pfSense / OPNSense - Generalna diskusija, pitanja i saveti.

[alex303]

Vidim da je diskusija na ovu temu skoro pa nepostojeća. Red je da pokrenemo jednu takvu temu. Podelite vaša iskustva, savete, trikove i pitanja.

Failover podešavanja.
Dodatni feedovi za pfBlockerNG.
Podešavanje ExpressVPN-a.

---

Instalacija je jednostavna. Skinite pfSense image sa dole ponuđenog linka i spržite ga na USB flash koristeći Rufus.

pfSense 2.7.2 - DOWNLOAD.
Rufus v4.4 - DOWNLOAD.

Alternativni linkovi za pfSense download su ovde.

 

[everton]

Da li je ovo pravilna procedura za upgrade sa 2.6. na 2.7
1) napravis config backup i SS firewall-a za svaki slucaj
2) obrises pakete
3) uradis upgrade na 2.7
4) reinstaliras pakete koje si imao, podesavanja za pakete bi trebalo da se vrate automatski.

Inače Pfsense na ovom Zotakovom Zbox-u fercera samo tako, Realtek NIC-ovi.

 

[alex303]

Ta metoda nadogradnje se koristi samo ako klasična metoda ne prođe. Tebi je dovoljno samo da snimiš config i odradiš update. Ja sam pre par dana odradio update na 2.7.1 RC a danas sam odradio nadogradnju na poslednji RC zbog kritičnog update-a za OpenVPN.

Od paketa imam instalirano:

pfBlockerNG-devel
Service_Watchdog
System_Patches
WireGuard

Svaki put je update prošao bez greške. Moj savet ti je da se strpiš sa nadogradnjom jer će uskoro 2.7.1 final. Pa da se ne cimaš 2 puta.

 

[everton]

Onda ću naravno sačekati sa nadogradnjom.
Nego sam hteo tailscale da nadogradim pa vidim trazi prvo pfsense nadogradnju.

 

[alex303]

Onda ću naravno sačekati sa nadogradnjom.

Nećeš dugo čekati. Update je izašao danas. Odrađen je uspešno na nekoliko uređaja.

Nego sam hteo tailscale da nadogradim pa vidim trazi prvo pfsense nadogradnju.

Mogao si iz terminala i bez update-a.

pkg upgrade <ime_paketa>

 

[castor]

Druga ona tema me podsjeti na ovo…
@alex303, da li znaš ima li negdje neko uputstvo za instalaciju i podešavanje pfSensea za VPN, failover, antivirus, plus adblocker? Imam tih podobnih mašina ili boljih na izvoz, pamrekoh da uzmem neku i poigram se sa time. Imam ASA-5510 sa VPN licencom za 2 konekcije, ali sam imao ranije problema sa njom (bila je preopterećena u nekoliko navrata, pa sam link prebacio na 2901 ruter sa kojim nemam problema), pa bih je zaobišao, jer je već i orastar uređaj. Failover za dva linka mi je zapravo najpotrebniji, pa onda VPN, pa onda ostatak…
Hvala na pomoći…

 

[alex303]

Druga ona tema me podsjeti na ovo…
@alex303, da li znaš ima li negdje neko uputstvo za instalaciju i podešavanje pfSensea za VPN, failover, antivirus, plus adblocker? Imam tih podobnih mašina ili boljih na izvoz, pamrekoh da uzmem neku i poigram se sa time. Imam ASA-5510 sa VPN licencom za 2 konekcije, ali sam imao ranije problema sa njom (bila je preopterećena u nekoliko navrata, pa sam link prebacio na 2901 ruter sa kojim nemam problema), pa bih je zaobišao, jer je već i orastar uređaj. Failover za dva linka mi je zapravo najpotrebniji, pa onda VPN, pa onda ostatak…
Hvala na pomoći…

Ja sam razmišljao da napišem uputstvo za pfSense, ali za to nema interesovanja jer ljude ne zanima privatnost i sigurnost. Ali ajde da krenemo ovako.

VPN.

Napiši tačno koji VPN koristiš, i ja ću ti napisati kako da ga podesiš.

Failover.

