使用 pfSense 配置 VPN:保护您的网络隐私

更新时间

在当今数字世界中,使用虚拟私人网络(VPN)是保护自己免受窥探的绝佳方式。无论您是想绕过视频流媒体的地理限制,还是想保护您的隐私,VPN 都是必不可少的工具。大多数优秀的 VPN 服务都提供易于安装的应用程序,可以连接到全球的服务器并保护您的网络连接。并非所有 ISP 提供的路由器都可以配置 VPN。如果您希望构建自己的防火墙/路由器,有一种方法可以将 VPN 连接到网络外的所有连接。

为什么通过 pfSense 使用 VPN?

在每个设备上使用 VPN 可以保护它们与外界连接时的安全,但如果您的服务提供商限制了同时活跃的 VPN 连接数量,这可能会显得有限。这时,pfSense 就派上用场了。通过在路由器上加载 VPN,所有通过的流量都将受到保护。这也适用于地理围栏,使您网络上的所有连接设备都能够绕过地区限制,而无需对每个设备进行特别配置。这就是最棒的部分,您只需配置一次 VPN,就可以高枕无忧。

虽然在任何设备上都不需要安装应用程序,但如果您希望在不在家时使用 VPN,仍然建议在便携设备(如手机或笔记本电脑)上安装它们。

如何使用 pfSense 配置 VPN

在将 VPN 连接添加到 pfSense 之前,您需要注册一个提供商。我们提供了一份最佳 VPN 提供商的精选列表,但在本指南中,我将使用我多年来使用的 VPN:私人网络访问(Private Internet Access,PIA)。

配置步骤

  1. 下载 OpenVPN 文件
    从 PIA 下载 OpenVPN 文件(选择默认选项)。

  2. 解压下载的文件
    解压下载的压缩包。

  3. 打开证书文件
    打开与所需位置相对应的证书文件。(这决定了 OpenVPN 将连接到哪个服务器。我选择了离我位置最近的服务器。)

  4. 登录 pfSense
    登录到 pfSense。

  5. 添加证书

  6. 转到 系统 > 证书
  7. 点击 添加
  8. 在描述性名称下给证书颁发机构命名。
  9. 将方法更改为“导入现有证书颁发机构”。
  10. 返回您打开的 PIA 证书文件,复制 BEGIN CERTIFICATE 和 END CERTIFICATE 之间的所有内容。
  11. 将代码粘贴到证书数据字段中。

  12. 点击 保存

  13. 添加 VPN 客户端

  14. 转到 VPN > OpenVPN
  15. 选择 客户端 标签。
  16. 点击 添加
  17. 在描述中给客户端命名。
  18. 从下载的证书文件中复制并粘贴主机地址。(应以 .privacy.network 结尾。)
  19. 将端口更改为文件中显示的端口。(对于 PIA,应为 1198。)
  20. 输入您的 PIA 用户名和密码。
  21. 取消选中 TLS 配置。
  22. 选择在前面步骤中添加的证书颁发机构作为对等证书颁发机构。
  23. 选择正确的加密算法。(我使用 AES-128-GCM 和 AES-128-CBC。确保右侧算法之间没有空行。)
  24. 将回退数据加密算法设置为 AWS-128-CBC。
  25. 将认证摘要算法设置为下载证书文件中显示的相应算法。(对于 PIA,是 SHA1。)
  26. 将网关创建设置为仅 IPv4。

  27. 点击 保存

  28. 检查状态

  29. 转到 状态 > OpenVPN。如果一切正常,状态应显示为“up”,并显示一个虚拟地址和远程主机。

  30. 分配接口

  31. 转到 接口 > 分配
  32. 在可用网络端口旁边的下拉菜单中选择。
  33. 点击 添加
  34. 选择新添加的接口。
  35. 启用接口。

  36. 点击 保存,然后 应用更改

  37. 配置防火墙和 NAT

  38. 转到 防火墙 > NAT
  39. 选择 出站 标签。
  40. 将模式切换为混合出站 NAT 规则生成。
  41. 点击 保存
  42. 点击 添加,将接口更改为第 29 步中创建的接口。
  43. 将源更改为 127.0.0.0/8。
  44. 点击 保存
  45. 复制新创建的规则并编辑。
  46. 将目标端口更改为 500,勾选静态端口。
  47. 点击 保存
  48. 点击 添加,将接口更改为第 29 步中创建的接口。
  49. 将源更改为您的 LAN 网络(192.168.1.0/24)。
  50. 点击 保存
  51. 复制新创建的规则并编辑,将目标端口更改为 500,勾选静态端口。

  52. 点击 保存,然后 应用更改

  53. 设置防火墙规则

  54. 转到 防火墙 > 规则
  55. 选择 LAN 标签。
  56. 点击 添加,将协议更改为任何,将源更改为网络,给规则一个描述。
  57. 点击显示高级,将网关更改为 VPN。
  58. 点击 保存
  59. 点击 添加,将操作更改为阻止,将协议更改为任何,将源更改为网络,给规则一个描述。
  60. 点击 保存,确保允许的防火墙规则在阻止规则之上。(如果不是,请点击并拖动它。)

  61. 点击 应用更改

  62. 配置路由

  63. 转到 系统 > 路由
  64. 编辑 VPN 网关,输入监控 IP 地址。(我使用 1.0.0.1)
  65. 点击 应用更改

完成配置

您已经完成了配置!私人网络访问正在运行,网络中的所有流量都通过 VPN 传输。您可以使用 IP 检查工具确保您的外部 IP 地址与 VPN 提供商的地址匹配。

需要注意的事项

虽然我会尽量通过 VPN 进行所有操作,但这并不完美。这就是我将 pfSense 配置为仅使用特定 IP 地址范围的原因,并不是所有设备都将通过 VPN 路由。如果我需要快速处理一些不需要 VPN 的事情,我可以将我的 IP 地址更换为不在池中的地址,享受标准连接。一些网站可能不喜欢 VPN,包括 Google,可能会给您带来比最烦人的角色扮演游戏还多的验证码任务。

小结

使用 pfSense 配置 VPN 是保护您网络隐私的有效方法。通过一次性配置,您可以确保网络上的所有设备都能安全访问互联网。虽然使用 VPN 可能会遇到一些限制,但其带来的隐私保护和安全性是值得的。

更新时间

VPN常见问题