Close Menu

    Ghid OpenVPN pe pfSense: Acces Securizat de la Distanță (Remote)

    0
    By on Howto

    Introducere

    Expunerea porturilor direct în internet (cum ar fi cel de SSH sau interfața Proxmox) este o invitație pentru hackeri. OpenVPN pe pfSense creează un tunel criptat între dispozitivul tău (telefon, laptop) și rețeaua de acasă, permițându-ți să accesezi servicii critice ca și cum ai fi conectat direct la router.

    Contextul Inițial

    Până acum, am configurat servicii și am deschis porturi prin NAT (ca portul 3001 pentru Uptime Kuma). Obiectivul actual este să închidem aceste “găuri” din firewall și să accesăm totul printr-o singură conexiune securizată (VPN).

    Lista problemelor rezolvate

    • Configurarea Serverului VPN fără erori de certificate.
    • Crearea regulilor de Firewall automate pentru traficul VPN.
    • Exportul configurării .ovpn pentru dispozitivele mobile sau PC.
    • Plus valoare: Implementarea Split Tunneling pentru a nu încetini traficul de internet obișnuit.

    Soluția Pas cu Pas (Configurare OpenVPN)

    1. Utilizarea Wizard-ului (Cea mai sigură cale)

    pfSense oferă un asistent care face 90% din treabă.

    1. Mergi la VPN > OpenVPN > Wizards.
    2. Type of Server: Alege Local User Access.
    3. Certificate Authority (CA): Dacă nu ai unul, creează-l acum (ex: VPN_CA).
    4. Server Certificate: Creează un certificat pentru server (ex: VPN_Server_Cert).

    2. Setările Serverului (Configurația Tunelului)

    Aici definim cum “vorbește” VPN-ul cu rețeaua ta:

    • Protocol: UDP on IPv4 (este mai rapid decât TCP).
    • Interface: WAN.
    • Port: 1194 (portul standard).
    • IPv4 Tunnel Network: Pune o clasă de IP-uri nouă, care nu e folosită în LAN (ex: 10.0.8.0/24).
    • IPv4 Local Network: Pune clasa ta de LAN (ex: 192.168.1.0/24).

    Sfat de Aur (Split Tunneling): Dacă vrei ca doar traficul către Proxmox să treacă prin VPN (iar Netflix/YouTube să meargă direct prin net-ul tău local), asigură-te că NU bifezi “Force all client-generated traffic through the tunnel”.

    3. Firewall și Reguli automate

    La finalul Wizard-ului, bifează ambele opțiuni:

    • Firewall Rule: Permite traficul către portul 1194.
    • OpenVPN Rule: Permite traficul din interiorul tunelului către LAN-ul tău.

    4. Instalarea Client Export (Pachet Vital)

    pfSense nu vine cu buton de “Download config” implicit.

    1. Mergi la System > Package Manager > Available Packages.
    2. Caută și instalează openvpn-client-export.
    3. Acum, în VPN > OpenVPN, vei avea un tab nou numit Client Export.

    5. Securizarea Nodurilor din Proxmox (Ubuntu)

    Înainte de a te conecta, asigură-te că nodurile tale (precum cel cu Uptime Kuma) sunt actualizate. Așa cum am discutat pentru containerul Ubuntu:

    Bash

    apt update && apt upgrade -y
apt install unattended-upgrades -y

    Aceasta asigură că, odată ce ești în rețea prin VPN, accesezi sisteme cu update-urile la zi.

    Checklist Final

    • [ ] Serverul OpenVPN are statusul “Running” în pfSense.
    • [ ] Regula WAN permite portul 1194/UDP.
    • [ ] Ai creat un utilizator în System > User Manager și i-ai generat un certificat.
    • [ ] Fișierul .ovpn este descărcat și testat pe telefon (folosind date mobile, nu Wi-Fi-ul de acasă).
    • [ ] Poți accesa 192.168.1.5:3001 prin VPN fără a avea portul deschis în WAN.

    FAQ

    1. De ce OpenVPN și nu WireGuard? OpenVPN este extrem de stabil și matur pe pfSense, fiind mai ușor de configurat pentru accesul bazat pe utilizatori (User Auth).

    2. Ce este Split Tunneling? Este tehnica prin care doar traficul către serverele tale trece prin VPN. Restul traficului (Facebook, Google) folosește conexiunea ta locală, oferind viteză mai bună.

    3. Pot folosi OpenVPN pe iPhone sau Android? Da, descarcă aplicația “OpenVPN Connect” și importă fișierul .ovpn exportat din pfSense.

    4. Ce fac dacă am IP dinamic la RDS/Digi? Configurează un serviciu de Dynamic DNS (DDNS) în pfSense (ex: No-IP sau DuckDNS) și folosește hostname-ul în setările de export.

    5. VPN-ul scade viteza internetului? Criptarea consumă CPU. Pe un procesor precum N5100, viteza va fi excelentă pentru management, dar nu pentru transferuri de TB de date.

    6. De ce nu se conectează VPN-ul de la birou? Unele rețele de birou blochează portul 1194. În acest caz, poți schimba portul OpenVPN pe 443 (care arată ca trafic HTTPS obișnuit).

    7. Cum adaug un al doilea factor de autentificare (2FA)? pfSense suportă TOTP (Google Authenticator). Poți configura acest lucru în User Manager pentru o securitate de neclintit.

    8. Pot vedea cine este conectat la VPN în timp real? Da, în pfSense sub Status > OpenVPN poți vedea utilizatorii activi, IP-urile primite și volumul de date transferat.

    Concluzie + Next Steps

    Acum ai un tunel securizat către casa ta. Pasul următor: Mergi în pfSense și dezactivează regulile de NAT (Port Forward) pe care le-ai creat anterior pentru diferite servicii critice. De acum, le vei accesa doar prin VPN, eliminând 99% din riscurile de atac extern.

    Ce am învățat din această conversație (Principii și lecții aplicabile)

    1. Securitatea prin Stratificare: Nu te baza pe o singură barieră. Folosește VPN pentru acces, dar păstrează și unattended-upgrades pe mașini pentru apărare în profunzime.
    2. Wizard vs. Manual: În sistemele complexe ca pfSense, folosește Wizard-ul pentru structura de bază, apoi ajustează manual finisajele.
    3. Utilitatea Pachetelor Extra: pfSense este modular; pachete precum Client Export sunt esențiale pentru o experiență de utilizare fluidă.
    4. IP-urile și Subnetting-ul: Tunelul VPN are nevoie de propria “stradă” (subnet), separată de restul casei, pentru a evita conflictele de rutare.
    5. DNS-ul este esențial: Dacă IP-ul tău public se schimbă, VPN-ul devine inutil fără un serviciu de Dynamic DNS bine configurat.
    6. Simplitatea înseamnă viteză: Split Tunneling-ul este dovada că poți avea securitate fără să sacrifici performanța navigării zilnice.
    Share.

    Related Posts

    Comments are closed.