Za ovo ti je potreban jedan slobodan LAN port na pfSense uređaju koji će ti služiti kao WAN2 odnosno failover port. Idi na Interfaces / Assignments i dodaj ga kao novi interface port. Za primer ovog uputstva ja ću koristiti port 5 na mom uređaju koji se vidi kao igb4. Nakon dodavanja on će automatski dodeliti OPTx ime na interfejsu, klikni na to ime i izmeni parametre interface-a kao na slici ispod.



IPv4 configuration type je u mom slučaju DHCP. To znači da će ovaj interface dobiti automatsku adresu od failover uređaja. Bilo da je to neki LTE modem, ADSL modem...itd.

Nakon dodavanja i podešavanja interfejsa priključi failover uređaj na port koji si iskonfigurisao, sačekaj par minuta da se podigne i proveri u Status / Interfaces da li je taj interfejs dobio IP adresu od failover uređaja.

Sad treba dodati NAT rule. Idi na Firewall / NAT i klikni na tab Outbound. Iskopiraj postojeći WAN rule tako što ćeš kliknuti na simbol i promeni interface sa WAN na WAN2. Snimi podešavanja i NAT-ovanje je gotovo.

Sada si spreman za drugi korak. Idi na System / Routing i klini na tab Gateway Groups i klikni na Add i podesi sve kao na slici ispod.


Imaj na umu da ja imam mnogo više izlaznih gateway-a zbog velikog broja VPN tunela, ali na pfSense-u, primarni gateway je uvek WAN_DHCP. Njega sam stavio da bude primarni gateway tako što sam mu stavio tag Tier 1. WAN2_DHCP je onaj drugi interfejs na koji je nakačen failover uređaj. Njega taguj kao Tier2.

U sekciji Trigger Level podešavaš u kojoj situaciji će da se aktivira failover. Imaš nekoliko opcija a to su:

Member down - Kad jedna od konekcija pukne.
Packet loss - Kad primarna konekcija krene da gubi pakete.
High Latency - Kad primarna konekcija postane zagušena i ping ode preko 150msec.
Packet Loss or High Latency - I jedno i drugo pa šta prvo nastane.

U polju description upiši kako želiš da se zove taj failover gateway da bi kasnije mogao da ga nađeš. Klikni na save i ako si sve odradio kako treba, finalni rezultat bi trebao da izlgeda ovako



Nakon toga, klikni System / Routing i skroluj dole do podešavanja za Default Gateway i odaberi gateway grupu koju si kreirao. Trebalo bi da izlgeda ovako.



Ako tvoja firewall pravila koriste default gateway onda ovde možeš prestati da čitaš. Podešavanje je gotovo.

Ako koristiš policy routing ili želiš ručno da odabereš failover gateway, lociraj firewall pravilo. Po defaultu su na Firewall / Rules pa klik na tab LAN pa na ikonicu . Skroluj skroz dole i kao gateway setuj FAILOVER - FAILOVER GATEWAY kao na slici dole.



Klik na Save pa Apply i to je to.

Antivirus.

Na pfSense-u je to postalo neupotrebljivo jer da bi ta zaštita radila potreban je proxy i man in the middle setup kako bi se dekriptovao dolazeći saobraćaj i odradilo skeniranje. Bez MITM metode, AV skenira samo neenkriptovan saobraćaj kojeg je na internetu jako malo. Samim tim i ovaj vid zaštite je postao obsolete jer Squid na pfSense-u ide u penziju.

Adblocker.

Idi na System / Package Manager / Available Packages i traži paket pfBlockerNG-devel i instaliraj ga. Nakon instalacije idi na Firewall / pfBlockerNG isprati setup wizard i to je to. Prosto.

 

[castor]

Ne koristim nijedan, mislio sam da pfSense zamijeni Ciscovu ASAu za to. Ne treba mi puno VPNova, max 5…
Hvala za ovo, moraću da se poigram…

 

[alex303]

Ne koristim nijedan, mislio sam da pfSense zamijeni Ciscovu ASAu za to. Ne treba mi puno VPNova, max 5…
Hvala za ovo, moraću da se poigram…

Može bez problema. Na raspolaganju su ti IPSec, L2TP, OpenVPN, WireGuard / TailScale. Nema ograničenja u broju VPN tunela.

