PfSense Toàn Tập – Part II - Nguyen Manh Dung

Chào các bạn,

Bài trước chúng ta đã cài xong Pfsense cho máy Server . Sau khi vào được giao diện Dashboard của Pfsense thì việc tiếp theo là khai báo PPOE để kết nối WAN cho pfsense ra ngoài Internet nhé.

I. Khai báo WAN PPoE từ nhà mạng cho Pfsense :

Ở bước này chúng ta sẽ thiết lập interface(s) WAN cho pfsense (ở bài LAB này mình chỉ có 1 Interface cắm từ nhà mạng FPT vào nên sẽ cấu hình như sau !

Từ giao diện Dashboard của Pfsense chọn Interface -> WAN :

Tại gaio diện khai báo WAN (card mạng em0) check Enable Interface , IPv4 Type chọn PPPoE , Description ở đây mình gõ WAN FPT (các bạn miêu tả thế nào cho dễ nhớ với thuận tiện mô hình công ty là được )

Phần IPV6 bỏ trống , kéo xuống phần PPoE Configuration và sử dụng thông tin được nhà mạng cung cấp để điền vào phần này nhằm giúp pfsense kết nối với ISP :

Sau khi khao báo xong bấm Save và đừng quên bấm Apply Change :

II. Khai báo DNS Server cho pfSense :

Các bạn truy cập System -> General Setup -> DNS Server Settings 

Kết quả tracert trả về như bên dưới nghĩa là máy Client đã đi đúng đường thông qua Firewall Pfsense để đi ra ngoài Internet :

III. Enable SSH cho pfSense :

Phần này sẽ hướng dẫn nhanh các bạn mở cấu hình Secure Shell để SSH vào pfsense thông qua các công cụ như Putty , SSH Secure Shell Client… trên Windows phòng trường hợp không truy cập qua giao diện Web được !

Truy cập đường dẫn System / Advanced và kéo xuống tới khi gặp dòng Secure Shell.

Để default port 22 hoặc thay đổi tùy ý bạn , các bạn để password or public key để có thể sử dụng password của tài khoản admin đăng nhập cũng được sau đó bấm Save!

IV. Hướng dẫn cấu hình truy cập HTTPS cho pfsense :

Bước đầu tiên chúng ta cần tạo 1 SSL Certificate Authority cho pfSense bằng cách vào System/Cert.Manager/CAs và click Add rồi điền các thông số tương tự như hình dưới :

Bước tiếp theo là tạo Sub Certificate  bằng cách vào System / Certificate Manager /CAs và click Add sau đó khai báo như hình dưới !

Bước tiếp theo tạo new Certificate nhé !

Click Certificates Tab at System / Certificate Manager. Click on +Add/Sign to add a new Certificate.

Ok khai báo như hình dưới , FQDN là fullname của pfsense các bạn có thể dễ dàng xem tại Dashboard dòng đầu tiên (System Information -> Name)

Tiếp tục kéo xuống mục Certificate Attributes chọn Type là Server Certificate  và add thêm IP address bên cạnh FQDN or Hostname là lựa chọn có sẵn sau đó bấm Save :

Tiếp theo chúng ta cần Export Certificate Authorities bằng cách chọn System / CAs và bấm Export cho cả 2 CAs như hình dưới :

Sau khi tải được CAs về rồi thì tùy theo trình duyệt Web các bạn đang sử dựng sẽ có các cách add Cert khác nhau – ở bài LAB này mình dùng Google Chrome nên sẽ add cho Chrome , Firefox các bạn có thể xem ở mục phụ , còn IE và Edge thì các bạn tự tìm nhé 😀

• GOOGLE CHROME

Với Windows 10 : Mở Windows Settings và Search chữ“Certificate”. Mở Manage Computer Certificate settings.

Trong cửa sổ certlm chọn Trusted Root Certification Authorities / Certificates & right-click vào 1 khoảng trắng  để mở options và chọn All Tasks -> Import.

