Comment configurer ExpressVPN sur pfSense (OpenVPN)

Ce guide vous montrera comment configurer ExpressVPN sur votre pfSense avec OpenVPN.

Toutes les localisations d’ExpressVPN ne sont pas forcément disponibles pour des connexions configurées manuellement.

À noter : Les étapes suivantes ont été testées sur pfSense 2.4.5 et s’adressent aux utilisateurs ayant une configuration réseau domestique de base (192.168.1.0/24) : Internet > Modem > pfSense > Routeur/Points d’accès.

1. Trouver les identifiants de votre compte ExpressVPN

Allez sur la page de configuration d’ExpressVPN. Si vous y êtes invité, entrez vos identifiants ExpressVPN et cliquez sur Se connecter.

Entez le code de vérification qui vous a été envoyé par e-mail.

Sur la droite, avec OpenVPN déjà sélectionné pour vous, vous verrez votre nom d’utilisateur, votre mot de passe, et une liste de fichiers de configuration OpenVPN.

Cliquez sur la(les) localisation(s) que vous souhaitez afin de télécharger le(s) fichier(s) .ovpn.

Gardez cette fenêtre de navigateur ouverte. Vous aurez besoin de ces informations de configuration pour plus tard.

Vous avez besoin d’aide ? Contactez l’équipe de support client d’ExpressVPN pour une assistance immédiate.

Retour au début

2. Configurer le VPN sur pfSense

Connectez-vous à l’interface web de votre pfSense. (Le nom d’utilisateur et le mot de passe par défaut sont admin et pfsense.) Cliquez sur SIGN IN.

Dans la barre de navigation située en haut, cliquez sur System > Cert. Manager.

Dans l’onglet CA, cliquez sur Add. Entrez les informations suivantes :

Create/ Edit CA

• Descriptive name : Entrez n’importe quel nom qui vous aidera à reconnaître votre connexion VPN. Exemple : ExpressVPN.
• Method : Sélectionnez Import an existing Certificate Authority.

Existing Certificate Authority

• Certificate data : Faites un clic droit sur le fichier config .ovpn et ouvrez-le avec n’importe quel éditeur de texte. Copiez le texte entre les tags <ca> et </ca> tags et collez-le dans ce champ.
  
• Certificate Private Key (optional) : Laissez vide.
• Serial for next certificate : Laissez vide.

Cliquez sur Save.

Cliquez sur Certificates. Cliquez sur Add/ Sign. Entrez les informations suivantes :

Add/ Sign a New Certificate

• Method : Sélectionnez Import an existing Certificate.
• Descriptive name : Entrez n’importe quel nom. Exemple : ExpressVPN Cert.

Import Certificate

• Certificate data : Dans l’éditeur de texte que vous aviez ouvert plus tôt, copiez le texte entre les tags <cert> et </cert> et collez-le dans ce champ.
  
• Private key data : Dans l’éditeur de texte que vous aviez ouvert plus tôt, copiez le texte entre les tags <key> et </key> et collez-le dans ce champ.
  

Cliquez sur Save.

Dans la barre de navigation située en haut, cliquez sur VPN > OpenVPN.

Cliquez sur Clients, puis cliquez sur Add. Entrez les informations suivantes :

General Information

• Disabled : Laissez cette case non cochée.
• Server mode : Sélectionnez Peer to Peer (SSL/TLS).
• Protocol : Sélectionnez UDP on IPv4 only.
• Device mode : Sélectionnez tun – Layer 3 Tunnel Mode.
• Interface : Sélectionnez WAN.
• Local port : Laissez vide.
• Server host or address : Dans l’éditeur de texte que vous aviez ouvert plus tôt, copiez n’importe quelle adresse de serveur listée entre le mot « remote » et le numéro de port à 4 chiffres. Collez-la dans ce champ.
• Server port : Entrez le numéro (après l’adresse de serveur) que vous aviez trouvé plus haut.
• Proxy host or address : Laissez ce champ vide.
• Proxy port : Laissez ce champ vide.
• Proxy Authentication : Sélectionnez none.
• Description : Entrez n’importe quel nom qui vous aidera à reconnaître votre connexion. Exemple : ExpressVPN New York.

User Authentication Settings

• Username : Entrez le nom d’utilisateur que vous aviez trouvé plus tôt.
• Password : Entez le mot de passe que vous aviez trouvé plus tôt deux fois.

Cryptographic Settings

• TLS Configuration : Cochez cette case.
• Automatically generate a TLS key : Décochez cette case.
• TLS Key : Dans l’éditeur de texte que vous aviez ouvert plus tôt, copiez le texte entre les tags <tls-auth> et </tls-auth> et collez-le dans ce champ.
  
• TLS Key Usage Mode : Sélectionnez TLS Authentication.
• Peer Certificate Authority : Sélectionnez l’entrée (ex : ExpressVPN) que vous aviez créé plus tôt.
• Client Certificate : Sélectionnez l’entrée (ex : ExpressVPN Cert) que vous aviez créé plus tôt.
• Encryption Algorithm : Dans l’éditeur de texte que vous aviez ouvert plus tôt, recherchez le mot « cipher ». Sélectionnez l’algorithme qui s’affiche après « cipher » dans le menu déroulant. Exemple : AES-256-CBC.
• Enable NCP : Décochez cette case.
• NCP Algorithms : Laissez vide.
• Auth digest algorithm : Dans l’éditeur de texte que vous aviez ouvert plus tôt, recherchez le mot « auth ». Sélectionnez l’algorithme qui s’affiche après « auth » dans le menu déroulant. Exemple : SHA512.
• Hardware Crypto : À moins que vous ne sachiez déjà si votre appareil prend en charge la cryptographie materielle, sélectionnez No Hardware Crypto Acceleration.