 

[castor]

Ekstra… Danke!

 

[mayo]

Ja sam razmišljao da napišem uputstvo za pfSense, ali za to nema interesovanja jer ljude ne zanima privatnost i sigurnost. Ali ajde da krenemo ovako.

@alex303
Piši slobodno, ima ljudi koje interesuju tvoji postovi na ovu temu. Čitajući ih, ja sam izabrao Protectli VP2410 i uspešno postavio pfSense + Pihole.
Hvala ti

 

[alex303]

@alex303
Piši slobodno, ima ljudi koje interesuju tvoji postovi na ovu temu. Čitajući ih, ja sam izabrao Protectli VP2410 i uspešno postavio pfSense + Pihole.
Hvala ti

Nema se vremena. I bolje je ovako. Ako neko ima neko pitanje, neka postavi ovde i ja ću rado pomoći.

Evo za početak, jesi instalirao CoreBOOT BIOS na taj Protectli i zbog čega koristiš Pihole umesto pfBlockerNG-a ?

 

[mayo]

Nema se vremena. I bolje je ovako. Ako neko ima neko pitanje, neka postavi ovde i ja ću rado pomoći.

Evo za početak, jesi instalirao CoreBOOT BIOS na taj Protectli i zbog čega koristiš Pihole umesto pfBlockerNG-a ?

Dobra pitanja,

Neki learning curve mora da postoji. Nisam ništa znao o CoreBOOT-u kada sam birao koji bios da postave pre isporuke, pa ostade AMI. Kasnije sam sve već instalirao, odnosno ESXi 7, pa nisam želeo da čačkam bios ako sad sve radi.
A Pihole je ostao kao poznata kombinacija, i naravno da idem ka tome da ga ukinem i postavim pfBlockerNG kad je već zreo proizvod, Dodaću još koji GB RAMa pfSensu - sada radi sa 1GB.

 

[alex303]

Nisam ništa znao o CoreBOOT-u kada sam birao koji bios da postave pre isporuke, pa ostade AMI.

Njihov zvanični flash tool ti je ovde. Omogućava ti da nadogradiš BIOS na poslednju verziju i možeš da biraš hoćeš li AMI ili CoreBOOT. Uvek možeš da se vratiš na original AMI u slučaju da ti treba UEFI i IOMMU koje CoreBOOT nema. Ali zato CoreBOOT neutrališe Intel Management engine što je po meni jako bitna stvar za takav uređaj.

Kasnije sam sve već instalirao, odnosno ESXi 7, pa nisam želeo da čačkam bios ako sad sve radi.

Ako ne koristiš IOMMU ili UEFI boot, zamena BIOS-a neće imati efekta na ESXi.

A Pihole je ostao kao poznata kombinacija, i naravno da idem ka tome da ga ukinem i postavim pfBlockerNG kad je već zreo proizvod, Dodaću još koji GB RAMa pfSensu - sada radi sa 1GB.

To je jako malo. Pogotovo ako si na ZFS-u i ako loguješ dosta toga.

 

[mayo]

Njihov zvanični flash tool ti je ovde. Omogućava ti da nadogradiš BIOS na poslednju verziju i možeš da biraš hoćeš li AMI ili CoreBOOT. Uvek možeš da se vratiš na original AMI u slučaju da ti treba UEFI i IOMMU koje CoreBOOT nema. Ali zato CoreBOOT neutrališe Intel Management engine što je po meni jako bitna stvar za takav uređaj.

Ako ne koristiš IOMMU ili UEFI boot, zamena BIOS-a neće imati efekta na ESXi.

To je jako malo. Pogotovo ako si na ZFS-u i ako loguješ dosta toga.

Prešao sam na pfBlockerNG, isključio Pihole. Feed iz prvog posta na strani se više ne ažurira, više info na https://oisd.nl/

Koje feedove preporučuješ? Takođe, ovde piše da će uskoro AdBlock style feeds uskoro biti podržan na pfBlockerNG.

