{"id":2292,"date":"2020-07-01T22:40:32","date_gmt":"2020-07-01T20:40:32","guid":{"rendered":"https:\/\/eonea.pl\/?p=2292"},"modified":"2026-01-27T22:21:29","modified_gmt":"2026-01-27T21:21:29","slug":"pfsense-openvpn-zdalny-dostep-do-biura","status":"publish","type":"post","link":"https:\/\/eonea.pl\/en\/pfsense-openvpn-zdalny-dostep-do-biura\/","title":{"rendered":"pfSense + openVPN &#8211; Zdalny dost\u0119p do biura"},"content":{"rendered":"<p><iframe title=\"pfSense + openVPN - Zdalny dost\u0119p do biura\" width=\"800\" height=\"450\" src=\"https:\/\/www.youtube.com\/embed\/CUTEHt_dQQI?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<h2>Table of contents<\/h2>\n<ul>\n<li><a href=\"#wprowadzenie\">Introduction<\/a><\/li>\n<li><a href=\"#srodowisko-testowe\">\u015arodowisko testowe<\/a><\/li>\n<li><a href=\"#rozne-metody-zdalnego-dostepu\">R\u00f3\u017cne metody zdalnego dost\u0119pu<\/a><\/li>\n<li><a href=\"#konfiguracja-serwera-vpn\">Konfiguracja serwera VPN w pfSense<\/a><\/li>\n<li><a href=\"#tworzenie-uzytkownikow-vpn\">Tworzenie u\u017cytkownik\u00f3w VPN<\/a><\/li>\n<li><a href=\"#eksport-konfiguracji-klienta\">Eksport konfiguracji klienta VPN<\/a><\/li>\n<li><a href=\"#instalacja-i-laczenie-klienta\">Instalacja i \u0142\u0105czenie klienta VPN<\/a><\/li>\n<li><a href=\"#podsumowanie-i-wskazowki\">Podsumowanie i wskaz\u00f3wki ko\u0144cowe<\/a><\/li>\n<\/ul>\n<h2 id=\"wprowadzenie\">Introduction<\/h2>\n<p>W dzisiejszym artykule om\u00f3wimy, jak bezpiecznie skonfigurowa\u0107 zdalny dost\u0119p do sieci biurowej za pomoc\u0105 firewalla pfSense oraz oprogramowania OpenVPN. Zdalny dost\u0119p pozwala na korzystanie z zasob\u00f3w biura przez internet, zabezpieczaj\u0105c transmisj\u0119 danych za pomoc\u0105 szyfrowania oraz autoryzacji. Zaprezentujemy krok po kroku konfiguracj\u0119 serwera VPN, tworzenie u\u017cytkownik\u00f3w oraz konfiguracj\u0119 klienta VPN.<\/p>\n<h2 id=\"srodowisko-testowe\">\u015arodowisko testowe<\/h2>\n<p>Do demonstracji u\u017cywamy \u015brodowiska testowego opartego na maszynach wirtualnych:<\/p>\n<ul>\n<li>Serwer Debian, pe\u0142ni\u0105cy rol\u0119 serwera WWW, dost\u0119pny pod adresem 192.168.1.105<\/li>\n<li>Komputer z systemem Windows w sieci LAN, z adresem 192.168.1.106<\/li>\n<li>Firewall pfSense dzia\u0142aj\u0105cy jako router i serwer VPN z dwoma interfejsami:\n<ul>\n<li>LAN (od strony biura) o adresacji 192.168.1.1<\/li>\n<li>WAN (symuluj\u0105cy internet) o adresacji 192.168.133.6<\/li>\n<\/ul>\n<\/li>\n<li>Sie\u0107 LAN: 192.168.1.0\/24<\/li>\n<li>Symulowany internet: 192.168.133.0\/24<\/li>\n<\/ul>\n<p>Aktualna sytuacja: u\u017cytkownik wewn\u0105trz biura ma dost\u0119p do aplikacji, natomiast u\u017cytkownik spoza sieci nie ma takiego dost\u0119pu.