Client OPNsense (pFsense)

[BelgianuRo]

Bună seara 

Încerc de ceva timp să înlocuiesc un router comercial "de top" cu un mini pc pe care am instalat OPNsense (și înainte pfSense).

Acest mini pc transformat în router doresc să devină clientul mai multor servere VPN.

Certificatele sunt emise de routere consumer și nu au formatul necesar (X.509). Ce soluții aș avea? Un tutorial ? 

P.S sunt un novice 

Mulțumesc 

 

[aelius]

Salut,

Ce tip de VPN este pe acele servere? (wireguard, openvpn, ipsec) si ce fel de fisiere ai primit? (.ovpn, .p12, .crt, .key, .cer sau config). Daca sunt OpenVPN, OPNSense asteapta sa-i dai certificate in format PEM si o configuratie de tip .ovpn + CA + client cert + client key. De obicei, routerele consumer pot exporta un client config cu tot cu certificatele incluse in interior. Daca serverele sunt WireGuard, atunci nu ai nevoie de X.509 pentru ca poti folosi chei + endpoint. Daca sunt IPsec / IKEv2, poti folosi PSK (preshared key), user/parola (EAP) sau certificat. (standard)

 

De asemenea, daca ai .p12/.pfx, poti extrage/converti in formatul in care ai tu nevoie, folosind openssl din linia de comanda. Mai jos ai trei exemple:

 

# pentru a extrage CA / chain (daca exista)
openssl pkcs12 -in client.p12 -cacerts -nokeys -out ca.crt

# pentru a extrage certificatul clientului
openssl pkcs12 -in client.p12 -clcerts -nokeys -out client.crt

# pentru a extrage cheia privata a clientului (fara parola pe key, mai usor la import
openssl pkcs12 -in client.p12 -nocerts -nodes -out client.key

 

[BelgianuRo]

Server VPN și fișierele sunt xxx.ovpn

Atașez unul

-----BEGIN CERTIFICATE-----
[redacted]
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
[redacted]
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
[redacted]
-----END PRIVATE KEY-----
</key>

[BelgianuRo]

Ms

[aelius]

Asta e exact formatul corect pentru OpenVPN. Uite ce ai acolo:

 

- <ca> ... </ca> = CA (X.509)

- <cert> ... </cert> = certificatul clientului (X.509)

- <key> ... </key> = cheia privată a clientului

 

Problema cu x.509 e de fapt o confuzie pentru ca ai tot ce iti trebuie. Cum OPNsense banuiesc ca nu stie sa importe .ovpn (dupa cum vad pe github la requests/features/bugs), poti face manual toata treaba, dupa cum urmeaza:

 

Pasul 1 + Save

 

System -> Trust -> Authorities -> Add

Method: Import an existing Certificate Authority
Descriptive name: exemplu: vpn-ca

Certificate data: 
Copiezi DOAR blocul tau, din sectiunea <ca> .... </ca>, ce ai intre 
-----BEGIN CERTIFICATE----- si -----END CERTIFICATE-----

 

Pasul 2 + Save

 

Importa certificatul si cheia clientului astfel:

System -> Trust -> Certificates -> Add
Method: Import an existing Certificate
Descriptive name: exemplu. vpn-client

- Certificate data: blocul din <cert> ... </cert>
- Private key data: blocul din <key> ... </key>

 

Pasul 3 + Save

 

Configureaza clientul OpenVPN:

VPN -> OpenVPN -> Clients -> Add

Server host or address: il iei din fisierul .ovpn (linia remote ...)
Server port: tot din .ovpn
Protocol: UDP/TCP (din .ovpn, ex. proto udp)
Device mode: tun (banuiesc ca ai asta acolo)

TLS Authentication:
- daca in .ovpn exista <tls-auth> sau tls-crypt, trebuie importat
- dacă nu exista, lasi off

Peer Certificate Authority: alegi vpn-ca
Client Certificate: alegi vpn-client

Encryption / auth: sa corespunda cu ce e in .ovpn (cipher, auth, data-ciphers etc.)

 

Pasul 4 - in functie de ce vrei

 

4) Rutare / gateway (daca vrei sa trimiti traficul prin VPN)

Dupa ce clientul se conecteaza:

- Interfaces -> Assignments: adaugi interfata ovpnXX si o activezi

System -> Routing -> Gateways: apare un gateway pe acel interface

Firewall rules: faci policy routing (rule pe LAN cu "Gateway = VPN_GW"), sau gateway group daca ai mai multe VPN-uri.

 

Observatie: Am inlaturat/redactat postarea ta pentru a scoate key-urile (pe care iti recomand sa nu le mai postezi la liber pe internet) - adica private key pe public.