 

[alex303]

Prešao sam na pfBlockerNG, isključio Pihole. Feed iz prvog posta na strani se više ne ažurira, više info na https://oisd.nl/

Promenio sam post i ubacio sam ovaj ultra mega giga feed.

Koje feedove preporučuješ?

Zavisi šta želiš da blokiraš i koliko. Glavni problem sa feedovima je što previše blokiraju. Ali ako se odvoji malo vremena i whitelistuje ono što je neophodno, onda se dobija prava zaštita.

Takođe, ovde piše da će uskoro AdBlock style feeds uskoro biti podržan na pfBlockerNG.

Da. pfBlockerNG se stalno nadograđuje i dobija nove mogućnosti. Ja korisim TLD i Python blocking mode. Mnogo je lakši za CPU ako se koriste feedovi sa više od milion entryja.

Ja koristim ove.

Ovaj blokira sve živo. Mora da radi whitelisting za pojedine servise.
Ovaj blokira facebook i sve vezano za facebook.
Ovaj blokira windows telemetriju, windows update i sve što ima veze sa windows i microsoft servisima. Koristan ako ne koristiš Windows.
Ovaj i ovaj su adblockeri i random blockeri. Potrebno je malo whitelistovanja ali su odlični.
Ovaj blokira trackere i jako je agresivan. Možda treba malo whitelistinga.

Najveći cancer po meni je google. Ovi feedovi su za one koji žele da pobegnu iz google eko sistema.

Google Proxies
Google Products
Google Email
Google General
Google Fonts <--- sa ovim budi oprezan.
Google FireBase Parsed
Google Doubleclick
Google Domains
Google DNS
Google Android
Google Analytics

Takođe imam i moj custom local feed u koji stavljam entryje koje sam prikupio koristeći WireShark. Ukoliko na uređaju nije moguće pokrenuti WireShark (televizor, android telefon, iOT uređaji) a sumnjaš da koriste neki vid telemetrije ili "zovu kući" možeš odraditi packet capture unutar pfSense interfejsa na kojem su ti uređaji zakačeni. Sačuvaš taj packet capture dump i otvoriš ga u WireShark-u i imaš kompetan uvid u komunikaciju. Ja sam ovo iskoristio da blokiram telemetriju na TP-Link kamerama i pametnim utičnicama. LG OLED televizori takođe menjaju destination hosts kod svakog firmware update-a, tako da možeš uvek da blokiraš nedozvoljeni saobraćaj.

 

[mayo]

Hvala, ubacio sam Blocklistproject feed. Potrošnja RAM-a na FW je oko 2GB.

 

[everton]

Ja sam do nove god. koristio oisd.nl big listu, ali prestala je sa ažuriranjem na pfBlockerNG-u.
Posle toga sam našao ovu Hagezi (pro ver.), malo je agresivnija.
Samo mi je nesto velik ovaj procenat blokiranog šuta, odnosno domena, mada nisam imao potrebu da pravim belu listu što znači da je ok.
(Mozda dosta potiče od android igrica koje klinci igraju, sad mi se zale da nemaju reklama pa ne mogu da dobiju neke bonuse i nagrade ako iste odgledaju )



Zvuči mi zanimljivo da proverim ovo vezano za telemetriju pojedinih uređaja, znaci samo instaliram wireguard na pfsens-u i u njega ubacim taj packet capture dump?

 

[alex303]

Ja sam do nove god. koristio oisd.nl big listu, ali prestala je sa ažuriranjem na pfBlockerNG-u.
Posle toga sam našao ovu Hagezi (pro ver.), malo je agresivnija.

Odavno je Hagezi na mojoj listi.


Ali nisam hteo da ga šerujem jer mora mnogo da se whitelistuje. Inače je lista odlična.

Samo mi je nesto velik ovaj procenat blokiranog šuta, odnosno domena, mada nisam imao potrebu da pravim belu listu što znači da je ok.
(Mozda dosta potiče od android igrica koje klinci igraju, sad mi se zale da nemaju reklama pa ne mogu da dobiju neke bonuse i nagrade ako iste odgledaju )

Pogledajte prilog 425903

Tih 220k je smejurija. Evo kod mene trenutno


Dok god sve radi bez greške, nema razloga za brigu. Inače da, igrice na androidima najviše smaraju.

