information(常規信息)部分,更改Server Mode(服務器模式)爲 'Remote Access ( SSL/TLS )'.
3. 點擊 Save 保存設置。
Firewall(防火牆)
嚮導會自動生成防火牆設置。 但是,根據您的防火牆設置和版本,您可能需要檢查嚮導創建的設置。 首先,導航到Firewall -> Rules(防火牆 - >規則),然後選擇WAN,你應該看到這裏創建的兩個防火牆規則。 首先是確保IPv4流量可以離開WAN,第二個將是您的服務器正在偵聽的端口,以確保客戶端可以連接到您的服務器。
接下來,在瀏覽器頂部的規則列表中選擇OPEN***TUN。 默認情況下,此處不會創建任何規則。 如果客戶在訪問互聯網時遇到問題,則需要在此處添加規則以允許流量離開Open***隧道網絡。 例如允許所有流量:
·創建一個新規則
設置Action(動作)爲Pass(通過)
設置Interface(接口)爲OPEN***TUN
設置Address Family(地址類型)爲IPv4
設置Protocol (協議)爲Any
保存設置
如果仍然存在通過***路由流量的問題,請導航到Firewall(防火牆) - > NAT,選擇Outbound(出站),並確保模式設置爲"Automatic outbound NAT rule generation (IPsec passthrough included) (自動出站NAT規則生成(包括IPsec直通)"
Client Certificate(客戶端證書)
要連接到我們的Open***服務器,我們需要爲要連接到服務器的每個設備生成客戶端證書。
1. 單擊 System > User Manager ,單位 + 按鈕添加用戶。
2. 填寫用戶名和密碼。 在本示例中,我們將用戶名設置爲client1。
3. 確保選中Certificate(證書)框以創建用戶證書。設置證書descriptive name(描述名稱)爲 client1。
4. certificate authority(證書頒發機構), key length(密鑰長度)和 lifetime (有效期)設置爲默認值。
pfSense提供了一個Open***客戶端軟件包,可用於創建Viscosity連接,而不直接處理任何證書或密鑰。
1. 要安裝軟件包,請單擊System > Package Manager ,然後單擊 Available Packages(可用的軟件包)選項卡。 這將顯示所有可以安裝的軟件包列表。
2. 找到 'open***-client-export' ,然後單擊右邊的 + Install 按鈕進行安裝。
3. 開始安裝將要求您確認, 單擊 Confirm 開始安裝。
4. 安裝完成後,您可以通過單擊*** > Open*** 並單擊 Client Export (客戶端導出)選項卡來導出配置。
5. 在Remote Access Server (遠程訪問服務器)部分選擇服務器。其他參數的保留默認值。
6. 向下滾動到Open*** Clients (Open***客戶端)部分,找到與您創建的用戶的Certificate Name(證書名稱)相對應的行(client1)。
7. 點擊 'Viscosity Bundle'下載配置,這將下載配置文件的zip包到您的客戶端設備。
8. 將文件解壓縮到客戶端設備上,找到“Viscosity.visc”文件。 將此文件可導入Viscosity。
Setting Up Viscosity(Viscosity設置)
由於Mac和Windows版本的Viscosity界面基本相同, 因此,我們將把我們的教程重點放在Mac版本上,並在設置過程中指出與Windows版本存在的不同。如果您沒有運行Viscosity,請立即啓動Viscosity。 在Mac版本中,您將看到Viscosity圖標出現在菜單欄中。 在Windows版本中,您將看到系統托盤中出現Viscosity圖標。單擊菜單欄中的Viscosity圖標(Windows:系統托盤),然後選擇“首選項”:
Mac
Windows
這將顯示可用***連接的列表。 我們假設你最近安裝了Viscosity,所以這個列表是空的。 點擊'+'按鈕並選擇 Import Connection (導入連接)> From File...(從文件):
找到Viscosity配置文件的位置並將其打開。 將會有一個彈出消息,指示連接已被導入。
Configuring the Connection(配置連接)
在“首選項”窗口中雙擊連接以顯示連接設置。 現在您需要設置連接參數,如下所示:
1.在General(常規)選項卡 , 用自定義的連接名稱替換默認連接名稱,例如“DemoConnection”。
2.單擊Networking(網絡) 選項卡,在 DNS Settings (DNS設置)部分,在"Servers(服務器)" 欄輸入"10.8.0.1"地址。
3.單擊Options (選項)標籤,選中'No Bind' 框。
4.單擊Save 按鈕保存應用設置。
Allowing Access to the Internet(允許訪問Internet)
默認***連接將允許訪問家庭/辦公室(LAN)網絡上的文件服務器和其他計算機。 但是,如果您還希望通過***連接發送所有互聯網流量,則必須對連接進行修改:
1. 在Viscosity Preferences (首選項)窗口中雙擊連接以打開連接編輯器。
2. 單擊Networking 選項卡。
3. 勾選 "Send all traffic over *** connection(通過***連接發送所有流量)" 選項。默認網關不用填寫。
4. 單擊 Save 按鈕。
Connecting and Using Your *** Connection(連接和使用您的***連接)
你現在可以連接了。 單擊菜單欄中的Viscosity圖標(Windows:系統托盤),然後選擇“連接DemoConnection”。將會有一個通知表示你現在已經連接上了!
要檢查***是否已啓動並運行,可以使用“Viscosity詳細信息”窗口。 單擊Viscosity菜單欄(Windows:系統托盤)圖標,然後選擇“詳細信息...”。 這將連顯示連接的詳細信息。
此窗口將顯示通過***連接的流量。
使用Open*** GUI客戶端進行連接
除了使用Viscosity進行***連接以外,也可以使用pfsense自帶的Open*** GUI進行***連接,不需要任何設置,安裝完就可以直接連接。
1. 單擊*** > Open*** 並單擊 Client Export (客戶端導出)
2. 下載Windows Vista and Later ,如果是WIN7以前的系統,則下載老的版本,並注意對應32和64位系統。
3. 安裝完成後,在Windows右下角Open*** GUI圖標上點鼠標右鍵,選擇connect,會彈出連接窗口。如果連接成功,則顯示爲綠色的計算機圖標。
Accessing Network Resources(訪問網絡資源)
一旦連接到您的***,您可以使用您通過家庭/辦公室本地網絡連接到您的本地IP地址訪問您的文件或其他服務。
Connect via Mac(通過Mac連接)
從連接到***的Mac連接到共享網絡目錄:
1. 打開Finder 窗口
3. 在“服務器地址”中,鍵入網絡資源的LAN IP地址(如192.168.0.x),然後單擊 連接。
4. 輸入網絡資源的用戶名和密碼
5. 選擇要訪問的共享卷,然後單擊“確定”。
通過***連接時,通常會在Finder側欄中顯示的網絡資源將不會出現。 您可以在計算機目錄中找到已連接的網絡資源。 在Finder窗口中, 按 ⌘ + shift + c 跳到電腦目錄。
Connect via Windows(通過Windows連接)
從連接到***的PC連接到共享網絡目錄:
1. 在搜索任務欄中的Web或Windows框中鍵入\\ 本地IP地址,然後按回車鍵(類似\\ 192.168.0.x)
2. 輸入網絡主機的用戶名和密碼
3. 然後,您將看到該主機共享的文件夾