<\/p>\n<h2 id=\"rozne-metody-zdalnego-dostepu\">R\u00f3\u017cne metody zdalnego dost\u0119pu<\/h2>\n<p>Istniej\u0105 dwa podstawowe podej\u015bcia do zdalnego dost\u0119pu:<\/p>\n<ol>\n<li>Otwarte przekierowanie port\u00f3w na routerze (port firward) \u2013 jest proste w konfiguracji, ale niesie powa\u017cne ryzyko bezpiecze\u0144stwa, poniewa\u017c dost\u0119p maj\u0105 wszyscy z internetu, a przesy\u0142ane dane mog\u0105 nie by\u0107 szyfrowane.<\/li>\n<li>Zaawansowany tunel VPN \u2013 tworzy szyfrowany tunel od zdalnego komputera do firewalla, dzi\u0119ki czemu tylko autoryzowani u\u017cytkownicy maj\u0105 dost\u0119p do zasob\u00f3w, a transmisja jest bezpieczna.<\/li>\n<\/ol>\n<p>Zalecamy metod\u0119 VPN ze wzgl\u0119du na lepsze zabezpieczenie dost\u0119pu.<\/p>\n<h2 id=\"konfiguracja-serwera-vpn\">Konfiguracja serwera VPN w pfSense<\/h2>\n<p>Po zalogowaniu do interfejsu pfSense wybieramy zak\u0142adk\u0119 VPN i konfigurujemy serwer OpenVPN jako serwer-klient. Mo\u017cemy korzysta\u0107 z lokalnej bazy u\u017cytkownik\u00f3w lub zewn\u0119trznego serwera autoryzacji (np. RADIUS). Na potrzeby test\u00f3w wykorzystujemy baz\u0119 lokaln\u0105.<\/p>\n<p>Kluczowe kroki konfiguracji:<\/p>\n<ul>\n<li>Tworzenie centrum certyfikacji (CA) zawieraj\u0105cego informacje o organizacji i lokalizacji.<\/li>\n<li>Utowrzenie certyfikatu serwera VPN, podpisanego przez CA.<\/li>\n<li>Wyb\u00f3r interfejsu, na kt\u00f3rym serwer VPN b\u0119dzie nas\u0142uchiwa\u0142 (zwykle WAN).<\/li>\n<li>Konfiguracja protoko\u0142u (UDP jest zalecany dla lepszej wydajno\u015bci).<\/li>\n<li>Ustawienia zwi\u0105zane z kluczami, d\u0142ugo\u015bci\u0105 i algorytmem szyfrowania (d\u0142u\u017csze klucze daj\u0105 wi\u0119ksze bezpiecze\u0144stwo, ale wymagaj\u0105 wi\u0119cej zasob\u00f3w).<\/li>\n<li>Definicja zakresu IP dla klient\u00f3w VPN (np. 10.0.8.0\/24) oraz sieci lokalnej, do kt\u00f3rej b\u0119d\u0105 si\u0119 mogli \u0142\u0105czy\u0107.<\/li>\n<li>Okre\u015blenie topologii sieci (tryb &#8222;bridge&#8221; lub &#8222;routed&#8221;) oraz ewentualne przekierowanie ca\u0142ego ruchu klienta przez VPN.<\/li>\n<li>Ostateczna konfiguracja regu\u0142 firewall pozwalaj\u0105cych na ruch na port VPN oraz ruch wewn\u0105trz sieci.<\/li>\n<\/ul>\n<h2 id=\"tworzenie-uzytkownikow-vpn\">Tworzenie u\u017cytkownik\u00f3w VPN<\/h2>\n<p>U\u017cytkownicy VPN s\u0105 tworzeni w panelu zarz\u0105dzania u\u017cytkownikami pfSense. Ka\u017cdy u\u017cytkownik otrzymuje indywidualne has\u0142o oraz certyfikat podpisany przez centralne CA. To zapewnia dwustopniow\u0105 autoryzacj\u0119.<\/p>\n<h2 id=\"eksport-konfiguracji-klienta\">Eksport konfiguracji klienta VPN<\/h2>\n<p>Konfiguracja klienta VPN jest skomplikowana, poniewa\u017c generowana jest zintegrowana konfiguracja \u0142\u0105cz\u0105ca certyfikaty, klucze i dane serwera. pfSense oferuje pakiet &#8222;openvpn-client-export&#8221;, kt\u00f3ry automatyzuje eksport gotowej konfiguracji do r\u00f3\u017cnych platform, takich jak Windows czy Android.