Zvuči mi zanimljivo da proverim ovo vezano za telemetriju pojedinih uređaja, znaci samo instaliram wireguard na pfsens-u i u njega ubacim taj packet capture dump?

Ne. Pobrkao si WireGuard (VPN Protokol) sa WireShark-om koji je program za packet capture. Na pfSense-u nije potrebno ništa instalirati. On ima ugrađen packet capture koji se nalazi u Diagnostics / Packet Capture i izgleda ovako:



Odabere se interface za koji želiš da odradiš packet capture, i kad završiš, samo ga skineš na komp na kojem imaš instaliran WireShark. Otvoriš packet capture file u WireShark-u i pregledaš traffic. Upravo sam napisao kratko uputstvo koje se nalazi ovde. Metoda za analizu je ista.

 

[everton]

Da, slučajno napisah wireguard umesto whiteshark.
DNSBL_NtopGovna
Super hvala.

 

[alex303]

DNSBL_NtopGovna

E vidiš. Dobro si me podsetio. Skroz sam zaboravio na NtopNG. On ti omogućava da vidiš gde se ko konektuje u realnom vremenu. Instaliraj i probaj. Nema toliko funkcija kao packet capture i WireShark ali može da prikaže dosta toga.

 

[Envoy]

Da ne otvaram novu temu. Šta mislite o N100 Mini PC kao hardveru za pfSense, kućna lab varijanta?

 

[alex303]

Da ne otvaram novu temu. Šta mislite o N100 Mini PC kao hardveru za pfSense, kućna lab varijanta?

Više nego dovoljan. N100 ima dosta snage da potrea pfSense bez problema čak i unutar ProxMox-a. Samo gledaj da uzmeš nekog kvalitetnog kineza kao što je Yanling, MiniSys ili Qotom. Izbegavaj TopTon, XCY i ostale jeftine brendove jer se pregrevaju i brzo crkavaju.

 

[everton]

Danas odradio update tj. pokusao sa 2.6 na 2.7 i naravno problem. Na prvu ruku proslo sve ok, sve radi sem jedne php greske vezane za PfBlockerNG i verovatno zbog nje nije hteo da startuje servis.
Uradim update blokera, medjutim ponovo ne mogu da ga startujem. Onda iz konzole pokusao da uradim reboot pfsensa medjutim ni jedna od onih predefisanih opcija ne radi, cak ni reboot, halt itd osim restart php-a.
Odradim reboot preko ssh i to je bio kraj, ne podize pfsense kaze nema butabilnog drajva.

Tu sam vec popizdeo na sebe sto sam u opste radio updejt kad nisam imao potrebe, ne znajuci koliko se lagano i brzo vraća config backup koji sam prethodno napravio.
Bukvalno desetak minuta sveza instalacija i vracanje svih postavki, svaka im cast za ovo.
Sad je tenutno 7.2 verzija na njemu sve fercera ponovo.

 

[alex303]

Danas odradio update tj. pokusao sa 2.6 na 2.7 i naravno problem. Na prvu ruku proslo sve ok, sve radi sem jedne php greske vezane za PfBlockerNG i verovatno zbog nje nije hteo da startuje servis.
Uradim update blokera, medjutim ponovo ne mogu da ga startujem. Onda iz konzole pokusao da uradim reboot pfsensa medjutim ni jedna od onih predefisanih opcija ne radi, cak ni reboot, halt itd osim restart php-a.
Odradim reboot preko ssh i to je bio kraj, ne podize pfsense kaze nema butabilnog drajva.

Hmm ovo više liči na neki problem sa hardware-om nego problem sa pfSense-om. Greške prilikom update-a se dešavaju, to niko ne osporava. Ali da sistem ne može da se podigne nakon update-a i da prijavi no bootable drive, to još nisam video.

Tu sam vec popizdeo na sebe sto sam u opste radio updejt kad nisam imao potrebe, ne znajuci koliko se lagano i brzo vraća config backup koji sam prethodno napravio.
Bukvalno desetak minuta sveza instalacija i vracanje svih postavki, svaka im cast za ovo.
Sad je tenutno 7.2 verzija na njemu sve fercera ponovo.

