本系列的文章將介紹如何使用CA來建立Remote-Access VPN(使用者連入公司設備)及Site to Site VPN(兩部設備建立VPN連線),並且依序以pfSense及Cisco Router進行個別的實作。
在此亦點選OpenVPN Connect(iOS/Android)下載其相關檔案(設定檔及憑證檔),並使用iOS裝置讀入此設定檔進行測試。
如果之前有使用過OpenVPN來下載LINE的跨區圖檔,操作方式應該會覺得很熟悉,其介面如圖8所示。
|
▲圖8 匯出OpenVPN設定檔。 |
iOS相關設定
之前已在手機上安裝過OpenVPN,因此只要想辦法把剛下載的設定檔丟到手機上即可(筆者採用E-mail的方式)。接著,選擇用手機裡的OpenVPN開啟該檔案。開啟檔案後,會出現圖9的畫面。
|
▲圖9 iOS匯入設定檔。 |
接著點選加號圖示按鈕,進行相關設定。如圖10所示,先設定帳號及密碼,並點選「Save」進行存檔,然後按一下「Disconnected」下方的按鈕進行連線。
|
▲圖10 設定帳號及密碼並存檔後進行連線。 |
連線之後,將畫面往下滑,就可以看見相關資訊,包含了取得的IPv4 IP為10.0.1.6(與先前設定的IP Pool相符),帳號為klting,Server的IP則是203.70.228.5,而Protocol和Port部分均為預設的UDP及1194,如圖11所示。
|
▲圖11 連線後所顯示的資訊。 |
可以點選「Connected」,檢視一下憑證的相關資訊,如圖12所示,可以看出與之前的設定均相符。
|
▲圖12 檢視憑證相關資訊。 |
最後,檢查一下資料傳輸時是否有進行加密。將剛剛的畫面往上下搜尋,會出現如圖13所示的畫面,可以看出是以AES256進行資料加密。
|
▲圖13 使用預設的AES256進行加密。 |
Windows 7 OpenVPN Client相關設定
準備一台筆記型電腦,在此電腦上執行剛剛下載的安裝檔,它會自動安裝OpenVPN Client,並將config檔放在正確的目錄內。
讀者亦可以先自行安裝OpenVPN,再把剛剛下載的設定檔放到OpenVPN的config目錄中。接著,查看有哪些檔案是進行連線時需要的,如圖14所示。
|
▲圖14 OpenVPN連線時需要的檔案。 |
第一次執行OpenVPN GUI的檔案時,可能會有Key無法產生的錯誤訊息,記得以管理者權限執行即可排除。
成功執行後,它會常駐在右下角,以滑鼠右鍵點選它,並選擇快速選單中的【連接】即可。接著,會詢問使用者帳號及密碼,請依序填入,之後就會成功建立連線了。
這時開啟pfSense的設定網頁進行測試,如圖15所示,結果是可以正常開啟的,代表連線確實已經成功建立。
|
▲圖15 建立連線後進行測試。 |
最後在本機電腦用Wireshark檢查一下,它的封包內容如圖16所示,可以看出是OpenVPN的封包。
|
▲圖16 以Wireshark驗證封包內容。 |
結語
使用pfSense架設OpenVPN Server,不需要額外費用就可以輕鬆地建立Remote-Access VPN,相當經濟實惠,同時也可以穿透NAT設備或防火牆,非常方便好用。下期將繼續介紹如何使用pfSense來建立Site to Site VPN。
<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>