Chọn Root CA bạn download ở trên (trong bài LAB này có tên mdung-blog_CA).

Tiếp tới là add Sub-CA bằng cách chọn Intermediate Certification Authority / Certificates và làm tương tự các bước ở trên giống Root Ca vậy ! 

• FIREFOX :

On Firefox, we need to manually import the Root-CA only. To do that, open Firefox and head to Options / Privacy & Security / View Certificates.

Click on Authorities and Import the pfSense Certificate from your Downloads folder.  Check both Checkmarks.

OK coi như add xong Cert cho trình duyệt Web !

Cuối cùng chúng ta cần enable SSL cho pfsense bằng cách quay lại địa chỉ đăng nhập pfsense và click theo path sau : System / Advanced / Admin Access.

Nhớ chọn trong webConfigurator là HTTPS và SSL Certificate là cert mà bạn đã khai báo ở trên (trong bài LAB này có tên là pfsense.localdomain)

Kéo xuống lưu lại và bạn sẽ nhận thông báo pfsense sẽ auto redirect qua địa chỉ mới trong 20s…

V. Hướng dẫn cấu hình LDAP cho Pfsense :

Để cấu hình chứng thực LDAP cho pfsense thì việc đầu tiên các bạn cần chắc chắn là server pfsense và LDAP server có thể ping được thấy nhau nhé !

Chắc chắn kết nối Ping được giữa Pfsense và LDAP !

OK tới đây bắt đầu cấu hình chứng thực LDAP để đăng nhập Pfsense!

Truy cập đường dẫn System -> User Manager -> Authentication Servers bấm Add+

Khai báo theo hình bên dưới :

Mục Base DN các bạn có thể dễ dàng xem tại ASDI  của LDAP server bằng cách vào Tools -> ASDI Edit :

Mục Authentication containers các bạn điền bằng cách :

– Trong Server LDAP tạo 1 OU tên là Pfsense :

– Vào ADSI Edit trên LDAP server copy Distinguished Name của OU=PFSENSE và paste vào Authentication containers trên Pfsense:

Tiếp theo chúng ta tạo 1 User trên LDAP server – User này sẽ được dùng để chứng thực trên pfsense (Chắc chắn User này phải nằm trong Group Domain Admins :

Ok tiếp theo chúng ta quay lại khai báo mục Blind Credentials trên Pfsense với User DN: (là account pfsense mới tạo) :

Tiếp theo chúng ta sẽ kiểm tra xem tài khoản LDAP đã chứng thực được với pfsense chưa bằng cách :

Trên Pfsense vào Diagnotics ->Authentication chọn Authentication Server là LDAP server và nhập Username  /Pasword sau đó bấm Test :

Các bạn cũng có thể Test bằng cách : Vào System -> User manager -> Settings chọn Authentication Server và bấm Save and Test :

Tới đây bạn nào cần tạo nhiều account LDAP thì có thể tạo thêm Group trong LDAP server  ,bài LAB này chỉ tạo 1 account nên sẽ bỏ qua bước tạo group này nhé !

Cuối cùng các bạn phân quyền cho User LDAP có thể làm được gì / xem được gì trong pfsense bằng cách :

Vào System -> User Manager -> User và bấm Add+

Các bạn có thể phân quyền xem / sửa trong pfsense cho account bằng cách chọn trong Effective Privileges (ở hình trên mình gán quyền cho user pfsense là quyền admins) :

Sau tất cả chúng ta có kết quả như hình dưới :

Như vậy là chúng ta đã thành công trong việc sử dụng tài khoản LDAP để Sign In vào Pfsense!

VI. Cấu hình Open VPN cho Pfsense :

Phần tiếp theo chúng ta sẽ đi vào cấu hình VPN cho Pfsense để tạo kết nối VPN truy cập từ xa.