2.7.2 je poslednja verzija. Sačuvani XML config bukvalno vraća sistem u prvobitno stanje nakon instalacije. Tako da se ne isplati gubiti vreme na popravke. Ista je situacija i ako migriraš na drugi hardware. Ja sam moj config koji je za uređaj koji ima 6 mrežnih kartica uspešno vratio na neki matori PC sa jednom mrežnom karticom. Samo se prilikom dizanja pfSense buni da nedostaju interfejsi i otvoriti wizard da ponovo odabereš WAN/LAN nakon čega se sistem diže sa sa svim podešavanjima i instaliranim paketima. Milina.

 

[everton]

Ko će ga znati šta je pošlo dođavola, nisam se setio da pogledam upgrade log ali s obzirom da se sve vraća ekspresno u prvobitno stanje kao što kažeš ne isplati se gubiti vreme.

 

[kartingdriver]

Pozdrav, Alex, ipak sam na kvarno kupio fanless komp na osnovu tvoje preporuke. Da li imas neko uputstvo za podesavanje pfsensa? Instalirao sam ga u virtuelnoj masini i sada trebam da ispodesavam. Unapred se zahvaljujem...

 

[alex303]

Pozdrav, Alex, ipak sam na kvarno kupio fanless komp na osnovu tvoje preporuke. Da li imas neko uputstvo za podesavanje pfsensa? Instalirao sam ga u virtuelnoj masini i sada trebam da ispodesavam. Unapred se zahvaljujem...

Premestio sam tvoje pitanje ovde, i promenio sam naziv teme.

Uputstva nema jer je pfSense prekompleksan i nemoguće je napisati uputstvo koje će pokriti sve. Napiši šta želiš da odradiš, koja su očekivanja i planovi. Koji se uređaji kače na pfSense, da li se koristi VPN i koji, a ja ću ti pomoći da podesiš sve.

 

[kartingdriver]

Pozdrav, ideja je da preko pfsensa ide sav sadrzaj kroz VPN. Imam nalog za expressvpn. Ono sto bih zakacio jesu dva smart tv-a preko wifi, desktop preko kabla, Qnap Nas , RPi4 i uz to nekoliko mobilnih telefona putem wifi-ja. Valjda sam sve popisao...
Pored toga, imam Yetelovu optiku i placenu staticku adresu i volje da naucim nesto novo...

 

[alex303]

Pozdrav, ideja je da preko pfsensa ide sav sadrzaj kroz VPN. Imam nalog za expressvpn.

Ajde da rešimo prvo VPN.

Uloguj se na expressvpn sa tvojim kredencijalima i nađi konfiguracioni fajl za OpenVPN za Srbiju. Konfiguracioni fajl ima .ovpn ekstenziju. Sačuvaj ga u neki direktorijum i otvori ga u nekom text editoru i minimizuj ga. Text editor ne zatvaraj dok sve ne podesimo.

Uloguj se u pfSense a onda idi na System / Certificates i u tabu Authorities klikni na dugme Add. Otvoriće ti se prozor koji treba da popuniš na sledeći način.

Descriptive name: EVPN_Cert.
Method: Import an existing Certificate Authority.

Sad se vrati u text editor u kojem imaš otvoren .OVPN fajl koji si skinuo sa expressvpn sajta i lociraj liniju koja počinje sa <ca> i selektuj ceo string od linije BEGIN CERTIFICATE do linije END CERTIFICATE kao što je prikazano na slici ispod.



Iskopiraj selektovani saržaj, vrati se nazad u prozor sa pfSense-om (nemoj zatvarati editor!!!) i u polje Certificate Data paste-uj ključ. Zatim, skroluj dole i ostala polja podesi ovako.

Certificate Private Key (optional): Ostavi prazno.
Next Certificate Serial: Ostavi prazno.

Ako si sve odradio kako treba, to treba da izgleda ovako:



Klikni na Save i to je to. Sertifikat je kreiran.

Nakon toga klikni na tab Certificates pa dole na zeleno dugme + Add/Sign i ponuđena polja podesi ovako:

Method: Import an existing Certificate.
Descriptive name: EVPN_Certificate.

