Ihr Standort: Ihre IP: Ihr Status:GeschütztUngeschützt · Zu den Tests »

OpenVPN auf pfSense

Zertifikate hinzufügen

Gehen Sie per Menü zu SystemZertifikatsverwaltungCAs und klicken auf den Button + Hinzufügen.

Öffnen Sie eine der *.conf-Dateien aus dem pfsense_op24_udp_v4_AES128CBC_AU_in_ci.zip-Archiv und kopieren Sie den Inhalt zwischen den <ca></ca> Tags in das Feld Zertifikat Daten, wie im Bild links gezeigt.

Gehen Sie per Menü zu SystemZertifikatsverwaltungZertifikate und klicken Sie auf den Button + Hinzufügen/Signieren.

Kopieren Sie den Inhalt zwischen den <cert></cert> Tags in das Feld Zertifikat Daten und den Inhalt zwischen <key></key> in das Feld Private key data.

OpenVPN einrichten

Gehen Sie anschließend per Menü zu VPNOpenVPNClients und klicken Sie auf den + Hinzufügen Button.

Konfigurieren Sie den VPN-Client wie folgt (Wir benutzen den Amsterdam1-Server in der Konfiguration):
  • Protokoll: UDP on IPv4 only
  • Schnittstelle: WAN
  • Server Host oder Alias: 85.17.28.145 oder amsterdam1.perfect-privacy.com
  • Server Port: 1149
  • Beschreibung: PP_Amsterdam1_Client
  • Benutzername: Ihr Perfect Privacy Nutzername
  • Kennwort: Ihr Perfect Privacy Passwort

Deaktivieren Sie die Option Automatische Generierung eines TLS-Schlüssels und kopieren Sie den Inhalt zwischen den <tls-auth></tls-auth> Tags aus der *.conf-Datei in das Feld TLS Schlüssel.

  • TLS keydir direction: Direction 1
  • Gegenstellen Zertifikatsauthorität: PP_Amsterdam_CA
  • Client Zertifikat: PP_Amsterdam_Cert

Tipp: Abhängig von der CPU-Leistung Ihres Routers möchten Sie eventuell die schwächere Verschlüsselung AES-128-CBC benutzen, um mehr Geschwindigkeit beziehungsweise Bandbreite zu erreichen. Wählen Sie dazu bei der Option Verschlüsselungsalgorithmus die Auswahl AES-128-CBC.

  • NCP aktivieren: Haken entfernen
  • Auth Hashwert Algorithmus: SHA512

  • Kompression: Übergehende Präferenz, + Schalte Adaptive LZO Kompression aus [….]
  • Netzstruktur: Subnetz – Eine IP-Adresse pro Client in einem gemeinsamen Subnetz

Ping settings

  • Inactive: 604800
  • Ping method: ping – Define ping/ping-exit/ping-restart manually
  • Ping: 5
  • Ping restart or exit: ping-restart – Restart OpenVPN after timeout
  • Ping restart or exit seconds: 120

Erweiterte Konfiguration

Kopieren Sie den folgenden Textblock in des Feld Benutzerdefinierte Optionen:

hand-window 120
mute-replay-warnings
persist-remote-ip
reneg-sec 3600
resolv-retry 60
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSAWITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBCSHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
fragment 1300
mssfix
remote-cert-tls server
  • Gateway creation: "IPv4 only" auswählen (Wählen Sie "Beides", falls IPv6 hinzugefügt werden soll)
  • Ausführlichkeitsstufe: 4

Klicken Sie anschließend auf den Button Speichern.

Gehen Sie per Menü zu SchnittstellenSchnittstellen Zuweisungen und wählen bei Verfügbare Netzwerkports die Schnittstelle ovpnc1 (PP_Amsterdam1_Client) aus und klicken Sie auf den Button + Hinzufügen.

Klicken Sie auf die neu erstellte Schnittstelle und tragen Sie hinter der Beschreibung VPN_PP_Amsterdam1 ein.

Dieser Schritt ist nur für eine IPv6 Verbindung nötig. Überspringen Sie ihn, falls Sie kein IPv6 verwenden möchten.

Navigieren Sie zu FirewallRegelnWAN und erstellen Sie für eine IPv6 Verbindung eine ICMP-Regel mit folgenden Optionen:

  • Aktion: Erlauben
  • Schnittstelle: WAN
  • Adressfamilie: IPv6
  • Protokoll: ICMP
  • ICMP Untertypen: Echo request
  • Quelle: alle
  • Ziel: alle

Klicken Sie auf den Speichern Button.

Sichern & Wiederherstellen

Navigieren Sie per Menü zu DiagnoseSichern & Wiederherstellen und erstellen eine Sicherung von der aktuellen Konfiguration mit Konfiguration im XML-Format herunterladen. Wenn Sie später keine OpenVPN Konfiguration mehr haben möchten, können Sie diese mit Konfiguration wiederherstellen wieder entfernen.

DNS-Leak Schutz einrichten

Wenn Sie das Internet auch ohne VPN nutzen möchten, müssen Sie öffentliche DNS-Server verwenden, zum Beispiel die von Cloudflare, Google oder Server Ihrer Wahl vom OpenNIC-Projekt.

