« Xem PHẦN 1 - Thêm VLAN và gán VLAN vào Interface .
II. Thiết lập cấu hình NordVPN trên OPNsense.
1. Cấu hình VPN Client (NordVPN, các VPN server hỗ trợ giao thức OpenVPN…)
Vào menu System -> Trust -> Authorities chọn +Add để thêm chứng chỉ mới
Điền thông số theo hướng dẫn
- Descriptive Name: NordVPN_CA
- Method: Import an existing Certificate Authority
- Certificate data: Copy và dán nội dung bên dưới vào
|
|
- Certificate Private Key: bỏ trống
- Serial for next certificate: để mặc định
Nhấn SAVE
- Vào VPN -> OpenVPN -> Clients chọn +Add để thêm cấu hình mới.
- Điền các thông số như sau
GENERAL INFORMATION
MỤC | THÔNG SỐ |
---|---|
Disabled | Để mặc định (không check) |
Description | Mô tả. (Ví dụ: NordVPN_JP) |
Server mode | Peer to Peer (SSL/TLS) |
Protocol | UDP4 (có thể dùng TCP4 nếu muốn) |
Device mode | tun |
Interface | VPN_LAN |
Remote server | Host address: vào https://nordvpn.com/servers/tools/ - để lấy (vd server VN: vn21.nordvpn.com). Port: 1194 cho UDP và 443 cho TCP |
Retry DNS resolution | |
Proxy host or address | Để trống |
Proxy port | Để trống |
Proxy Authentication | None |
Local port | Để trống |
USER AUTHENTICATION SETTINGS
MỤC | THÔNG SỐ |
---|---|
Username/pass | Điền Username và Password tài khoản NordVPN |
Renegotiate time | Để trống |
CRYPTOGRAPHIC SETTINGS
Mục TLS Authentication:
- Enable authentication of TLS packets: Enabled
- Automatically generate a shared TLS authentication key: Bỏ tick và dán nội dung sau đây vào.
|
|
- Peer Certificate Authority: NordVPN_CA;
- Client Certificate: None (Username and Password required);
- Encryption Algorithm: AES-256-CBC;
- Auth Digest Algorithm: SHA512 (512-bit);
- Hardware Crypto: No hardware crypto acceleration;
TUNNEL SETTINGS
- | - |
---|---|
IPv4 tunnel network | Để trống |
IPv6 tunnel network | Để trống |
IPv4 remote network(s) | Để trống |
IPv6 remote network(s) | Để trống |
Limit outgoing bandwidth | Để trống |
Compression | Enable with adaptive Compression |
Type-of-service | không check |
Disable IPv6 | check vào |
Don’t pull routes | không check |
Don’t add/remove routes | check vào |
ADVANCED CONFIGURATION
- Advanced: Dán nội dung bên dưới vào.
|
|
- Verbosity level: 3 (recommended) hoặc 1 (default);
Nhấn SAVE
2. Thêm Interface cho VPN.
- Vào Interfaces -> Assignments bấm vào dấu + để thêm. mặc định sẽ là ovpnc1.
- Bấm vào OPTx (vừa mới tạo) để tiến hành chỉnh sửa.
- Click vào Enable Interface và tiến hành chỉnh sửa như sau:
MỤC THÔNG SỐ Description NordVPN (hoặc bất cứ thứ gì bạn muốn) Block private networks bỏ chọn Block bogon networks bỏ chọn IPv4 Configuration Type None IPv6 Configuration Type None MAC address bỏ trống MTU bỏ trống MSS bỏ trống
- Click vào Enable Interface và tiến hành chỉnh sửa như sau:
Không cần thay đổi gì ở DHCP client configuration. Nhấn SAVE.
Nhấn Apply changesCấu hình tường lửa
Vào Firewall -> NAT -> Outbound, chọn Hybrid outbound NAT rule generation (automatically generated rules are applied after manual rules), click Save and Apply Changes.
Vào Firewall -> Rules -> VPN_LAN click vào nút edit ở Rule Allow VPN_LAN network . Cuộn xuống mục Advanced features, chọn Gateway là NORDVPN_VPNV4.
Click Save.
Tạo một Rule mới, click +Add, thay đổi Source thành VPN_LAN net và Destination thành VPN_LAN Address, không thay đổi bất cứ thứ gì khác sau đó nhấn Save và Apply Changes.
Vào System -> Gateways -> Single và thực hiện các thay đổi sau:
- Chỉnh sửa NORDVPN_VPN6 -> click Disabled
- Click SAVE and Apply changes
Bây giờ, vào VPN -> OpenVPN -> Connection Status bạn có thể thấy status chuyển sang trạng thái up là được.
III. Cấu hình trên AP, chia đường truyền có VPN thành 1 mạng Wifi riêng.
- Làm tương tự bài Hướng dẫn cấu hình OpenWRT làm Access Point (AP) và cách thêm VLAN cho GUEST AP
- Chỉ cần chỉnh sửa lại số VLAN mà các bạn đã set cho đường truyền VPN là được,
Chúc các bạn thành công. Mọi thắc mắc vui lòng để lại comment hoặc liên hệ mình.
Bài viết khác dài nên không thể tránh khỏi sai sót, nếu có thiếu bước nào hoặc kẹt ở bước nào xin hãy cho mình biết. cám ơn các bạn rất nhiều.
Bài viết liên quan
- Hướng dẫn cấu hình Captive Portal trên OPNsense
- Thiết lập Tên Miền, DDNS thông qua Cloudflare, lấy chứng chỉ SSL Let's Encrypt, Reveser Proxy
- Cài đặt ADGuardHome lên OPNsense - chặn quảng cáo bằng DNS hiệu quả.
- Chia VLAN cho Guest, giới hạn tốc độ, thiết lập Captive Portal.
- Cấu hình OPNsense quay PPPoE.