本系列的文章將介紹如何使用CA來建立Remote-Access VPN(使用者連入公司設備)及Site to Site VPN(兩部設備建立VPN連線),並且依序以pfSense及Cisco Router進行個別的實作。
然後,Country Code選擇TW,State欄位鍵入Taiwan,City部分填入Kaohsiung,Organization欄位則設定為pfSense Club,Email Address輸入tiserle@gmail.com,至於Common Name,使用預設的internal-ca。由於此CA僅為內部使用,因此這些資料可依個人喜好填入,操作畫面如圖4所示。
|
▲圖4 建立CA時相關設定。 |
建立憑證
接著,建立使用者以及伺服器的憑證(Certificates)。點選上方頁籤的Certificates,再點選加號(+)圖示來新增一筆憑證。
Method欄位選擇Create an internal Certificate,Descriptive name部分輸入VPNServer以茲後續識別,而Certificate Type選擇Server Certificate,其餘欄位應該會自動抓取,其中Common Name預設是空的,會造成不能存檔的情形,請填入internal-ca或者其他值,操作畫面如圖5所示。
|
▲圖5 建立Server Certificated。 |
建立OpenVPN使用者帳號及使用者憑證
先選擇System中的User Manager再點選User,最後點選加號圖示,新增一個使用者。然後,依序輸入Username及Password,並勾選Certificate中的「Click to create a user certificate」,才會出現憑證相關的選單。
亦可點選System、Cert Manager、Certificates自行建立使用者憑證。在此步驟中,pfSense也是呼叫該程式進行使用者憑證的建立。
在此建立一組使用者的憑證,Certificate authority預設會選擇之前建立的VPNCA,操作畫面如圖6所示。
|
▲圖6 建立使用者帳號及相關憑證。 |
如果Key Length和Lifetime在建立CA時有所更動,請依實際狀況調整。Descriptive name的部分則填入vpnuser以茲識別,最後記得按下〔Save〕按鈕進行存檔。
使用者建立後,務必再次確認使用者是否已成功建立,若無請再仔細檢查步驟是否有所遺漏。如果這裡沒有使用者產生,後續的OpenVPN設定檔的匯出就會有問題,確認結果如圖7所示。
|
▲圖7 務必確認使用者成功建立。 |
設定OpenVPN Server
選擇VPN中的OpenVPN,並選擇Wizards。在Select an Authentication Backend Type頁面中,則選擇Local User Access採用本機使用者存取。然後,在Choose a Certificate Authority(CA)選擇剛剛建立的VPNCA。
而Certificate部分選擇之前建立的VPNServer。(其實也可以使用Wizards功能來引導完成前置作業,包含新增CA、建立伺服器憑證、建立使用者憑證等,本文自行逐步建立的目的是為了便於說明)。
接著會到下一個頁面,在Tunnel Settings中Tunnel Network的部分,建議填入一組不同於既有LAN IP(192.168.1.0/24)的網段,在此輸入10.0.1.0/24。Local Network欄位內填入pfSense LAN所在的網段,在此為192.168.1.0/24。
至於Client Settings部分,如果有內部的DNS Server的話,可以在DNS Server 1?4輸入其主機IP,如果有WINS Server的話,也可以WINS Server 1?2的地方進行輸入。
接著,來到下一個頁面「Firewall Rule Configuration」。在Firewall Rule區域內,勾選「Add a rule to permit traffic from clients on the Internet to the OpenVPN server process」,放行試圖連至OpenVPN Server的Port的流量。
接著是Traffic from clients through VPN部分,勾選「Add a rule to allow all traffic from connected clients to pass across the VPN tunnel」,這個指令的目的是為了讓已連上VPN Server的用戶可以再透過這個連線連線至Internet。
匯出OpenVPN設定檔
先選擇VPN裡面的OpenVPN,再選擇Client Export,並將滑鼠往下拉,找到Client Install Packages欄位,接著在右方的Export找到適合自己環境的設定檔。
這裡使用的是Windows 7 64位元版本,因此點選2.3-x64,點選之後自動下載了一個名為「pfSense-udp-1194-klting-install.exe」的檔案,此檔案已包含安裝程式及被匯出的憑證,將其傳到要進行連線的筆電上。
此匯出功能亦提供Open設定檔(連結是Config Only,點選下載後的副檔名是「ovpn」)的下載,若讀者先前已自行安裝過OpenVPN Client,可自行下載此設定檔並置入OpenVPN的config目錄內。
由於此處使用憑證的方式身分驗證,因此如果要自行置入設定檔,則下載Archive這個檔案並解壓縮,然後置入config目錄中。