Wenn eine VPN-Verbindung besteht, werden DNS-Anfragen anonymisiert über den VPN-Tunnel gesendet.

Gehen Sie zum Menü SystemAllgemeine Einstellungen und tragen Sie mindestens zwei DNS-Server Ihrer Wahl ein. In diesem Beispiel nehmen wir die DNS-Server 1.1.1.1 und 1.0.0.1.

Um auch für IPv6 DNS-Server zu konfigurieren, klicken Sie auf den Button + DNS-Server hinzufügen und tragen z.B. die DNS-Server 2606:4700:4700::1111 und 2606:4700:4700::1001 ein.

Deaktivieren Sie die Option DNS-Server Überschreibung, falls noch nicht geschehen. Die restlichen Einstellungen können Sie belassen, wie sie sind.

Gehen Sie per Menü zu DiensteDNS-Auflösung und wählen unter Ausgehende Netzwerkschnittstellen VPN_PP_AMSTERDAM1 aus.

Konfigurieren Sie folgende Option:

  • DNSSEC: Aktiviere DNSSEC Unterstützung

Hinweis: Mit den Standardeinstellungen werden DNS-Anfragen direkt an den Internet Provider gesendet, deshalb ist es bei der ausgehenden Netzwerkschnittstelle wichtig, eine VPN-Schnittstelle für DNS-Anfragen anzugeben, um ein DNS-Leak zu verhindern.

Kill-Switch einrichten

Achtung: Dieser Schritt aktiviert den Firewall-Schutz („Leak Protection“ oder „Kill-Switch“). Wenn Sie die folgenden Schritte ausführen, funktioniert die Internetverbindung nur wenn ein VPN-Tunnel besteht.

Navigieren Sie zu FirewallRegelnLAN und deaktivieren Sie die Regel für das IPv6-Protokoll (falls die Nutzung von IPv6 nicht gewünscht ist) und klicken Sie auf den Button Speichern.

Öffnen Sie anschließend die IPv4-Regel mit einem Klick auf das Stift-Symbol (Bearbeiten). Aktivieren Sie unten Erweiterte Optionen. Tragen Sie unter Markierung (Tag): NO_WAN_EGRESS ein und wählen weiter unten VPN_PP_AMSTERDAM_VPN4 als Gateway aus.

(Falls erforderlich, wiederholen Sie diesen Schritt für die IPv6-Regel. Ansonsten deaktivieren Sie die IPv6-Regel.)

Damit geht der Traffic nur über die ausgewählten Gateways raus.

Nun wird eine übergreifende Regel benötigt, die alles blockiert, falls die OpenVPN-Verbindung offline ist.

Wechseln Sie zu FirewallRegelnÜbergreifend und erstellen Sie unten eine Blockregel mit folgenden Einstellungen:

  • Aktion: Blockieren
  • Schnittstelle: WAN
  • Richtung: alle
  • Adressfamilie: IPv4+IPv6
  • Protokoll: alle
  • Quelle: alle
  • Ziel: alle
  • Markiert: NO_WAN_EGRESS

Gehen Sie zum Menü FirewallNATAusgehend und wählen Sie die Option Manuelle Erzeugung der Regeln für ausgehendes NAT und klicken Sie auf Speichern.

Anschließend generiert pfSense ausgehende NAT-Regeln, wie im Bild links gezeigt. Entfernen Sie alle, außer drei NAT-Regeln:

  • 127.0.0.0/8 ... Automatisch generierte Regel – localhost zu WAN
  • ::1/128 ... Automatisch generierte Regel – localhost zu WAN
  • 192.168.1.0/24 ... Automatisch generierte Regel – LAN zu WAN

Öffnen Sie die LAN zu WAN-Regel (192.168.1.0/24) über das Stift-Symbol (Zuordnung bearbeiten).

Nehmen Sie folgende Änderungen vor:

  • Schnittstelle: VPN_PP_AMSTERDAM1
  • Adressfamilie: IPv4+IPv6
  • Protokoll: alle
  • Quelle: alle
  • Ziel: alle

Speichern Sie anschließend.

Duplizieren Sie die NAT Regeln (VPN_PP_AMSTERDAM1) und ersetzen Sie die Werte mit diesen Einstellungen:

  • Schnittstelle: WAN
  • Adressfamilie: IPv4+IPv6
  • Protokoll: alle
  • Quelle: Diese Firewall (selbst)
  • Ziel: alle

Speichern Sie anschließend.

Die Regeln sollten nun aussehen wie im Bild gezeigt.

VPN-Verbindung prüfen

Sie können überprüfen, ob die VPN-Verbindung korrekt funktioniert, indem Sie auf ein beliebiges über den Router angebundenes Gerät unsere Check-IP-Seite aufrufen.

VPN
?!
Diese Webseite verwendet Cookies zur Analyse der Zugriffe und zur Steuerung unserer Werbung. Wenn Sie diese Seite nutzen, stimmen Sie der Cookie-Nutzung zu. Mehr Informationen finden Sie in unserer Datenschutzerklärung.