TSF – Giải pháp IT toàn diện cho doanh nghiệp SMB | HCM

Trang chủ
Về chúng tôi
Giải pháp
Khóa học
Liên hệ
Youtube
  • English
  • Tiếng Việt
    • Contact

    P12 - Hướng Dẫn Cấu Hình VPN pfSense Client-to-Site

    VPN pfSense Client-to-Site: Hướng Dẫn Cấu Hình Remote Access

    Trong hệ thống mạng hiện đại, VPN truy cập từ xa (Remote Access VPN) là một giải pháp quan trọng giúp người dùng kết nối vào mạng nội bộ một cách an toàn từ bên ngoài. Điều này đặc biệt hữu ích cho các doanh nghiệp có nhân viên làm việc từ xa hoặc cần truy cập hệ thống nội bộ khi không ở văn phòng.

    Trong bài hướng dẫn này, chúng ta sẽ triển khai VPN pfSense theo mô hình Client-to-Site sử dụng OpenVPN. Sau khi cấu hình hoàn tất, người dùng từ internet có thể kết nối vào hệ thống mạng nội bộ và truy cập các dịch vụ như server, website nội bộ hoặc máy ảo trong LAN.

    Bài lab này sẽ hướng dẫn cách:

    • Cấu hình OpenVPN Server trên pfSense

    • Tạo Certificate Authority và chứng chỉ

    • Tạo user VPN

    • Export file cấu hình client

    • Cấu hình Firewall Rule cho VPN

    • Kết nối từ Windows hoặc thiết bị di động

    📺 Xem video hướng dẫn để theo dõi toàn bộ quá trình lab thực tế.

    1️⃣ Configuring the VPN Server

    Bước đầu tiên là cấu hình VPN Server trên pfSense. Quá trình này bao gồm việc tạo Certificate Authority, tạo chứng chỉ server, cấu hình OpenVPN server và cho phép lưu lượng VPN đi qua firewall.

    Step 1: Create a CA and certificate on pfSense

    Truy cập pfSense WebGUI:

     
    System → Certificate
     

    1. Authorities → Add

     
    Descriptive Name: VPNClienToSite
    Method: Create an internal Certificate Authority
     

    2. Certificates → Add

     
    Method: Create an internal certificate
    Descriptive Name: OpenVPN-Server-Cert
    Certificate Authority: VPNClienToSite
    Certificate Type: Server
     

    Bước này tạo Certificate Authority (CA)chứng chỉ server, đây là các thành phần cần thiết để OpenVPN thiết lập kết nối mã hóa an toàn giữa client và server.

    Step 2: Configure OpenVPN Server

    Truy cập:

     
    VPN → OpenVPN → Servers → Add
     

    Cấu hình các thông số sau:

     
    Server Mode: Remote Access (SSL/TLS + User Auth)
     

    Tunnel settings

     
    Tunnel Network: 10.8.0.0/24
    Local Network: 192.168.16.0/24
     

    Giải thích:

    • Tunnel Network là dải IP sẽ cấp phát cho các client khi kết nối VPN.

    • Local Network là mạng LAN nội bộ mà client VPN có thể truy cập.

    Ví dụ trong mạng LAN có các server hoặc VM:

    • 192.168.16.173

    • 192.168.16.174

    • 192.168.16.208

    Cấu hình nén dữ liệu:

     
    Compression: Disabled
     

    Sau đó nhấn:

     
    Save → Apply
     

    Sau bước này, OpenVPN Server đã sẵn sàng để tiếp nhận kết nối từ client.

    Step 3: Create a User for the VPN

    Tiếp theo chúng ta cần tạo user dùng để xác thực khi kết nối VPN.

    Truy cập:

     
    System → User Manager → Add
     

    Cấu hình:

     
    Username: bao
    Password: ********
     

    Trong phần Certificates, tạo chứng chỉ cho user:

     
    Add user certificate
    CA = VPN-CA
    Type = User Certificate
     

    Thông thường mỗi user VPN sẽ có một certificate riêng, giúp tăng tính bảo mật và dễ dàng thu hồi quyền truy cập khi cần.

    Step 4: Install OpenVPN Client Export

    Để việc cấu hình client trở nên đơn giản hơn, pfSense cung cấp package cho phép export file cấu hình OpenVPN tự động.

    Truy cập:

     
    System → Package Manager → Available Packages
     

    Cài đặt package:

     
    openvpn-client-export
     

    Sau khi cài đặt xong, truy cập:

     
    VPN → OpenVPN → Client Export
     

    Chọn user:

     
    bao
     

    Export file cấu hình:

     
    .ovpn
     

    File này chứa toàn bộ cấu hình kết nối, certificate và thông tin cần thiết cho client.

    Step 5: Configure Firewall Rule

    Để VPN hoạt động, cần mở rule trên firewall cho phép lưu lượng OpenVPN đi vào pfSense.

    #1. WAN Rule

    Truy cập:

     
    Firewall → Rules → WAN
     

    Thêm rule mới:

     
    Action: Pass
    Interface: WAN
    Protocol: UDP
    Source: any
    Destination: WAN Address
    Port: 1194
     

    Sau đó nhấn:

     
    Save → Apply
     

    Rule này cho phép lưu lượng OpenVPN từ internet đi vào pfSense firewall.