<\/p>\n<p>Mamy mo\u017cliwo\u015b\u0107 pobrania pe\u0142nego pliku konfiguracyjnego, kt\u00f3ry mo\u017cna wykorzysta\u0107 bezpo\u015brednio w aplikacji OpenVPN jako gotowe rozwi\u0105zanie.<\/p>\n<h2 id=\"instalacja-i-laczenie-klienta\">Instalacja i \u0142\u0105czenie klienta VPN<\/h2>\n<p>Po zainstalowaniu aplikacji OpenVPN na komputerze klienta importujemy pobran\u0105 konfiguracj\u0119. Nast\u0119pnie uruchamiamy po\u0142\u0105czenie, podaj\u0105c nazw\u0119 u\u017cytkownika i has\u0142o. System operacyjny mo\u017ce zapyta\u0107 o zgod\u0119 na po\u0142\u0105czenie \u2013 nale\u017cy j\u0105 zatwierdzi\u0107.<\/p>\n<p>Po pomy\u015blnym po\u0142\u0105czeniu interfejs sieciowy klienta zostaje skonfigurowany automatycznie, zapewniaj\u0105c dost\u0119p do zasob\u00f3w sieci wewn\u0119trznej biura, w tym do serwera WWW.<\/p>\n<h2 id=\"podsumowanie-i-wskazowki\">Podsumowanie i wskaz\u00f3wki ko\u0144cowe<\/h2>\n<p>Om\u00f3wili\u015bmy, jak skonfigurowa\u0107 bezpieczny zdalny dost\u0119p do sieci biurowej za pomoc\u0105 pfSense i OpenVPN. Kluczowymi aspektami s\u0105:<\/p>\n<ul>\n<li>Autoryzacja u\u017cytkownik\u00f3w trzyetapowa (has\u0142o + certyfikaty).<\/li>\n<li>Szyfrowanie transmisji danych przez tunel VPN.<\/li>\n<li>Konfiguracja firewall, zabezpieczaj\u0105ca dost\u0119p.<\/li>\n<li>Regularne wykonywanie kopii zapasowych konfiguracji, kluczy i certyfikat\u00f3w, poniewa\u017c utrata tych danych oznacza konieczno\u015b\u0107 generowania wszystkiego od nowa i ponownej dystrybucji do u\u017cytkownik\u00f3w.<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Chcesz bezpiecznie korzysta\u0107 z zasob\u00f3w biura przez internet? Nasz artyku\u0142 poka\u017ce Ci krok po kroku, jak skonfigurowa\u0107 zdalny dost\u0119p z wykorzystaniem firewalla pfSense i OpenVPN, zapewniaj\u0105c szyfrowanie i autoryzacj\u0119. Dowiesz si\u0119, jak stworzy\u0107 \u015brodowisko testowe, skonfigurowa\u0107 serwer VPN, doda\u0107 u\u017cytkownik\u00f3w oraz jak bezpiecznie po\u0142\u0105czy\u0107 si\u0119 z firmow\u0105 sieci\u0105 z dowolnego miejsca.<\/p>","protected":false},"author":7,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[13,12],"tags":[],"class_list":["post-2292","post","type-post","status-publish","format-standard","hentry","category-pfsense","category-vlog"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/posts\/2292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/comments?post=2292"}],"version-history":[{"count":1,"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/posts\/2292\/revisions"}],"predecessor-version":[{"id":2297,"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/posts\/2292\/revisions\/2297"}],"wp:attachment":[{"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/media?parent=2292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/categories?post=2292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eonea.pl\/en\/wp-json\/wp\/v2\/tags?post=2292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}