Nói qua một chút về VPN :

VPN ( Virtual Private Network ) hay còn được gọi ở Việt Nam là mạng riêng ảo, một thuật ngữ công nghệ thông tin mà chúng ta vẫn thường được nghe. VPN là công nghệ giúp thiết bị ngoài internet gia nhập vào mạng Lan hệ thống nội bộ. Hiện nay VPN được ứng dụng nhiều tại các doanh nghiệp có nhiều chi nhánh, các tổ chức chính phủ…

Hiểu nôm na, khi bạn sử dụng VPN, thiết bị của bạn cho dù đang ở bên ngoài công ty, vẫn có thể truy cập và ping được các máy trong hệ thống mạng nội bộ như bạn đang thật sự còn ở công ty. VPN giúp tạo một đường hầm kết nối để thiết bị của bạn gia nhập vào mạng Lan này.

Ở phần này mình sẽ hướng dẫn 2 cách để chứng thực là sử dụng local account của Pfsense và sử dụng chứng thực LDAP.

Các bước ban đầu là như nhau với cả 2 cách nên các bạn cứ làm theo tuần tự nhé , tới bước nào tách riêng thì mình sẽ đánh số! OK LET’S GO

Đầu tiên login vào pfSense và đến menu System -> Certificate Manager -> CAs và chọn Add

Điền đầy đủ thông tin vào bảng. Nhớ chọn tùy chọn method  “  Create an internal Certificate Authority “ , sau đó đặt Common name cho internal Certificate Authority này.

Chuyển qua System -> Certificate Manager -> Certificates và chọn Add/Sign. Lúc này chúng ta sẽ tạo Certificate cho openVPN.

Điền vào Form. Chọn Create an Internal Certificates và chọn certificate OpenVPNCA mà chúng ta vừa tạo. Và cũng nên nhớ rằng ở mục Certificate Type, chọn vào Server Certificate.

Bây giờ chúng ta sẽ tạo VPN User. Vào menu System -> User Manager -> Users và chọn vào Add.

Điền thông tin Username, Password theo ý muốn và chọn Save.

Sau khi hoàn thành, chúng ta cần trở về System -> Certificate Manager -> Certificates và tạo User Certificate cho những user chúng ta vừa tạo. Chọn một tên, ở mục Certificate Type chúng ta chọn User Certificate. Sau khi hoàn thành chọn Save để lưu lại.

Trở về menu System -> User Manager -> Users và bấm vào Edit của VPN User mà chúng ta vừa tạo. Chúng ta cần gán Certificate vừa tạo cho User này. Ở mục User Certificates, chọn Add và chọn Cert chúng ta vừa tạo để gán.

Tại mục Method chúng ta chọn “Choose an existing certificate“, điền tên mô tả và chọn Vpn User Certificate chúng ta đã tạo khi nãy. Bấm save để lưu lại.

Tiếp theo chúng ta tiến hành cài đặt gói open-vpn-client-export. Quay trở về menu System -> Package Manager -> Available Packages. Ở mục Search Term, gõ vào Open sau đó bấm Search để pfSense truy vấn gói cài đặt có chứa từ khóa này.

Bây giờ bạn phải cài đặt gói Dynamic Dns Service, để Router của bạn có thể được phân giải ra địa chỉ IP ngay cả trong trường hợp sử dụng IP động. Đối với những ai sử dụng IP tĩnh có thể bỏ qua bước này. Do địa chỉ IP động thường xuyên thay đổi, mà kết nối VPN cần biết chính xác địa chỉ IP của bạn, vì vậy khi sử dụng dịch vụ Dynamic Dns Service, bạn sẽ được pfSense cập nhật tự động địa chỉ IP đến nhà cung cấp DynDNS, giúp giải quyết triệt để được vấn đề này.

Sau khi đã hoàn thành xong cấu hình DynDNS, chúng ta đã bắt đầu có thể tiến hành cấu hình OpenVPN Server. Di chuyển đến menu VPN -> OpenVPN ->và chọn mục Wizards

TỚI ĐÂY CÁC BẠN LƯU Ý :

Sẽ có 3 cách để chứng thực là RADIUS-LDAP và Local User  – trong khuôn khổ bài này thì mình chỉ hướng dẫn 2 cách là Local User và LDAP – Local User hướng dẫn trước , LDAP hướng dẫn sau:

• Ở mục “Type of Server “, chọn “Local User Access”  và bấm Next.