Tunnel Settings

• IPv4 Tunnel Network : Laissez vide.
• IPv6 Tunnel Network : Laissez vide.
• IPv4 Remote network(s) : Laissez vide.
• IPv6 Remote network(s) : Laissez vide.
• Limit outgoing bandwidth : Laissez vide.
• Compression : Sélectionnez Adaptive LZO Compression [Legacy, comp-lzo adaptive].
• Topology : Laissez tel quel.
• Type-of-Service : Laissez cette case non cochée.
• Don’t pull routes : Cochez cette case.
• Don’t add/remove routes : Laissez cette case non cochée.

Advanced Configuration

• Custom options : Copiez et collez les informations suivantes :
  fast-io;persist-key;persist-tun;remote-random;pull;comp-lzo;tls-client;verify-x509-name Server name-prefix;remote-cert-tls server;key-direction 1;route-method exe;route-delay 2;tun-mtu 1500;fragment 1300;mssfix 1450;verb 3;sndbuf 524288;rcvbuf 524288
• UDP Fast I/O : Cochez cette case.
• Send/ Receive Buffer : Sélectionnez 512 KiB.
• Gateway Creation : Sélectionnez IPv4 only.
• Verbosity level : Sélectionnez 3 (recommended).

Cliquez sur Save.

Vous avez besoin d’aide ? Contactez l’équipe de support client d’ExpressVPN pour une assistance immédiate.

Retour au début

3. Router le WAN à travers le tunnel VPN

Une fois que le tunnel est en ligne, vous aurez besoin de router votre trafic WAN à travers le tunnel.

Dans la barre de navigation située en haut, cliquez sur Interfaces > Assignments.

Cliquez sur Add. Une nouvelle interface sera créée. Pour OPT1, sélectionnez ovpnc1. Cliquez sur Save.

Dans le menu de navigation du haut, cliquez sur Interfaces > OPT1.

Entrez les informations suivantes :

General Configuration

• Enable : Cochez cette case.
• Description : Entrez n’importe quel nom qui a une signification pour vous. Exemple : ExpressVPN.
• MAC Address : Laissez vide.
• MTU : Laissez vide.
• MSS : Laissez vide.

Reserved Networks

• Block private networks and loopback addresses : Laissez cette case non cochée.
• Block bogon networks : Laissez cette case non cochée.

Cliquez sur Save.

Cliquez sur Apply Changes.

Dans la barre de navigation, cliquez sur Firewall > Aliases.

Cliquez sur Add.

Donnez un « Alias » à votre réseau domestique qui permette facilement de le reconnaître. Entrez les informations suivantes :

Properties

• Name : Entrez un nom pertinent. Exemple : Local_Subnets.
• Description : Entrez une description pertinente pour vous. Exemple : Réseau maison.
• Type : Sélectionnez Network(s).

Network(s)

• Network or FQDN : Entrez 192.168.1.0 et sélectionnez 24.

Cliquez sur Save.

Dans la barre de navigation du haut, cliquez sur Firewall > NAT > Outbound.

Pour Mode, sélectionnez Manual Outbound NAT rule generation. Cliquez sur Save > Apply Changes.

Votre trafic a besoin d’une destination lorsqu’il quitte votre réseau. Faites défiler vers le bas jusqu’à Mappings, vous devrez modifier vos connexion WAN existantes afin d’utliser votre nouvelle interface virtuelle ExpressVPN.

Pour la première entrée de connexion WAN, cliquez sur .

Pour Interface, sélectionnez EXPRESSVPN.

Cliquez sur Save.

Répétez les étapes ci-dessus pour les autres entrées WAN.

Une fois que toutes les nouvelles règles ont été ajoutées, cliquez sur Apply Changes en haut.

Maintenant, créez une règle pour rediriger tout le trafic local à travers la passerelle par défaut OpenVPN que vous venez de créer. Dans la barre de navigation située en haut, cliquez sur Firewall > Rules.

Cliquez sur LAN. Cliquez sur Add à l’extrêmité gauche.

Entrez les informations suivantes :

Edit Firewall Rule

• Action : Sélectionnez Pass.
• Disabled : Laissez cette case non cochée.
• Interface : Sélectionnez LAN.
• Address : Sélectionnez IPv4.
• Protocol : Sélectionnez Any.

Source

• Source : Sélectionnez Single host or alias et entrez le nom de l’alias que vous avez créé plus tôt pour votre réseau. Exemple : Local_subnets.

Destination

• Destination : Sélectionnez any.

Extra Options

• Log : Laissez cette case non cochée.
• Description : Entrez une description pertinente pour vous. Exemple : Trafic LAN vers ExpressVPN.

Cliquez sur Display Advanced.

Advanced Options

• Gateway : Sélectionnez EXPRESSVPN.

Cliquez sur Save > Apply Changes.

Vous avez besoin d’aide ? Contactez l’équipe de support client d’ExpressVPN pour une assistance immédiate.

Retour au début

4. Confirmer le succès de la connexion

Vous devrez maintenant être capable de confirmer le succès de votre connexion OpenVPN. Dans la barre de navigation située en haut, cliquez sur Status > OpenVPN.

Si votre tunnel VPN est en ligne, Status devrait afficher « up ».

Vous pouvez aussi utiliser le vérificateur d’adresse IP d’ExpressVPN pour vérifier si vous êtes bien connecté au VPN. L’adresse IP affichée devrait être en corrélation avec la localisation à laquelle vous êtes connectée via OpenVPN. Sinon, sous Service, cliquez sur l’icône de pause puis l’icône de lecture pour redémarrer le VPN.

Vous avez besoin d’aide ? Contactez l’équipe de support client d’ExpressVPN pour une assistance immédiate.

Retour au début