    #2. OpenVPN Rule

    Nếu bạn chỉ muốn cho phép truy cập vào một dịch vụ cụ thể, bạn có thể điều chỉnh phần Destination trong rule này.

    Rule này sẽ kiểm soát những tài nguyên nội bộ mà client VPN được phép truy cập.

    2️⃣ Install Client

    Sau khi server được cấu hình hoàn tất, bước tiếp theo là cài đặt OpenVPN client trên thiết bị người dùng.

    Windows Client

    #1. OpenVPN Community Client (OpenVPN GUI – free)

    Trang chủ:

     
    https://openvpn.net/community-downloads/
     

    Đây là client OpenVPN rất phổ biến trên Windows vì nhẹ, miễn phí và dễ sử dụng.

    Bạn có thể tải trực tiếp từ link trên.

    #2. OpenVPN Connect (official client)

    Trang chủ:

     
    https://openvpn.net/vpn-client/
     

    Client chính thức của OpenVPN hỗ trợ nhiều hệ điều hành:

    • Windows

    • macOS

    • iOS

    • Android

    Ứng dụng có giao diện hiện đại và dễ sử dụng hơn.

    3️⃣ Mobile app

    Bạn cũng có thể kết nối VPN từ điện thoại.

    Android

    Tải từ Google Play:

     
    OpenVPN Connect
     

    iOS

    Tải từ App Store:

     
    OpenVPN Connect
     

    4️⃣ Import và Kết Nối VPN

    Sau khi cài đặt ứng dụng OpenVPN:

    1. Mở ứng dụng

    2. Chuột phải và chọn Import

     
    Import the exported .ovpn file
     

    Sau đó kết nối:

     
    Connect → enter username/password
     

    Sau khi kết nối thành công, client sẽ nhận IP từ dải:

     
    10.8.0.0/24
     

    Bạn có thể kiểm tra kết nối bằng cách truy cập tài nguyên nội bộ:

     
    ping 192.168.16.173
     

    hoặc

     
    curl http://192.168.16.173
     

    Nếu cấu hình đúng, thiết bị từ internet sẽ có thể truy cập các dịch vụ trong mạng nội bộ thông qua tunnel VPN.

    Lưu Ý Quan Trọng

    Mô hình lab này giả định pfSense đang sử dụng public IP tĩnh (static public IP).

    Nếu bạn sử dụng public IP động (dynamic IP), cần triển khai thêm một số thành phần:

    • Một domain name có hỗ trợ DNS API

    • Tạo DNS record trỏ tới public IP

    • Một VM hoặc script kiểm tra IP định kỳ

    • Tự động cập nhật DNS khi public IP thay đổi

    Cách triển khai mô hình này có thể được giải thích chi tiết trong các video tiếp theo.

    Kết Luận

    Cấu hình VPN pfSense Client-to-Site bằng OpenVPN là một giải pháp hiệu quả giúp người dùng truy cập hệ thống nội bộ từ xa một cách an toàn.

    Giải pháp này cho phép quản trị viên:

    ✔ Cung cấp truy cập từ xa an toàn vào hệ thống nội bộ
    Mã hóa toàn bộ lưu lượng giữa client và mạng nội bộ
    ✔ Kiểm soát quyền truy cập thông qua firewall rule và certificate

    Với tính linh hoạt và khả năng mở rộng cao, pfSense là một nền tảng VPN mạnh mẽ, phù hợp cho doanh nghiệp, hệ thống lab và môi trường làm việc từ xa.

    Tham khảo thêm bài viết cùng chủ đề

    P16 – Cấu Hình VLAN pfSense Dễ Hiểu: UniFi Chuẩn Nhất

    P16 – Cấu Hình VLAN pfSense Dễ Hiểu: UniFi Chuẩn Nhất https://youtu.be/ep78Pokpvqc 🚀 Cấu Hình VLANs trên pfSense cho UniFi (Hướng Dẫn Cho Người Mới) Việc chia mạng bằng VLAN là một kỹ thuật quan trọng trong hệ thống IT hiện đại. Nó giúp tăng cường bảo mật, tối ưu...

    Read More

    P15 – IPPhone pfSense Mượt Hơn: QoS Ưu Tiên Chuẩn

    P15 – IPPhone pfSense Mượt Hơn: QoS Ưu Tiên Chuẩn https://youtu.be/ZAok_lCChjU 🚀 Cấu Hình QoS Cho VoIP Trên pfSense (Ưu Tiên IP Phone) Trong môi trường doanh nghiệp hiện đại, các ứng dụng thoại và video như VoIP, Microsoft Teams hay Zoom đóng vai trò cực kỳ quan trọng. Tuy...

    Read More

    P14 – Nâng cấp pfSense 2.8 An Toàn Hướng Dẫn Chi Tiết

    P14 – Nâng cấp pfSense 2.8 An Toàn Hướng Dẫn Chi Tiết https://youtu.be/r_8iU6MC0Bs 🚀 Nâng Cấp pfSense 2.7 lên pfSense 2.8 – Hướng Dẫn Chi Tiết Cho Người Mới Việc nâng cấp pfSense lên phiên bản mới là bước quan trọng giúp hệ thống của bạn luôn an toàn, ổn...

    Read More