ở mục Certificate Authority, chúng ta chọn OpenVPNCA vừa tạo lúc đầu. Bấm next.

Chuyển đến Server Certificate Selection, ở mục Certificate, chọn certificate openVPN

Tại mục Interface chọn WanFPT (wan của pfsense). – Local Port để mặc định là 1194  ,phần sau sẽ dùng port 1195 để chứng thực LDAP

Để tạo một đường mạng riêng ( Tunnel ) cho VPN, chúng ta cấp cho pfSense một lớp mạng không trùng với lớp mạng hiện tại của Lan. VD : mạng Lan đang là 192.168.10.1/24 thì chúng ta cấp mạng Tunnel là 192.168.100.0/24 (cho LDAP account) và 192.168.101.0/24 (cho Local account)

Concurrent Connections : cho phép cùng lúc bao nhiêu kết nối VPN, điền vào số lượng bạn muốn(ở đây là 50).

Điền vào DNS Default Domain của bạn. Tiếp theo điền vào DNS Server. Nếu firewall đang kiêm luôn nhiệm vụ làm DNS thì đó là địa chỉ IP của Firewall luôn.

Tất cả mọi thứ còn lại để mặc định. Bấm next để tiếp tục.

Chúng ta sắp xong rồi. Bây giờ vào mục OpenVPN -> Client Export Utility. Nếu dùng IP động, ở mục “Interface IP Address” chúng ta chọn tên miền của mình, trong bài LAB là pfsense.localdomain . Còn nếu dùng IP tĩnh, thì chọn “Interface IP Address“.

Thêm nữa chúng ta có thể check vào “Use Random Local Port” nếu muốn có nhiều hơn 1 User cùng lúc kết nối vào VPN Server.

Kéo xuống cho đến khi tìm thấy mục OpenVPN Clients. Chọn bộ cài mang tên “ Current Windows Installer “ và bấm vào để tiến hành Download. Một điều cần lưu ý đó là để test VPN, cần phải sử dụng địa chỉ IP khác với địa chỉ IP hiện giờ của hệ thống server OpenVPN. Bạn cũng có thể dùng những hotspot để đổi IP rồi thử kết nối VPN.

Ở máy Client, chúng ta chạy File openvpn-pfSense-UDP4-1194-vpn1-install-2.4.6-I602.exe với quyền Administrator – Sau khi cài xong sẽ có Icon Open VPN GUI xuất hiện , chạy nó với quyền “Run as Administrator“

Khi OpenVPN đã chạy rồi, sẽ hiện một biểu tượng ổ khóa nhỏ và một biểu tượng màu xanh lá ở thanh taskbar máy tính. Bấm vào nó và chọn “Connect “ để kết nối đến VPN Server. Ở màn hình đăng nhập, nhập vào Username và Password bạn đã tạo cho và thực hiện kiểm tra đăng nhập, tiến hành kết nối.

Để tắt thông báo WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this các bạn đọc bài TIPS hướng dẫn ở đây nhé!

Cái này KHÔNG phải lỗi gì cả nên nếu muốn tắt thì tắt , không cũng không sao.

Xong phần chứng thực sử dụng Local Account , phần bên dưới là hướng dẫn các bạn sử dụng chứng thực VPN qua LDAP.