Vrati se opet u text editor i lociraj liniju koja počinje sa <cert> i selektuj kompletan sadržaj od linije BEGIN CERTIFICATE do END CERTIFICATE kao što je prikazano na slici ispod i kopiraj sadržaj.



Opet se vrati nazad u pfSense i paste-uj sadržaj u polje Certificate data. Sad se opet vrati u text editor i lociraj liniju koja počinje sa <key> i selektuj sve od linije BEGIN RSA PRIVATE KEY do linije END RSA PRIVATE KEY kao što je prikazano na slici ispod i iskopiraj sadržaj.



Vrati se u pfSense i paste-uj sadržaj u polje Private key data. Ako si sve odradio kako treba, to treba da izgleda ovako.


Klikni na save i to je to što se tiče RSA ključeva.

Sada idi u meni VPN i odaberi OpenVPN. Klikni na polje Clients pa na zeleno dugme +Add i otvoriće ti se podešavanje klijenta. Parametre podesi ovako:

Description: ExpressVPN_RS.
Disabled: Ova opcija mora biti isključena.
Server mode: Peer to Peer (SSL/TLS).
Device mode: tun - Layer 3 Tunnel Mode
Protocol: UDP on IPv4 only.
Interface: WAN
Local port: Ostavi prazno
Server host or address: Ovde treba da upišeš server koji se nalazi u editoru u polju remote. Ide samo host name bez porta.
Server port: Ovde upisuješ broj porta koji se nalazi iza adrese od gore.
Proxy host or address: Ostavi prazno.
Proxy port: Ostavi prazno.
Proxy Authentication: None.
Username: tvoje express vpn korisničko ime.
Password: tvoj express vpn password.
Authentication Retry: Ostavi isključeno.

Skroluj dole i sekciju Cryptographic Settings podesi ovako:

TLS Configuration: Uključi.
Automatically generate a TLS key: Isključi.

Vrati se nazad u editor i lociraj liniju koja počinje sa <tls-auth> i selektuj sve od linije BEGIN OpenVPN Static Key V1 do linije END OpenVPN Static Key V1 i iskopiraj sadržaj kao što je prikazano na slici ispod.



I paste-uj to sve u polje TLS Key. Preostale opcije podesi ovako:

TLS Key Usage Mode: TLS Authentication.
TLS keydir direction: Use default direction.
Peer Certificate Authority: Ovde odaberi EVPN_Cert
Client Certificate: I ovde odaberi EVPN_Cert

Data Encryption Algorithms. Ovde imaš dva box-a. U levom boxu su dostupni algoritmi a u desnom trenutno odabrani algoritmi. Ukloni sve algoritme iz desnog polja tako što ćeš uraditi desni klik na svaki. Box mora biti prazan. A onda u levom boxu nađi algoritam AES-256-GCM i klikni jednom na njega da se pojavi u levom boxu. Ako si sve odradio kako treba, to treba da izlgeda ovako:



Ostale opcije podesi ovako:

Fallback Data Encryption Algorithm: Takođe stavi AES-256-GCM
Auth digest algorithm: Vrati se nazad u editor i nađi polje "auth". Šta god da piše iza te linije, to izaberi ovde. Na primer SHA512.
Hardware Crypto: No hardware crypto.
Server Certificate Key Usage Validation: Ostavi uključeno.

Skroluj još dole do sekcije Tunnel Settings i parametre podesi ovako.

IPv4 Tunnel Network: Ostavi prazno.
IPv6 Tunnel Network: Ostavi prazno.
IPv4 Remote network(s): Ostavi prazno.
IPv6 Remote network(s): Ostavi prazno.
Limit outgoing bandwidth: Ostavi prazno.
Allow Compression: Decompress Incoming, do not compress outgoing (Asymteric)
Compression: Asaptive LZO Compression [Legacy Style, comp-lzo adaptive]
Topology: Ostavi default.
Type-of-Service: Ostavi default.
Don't pull routes: Uključi.
Don't add/remove routes: Ostavi isključeno.
Pull DNS: Ostavi isključeno.

