{"id":1890,"date":"2016-02-03T17:09:27","date_gmt":"2016-02-03T15:09:27","guid":{"rendered":"http:\/\/blog.sfsoft.it\/?p=1890"},"modified":"2016-02-03T17:41:29","modified_gmt":"2016-02-03T15:41:29","slug":"configurare-una-vpn-tramite-pfsense","status":"publish","type":"post","link":"http:\/\/www.sfsoft.it\/blog\/2016\/02\/03\/configurare-una-vpn-tramite-pfsense\/","title":{"rendered":"Configurare una VPN tramite pfSense"},"content":{"rendered":"<p>Tramite l&#8217;ottima piattaforma pfSense \u00e8 possibile anche abilitare una VPN in pochi semplici passi.<\/p>\n<p><strong>Si crea il certificato della CA<\/strong>, quindi si va su <em>System, Cert Manager, CAs<\/em> e si clicca su <em>Add<\/em> e si imposta ad esempio:<\/p>\n<ul>\n<li>Description Name: Nome del certificato<\/li>\n<li>Method: Create an internal Certificate Authority<\/li>\n<li>Key length: 2048<\/li>\n<li>Lifetime: 3650 days (10 anni)<\/li>\n<li>Common Name: internal-ca<\/li>\n<\/ul>\n<p><strong>Poi serve creare il certificato del server<\/strong>, quindi si va su <em>System, Cert Manager, Certificates<\/em> e si clicca su <em>Add<\/em> impostando:<\/p>\n<ul>\n<li>Method: Create an internal Certificate<\/li>\n<li>Descriptive Name: Nome del certificato<\/li>\n<li>Certificate Authority: Nome del certificato della CA<\/li>\n<li>Key length: 2048<\/li>\n<li>Certificate Type: Server Certificate<\/li>\n<li>Lifetime: 3650 days (10 anni)<\/li>\n<li>Common Name: nome firewall<\/li>\n<\/ul>\n<p><strong>Infine si passa a creare i certificati per gli utenti<\/strong>, questa volta si va su <em>System, User Manager, Users<\/em> e si creano le utenze selezionando anche l&#8217;opzione per la creazione del certificato:<\/p>\n<ul>\n<li>Username: Nome dell&#8217;utente<\/li>\n<li>Password: Password dell&#8217;utente (scritta due volte)<\/li>\n<li>Expiration date: Data di scadenza dell&#8217;account, lasciare in bianco per nessuna scadenza<\/li>\n<li>Certificate: Da selezionare per creare il certificato utente\n<ul>\n<li>Descriptine name: Nome del certificato<\/li>\n<li>Certificate authority: Il certificato CA creato in precedenza<\/li>\n<li>Key lenght: 2048<\/li>\n<li>Lifetime: 3650 days (10 anni)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Ora che i certificat sono stati creati si procede alla <strong>configurazione del server VPN<\/strong>, in questo caso utilizzo OpenVPN, quindi <em>VPN, OpenVPN, Server<\/em> e cliccare su <em>Add<\/em>:<\/p>\n<ul>\n<li>Server Mode: Remote Access (SSL\/TSL)<\/li>\n<li>Protocol: UDP<\/li>\n<li>Device Mode: tun<\/li>\n<li>Interface: any (interfaccia per il bind)<\/li>\n<li>Local Port: 1194<\/li>\n<li>Peer Certificate Authority: Il certificato CA<\/li>\n<li>Server Certificate: Il certificato del server<\/li>\n<li>DH Parameters Length: 1024 bits<\/li>\n<li>Encryption algorithm: BF-CBC (128 bit)<\/li>\n<li>Certificate Depth: One (Client+Server)<\/li>\n<li>IPv4 Tunnel Network: Una subnet per il tunnel (diversa da quella della LAN)<\/li>\n<li>IPv4 Local Network: Subnet della LAN<\/li>\n<li>Compression: Enabled with Adaptive Compression<\/li>\n<li>Inter Client communications: Si<\/li>\n<li>Duplicate Connections: Si se volete che un certificato possa essere usato contemporaneamente da pi\u00f9 utenti<\/li>\n<li>Dynamic IP: Si<\/li>\n<li>Address Pool: Si<\/li>\n<li>DNS Default Domain: Si + dominio DNS<\/li>\n<li>DNS Servers: Si + DNS Servers<\/li>\n<li>Force DNS cache update: Si<\/li>\n<li>NetBIOS Options: Si + b-node<\/li>\n<\/ul>\n<p>Ora che anche il server VPN \u00e8 configurato serve abilitare il firewall affinch\u00e8 accetti le richieste UDP sulla porta configurata (1194).<\/p>\n<p>Come ultimo passo serve esportare i file di configurazione e i certificati da fornire ai client, \u00e8 possibile utilizzare un pacchetto interno a pfSense che semplifica le cose, occorre per\u00f2 installarlo.<\/p>\n<p>Quindi <em>System, Packages, Available Packages<\/em>, cercare il pacchetto <em>OpenVPN Client Export Utility<\/em> ed installarlo.<\/p>\n<p>Portarsi poi su <em>VPN, OpenVPN, Client Export<\/em> e scaricare il tutto dalla voce in basso <em>Standard Configuration, Archive<\/em> e importare il tutto sul client.<\/p>\n<p>Se serve poter limitare l&#8217;accesso alla rete interna da parte degli utenti VPN si deve utilizzare l&#8217;opzione <em>VPN, OpenVPN, Client Specific Override<\/em> in associata a regole specifiche del firewall sul certificato.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Tramite l&#8217;ottima piattaforma pfSense \u00e8 possibile anche abilitare una VPN in pochi semplici passi. Si crea il certificato della CA, quindi si va su System, Cert Manager, CAs e si clicca su Add e si imposta ad esempio: Description Name: Nome del certificato Method: Create an internal Certificate Authority Key length: 2048 Lifetime: 3650 days [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[15,3,232],"tags":[16,8,7,233],"_links":{"self":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/1890"}],"collection":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/comments?post=1890"}],"version-history":[{"count":4,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/1890\/revisions"}],"predecessor-version":[{"id":1894,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/1890\/revisions\/1894"}],"wp:attachment":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/media?parent=1890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/categories?post=1890"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/tags?post=1890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}