Vào đường dẫn System -> User Manager và Edit user LDAP (do bài LAB này chỉ làm trên 1User , trong trường hợp các bạn có nhiều Users và KHÔNG muôn phải thao tác nhiều và tạo nhiều bản Openvpn.exe thì nên tạo 1 group trong LDAP server và cấu hình cho group này trên pfsense , sau đó việc thêm bớt accounts chỉ cần làm trên group là được)

Tại giao diện Edit kéo xuống tới User Certificates và bấm +Add

Điền các thông tin như hình dưới (chắc chắn chọn  “Choose an existing certificate“ và chọn CA chúng ta đã tạo – trong bài LAB này có tên là OpenVPN) sau đó bấm Save:

Do bước trên chúng ta đã cài đặt gói open-vpn-client-export nên tới đây chúng ta sẽ làm tiếp bước Wizards cho LDAP authentication :

Di chuyển đến menu VPN -> OpenVPN ->và chọn mục Wizards :

Tại mục LDAP server ở Step 1 of 11 chọn LDAP server (trong trường hợp có nhiều hơn 1 LDAP server)  -trong bài LAB này LDAP có tên là mdungblog.com.vn sau đó bấm Next :

Certificate Authority chọn CA OpenVPN :

Ở step 7 of 11 mục Certificate chọn OpenVPN luôn :

Bước 9 of 11 là bước quan trọng ,các bạn cố gắng khai báo đúng theo hướng dẫn :

Mục Interface : Khai báo Interface WAN để cho phép VPN vào pfsense – ở đây là đường WAN của FPT có tên là WANFPT .

Local Port : Đây là mục quan trọng , các bạn phải đảm bảo Local Port này là duy nhất và KHÔNG trùng với các kiểu chứng thực khác , ví dụ trong bài LAB này chúng ta sử dụng 2 cách chứng thực thì Local Port để chứng thực cho Local User chúng ta đã để mặc định là 1194 thì tại đây chúng ta phải đổi ra 1 port khác (trong bài LAB này mình chọn là 1195)

Check vào TLS Authentication và TLS Key (nếu chưa check) – các mục khác trong Cryptographic Settings để mặc định , kéo xuống dưới mục Tunnel Settings :

Tunnel Network là lớp mạng mà các máy VPN sẽ nhận được sau khi kết nối thành công VPN tới pfsense (các mạng này phải khác nhau với các cách chứng thực khác nhau – ví dụ trong bài LAB này có 2 cách thì cách dùng Local Account mình cho sử dụng lớp mạng 192.168.101.0/24 còn với chứng thực LDAP thì sẽ nhận lớp mạng 192.168.100.0/24)

Redirect Gateway : Bắt buộc phải check ô này.

Local network : Là lớp mạng của pfsense – trong bài LAB này là lớp mạng 192.168.10.0/24

Concurent Connections: Giới hạn số lượng phiên kết nối được VPN đồng thời vào hệ thống , nếu sợ ảnh hưởng tới NW thì các bạn có thể giới hạn tại đây,trong bài LAB này mình giới hạn maximum 50 kết nối đồng thời ,nghĩa là người thứ 51 VPN vào sẽ KHÔNG được.

Kéo xuống dưới tiếp tục khai báo phần Client Settings:

Ở bước 10 of 11 khai báo như trong hình rồi bấm Next :

Bấm Finish để kết thúc :

OK tới đây thì cũng tương tự ở trên với Local User :

Vào mục VPN -> OpenVPN -> Client Export

Tại mục Remote Access Server chọn Server UDP4:1195 (port 1195 là port chúng ta khai báo cho chứng thực LDAP)

Kéo xuống dưới mục OpenVPN Clients bấm download (Windows Vista and Later) :

Chạy file openvpn-pfSense-UDP4-1195-install-2.4.6-I602.exe bằng quyền admin (trong trường hợp của các bạn tên có thể thay đổi tùy vào phiên bản của openVPN tại thời điểm các bạn cấu hình) – Nhớ chạy và cài đặt bằng quyền Administrator :

Sau khi cài đặt xong chạy OpenVPN (Run as Administrator) :

OK tới đây là kết thúc phần OpenVPN – bài này cũng đã dài mình xin chuyển các phần tiếp theo qua bài Pfsense toàn tập – Part III Tại Đây !

Chúc các bạn thao tác thành công !

Share this:

• X
• Facebook

Like Loading...