Skroluj dole do sekcije Ping settings i ostavi sve kako jeste.

Opet skroluj dole do sekcije Advanced Configuration i podesi ovako:

U polje Custom options ubaci ovo:

fast-io;persist-key;persist-tun;remote-random;pull;comp-lzo;tls-client;verify-x509-name Server name-prefix;remote-cert-tls server;key-direction 1;route-method exe;route-delay 2;tun-mtu 1500;fragment 1300;mssfix 1450;verb 3;sndbuf 524288;rcvbuf 524288

UDP Fast I/O: Uključi.
Exit Notify: Retry 1x.
Send/Receive Buffer: 512 KiB
Gateway creation: IPv4 only.
Verbosity level: 3 (recommended).

Skroluj dole i klikni na dugme Save. Ako si sve podesio kako treba, klijent bi trebao automatski da se nakači na server. Da bi to proverio, idi na Status / OpenVPN. Ako se klijent povezao, to treba da izgleda ovako.



U slučaju da se klijent nije povezao, idi u Status / System Logs i klikni na tab OpenVPN. Iskopiraj sadržaj celog loga ovde i ja ću ti reći u čemu je problem.

Na ovaj način smo povezali samo OpenVPN klijent na ExpressVPN server. Saobraćaj i dalje ne ide kroz VPN jer ne postoji VPN interface a ni VPN gateway. Da bi to rešili, idi na Interfaces / Assignments i u delu Available network ports odaberi OVPNC interface i klikni na Add a onda na Save kao na slici ispod.


Nemoj da te zbuni ovo što na slici piše ExpressVPN NY. To je generička slika sa express vpn sajta. Tebi je bitno da dodaš OVPNC interfejs koji će se u tvom slučaju imati naziv koji si dodelio klijentu.

Nakon toga idi na Interfaces i odaberi novokreirani interface. Obično se zove OPT1 ili OPT2 u zavisnosti od redosleda. Otvoriće ti se interface konfiguracija. Podesi sve ovako.

Enable: Uključi
Description: OVPN_RS
MTU: Ostavi prazno.
MSS: Ostavi prazno.
Block private networks and loopback addresses: Ostavi isključeno.
Block bogon networks: Ostavi isključeno.

I klikni na Save i ne zaboravi da klikneš na Apply Changes u gornjem delu ekrana.

Sad treba napraviti NAT rule koji će omogućiti da lokalne adrese iz privatnog opsega mogu da komuniciraju sa adresama iz public VPN opsega. Da bi to uradio, idi na Firewall / NAT i klikni na tab Outbound. U sekciji Outbound NAT Mode selektuj Manual Outbound NAT rule generation. (AON - Advanced Outbound NAT).

Trebalo bi da vidiš default NAT rule koji NAT-uje sav lokalni saobraćaj iz lokane mreže na WAN interface. To pravilo ćeš iskopirati tako što ćeš kliknuti na dugme copy koje je označeno na slici dole.



Nakon toga će ti se otvoriti podešavanje za odabrani NAT rule. Ovde samo treba u polju interface umesto WAN odabrati expressvpn interface odnosno OVPN_RS. Skroluj dole i klikni na save. I to je to što se tiče natovanja.

Sada možemo da routiramo kompletan LAN saobraćaj tako da sve ide preko VPN-a. Da bi to uradio, idi na Firewall / Rules i klikni na tab LAN. Možeš da edituješ postojeći firewall rule klikom na olovčicu, skroluj skroz dole, i klikni na dugme Display Advanced i opet skroluj dole do polja gateway. Tu odaberi OVPN_RS, klikni save i to je to. Sada sav saobraćaj na LAN interface-u ide kroz express vpn.

Ono sto bih zakacio jesu dva smart tv-a preko wifi, desktop preko kabla, Qnap Nas , RPi4 i uz to nekoliko mobilnih telefona putem wifi-ja. Valjda sam sve popisao...
Pored toga, imam Yetelovu optiku i placenu staticku adresu i volje da naucim nesto novo...

Da bi ti pomogao dalje, reci mi koliko portova imaš na mini PC-u, koji je CPU, koliko RAM-a i šta koristiš za virtualizaciju?