Posts Tagged ‘pfsense vpn site to site’

Site-to-Site IPsec VPN pfSense to pfSense

Daca e vorba de un VPN IPsec, pfSense to pfSense, acesta se poate face destul de usor pentru conectarea a doua locatii de net. Il putem folosi fie ca tunel fie ca transport. Pentru moment eu l-am testat doar ca si tunel si functioneaza corect.

Avem reteaua A cu clasa LAN 10.0.0.1/8 si reteaua B cu clasa LAN 192.168.0.1/16.

Este de mentionat faptul ca doua retele cu aceeasi clasa nu pot fi conectate intre ele prin VPN (conform specificatiilor pfSense), dar nici o retea cu o clasa /8 si una cu o clasa /24 ca apar conflicte de adrese IP.

In reteaua A configurat VPN-ul IPsec astfel: VPN-> IPsec unde creem o noua conexiune VPN.

Remote Gateway: adresa IP reala de la locatia la care ne conectam
Description: numele locatiei

Phase1:
Authentication method (default) Mutual PSK
Negotiation mode (default) aggressive
My identifier (default) My IP address
Peer identifier (default) Peer IP Address
Pre-Shared Key – aici am generat o cheie strong
Policy generation Default
Proposal Checking Default
Encryption algorithm 3DES
Hash algorithm SHA1
DH key group 5

Advanced options:
NAT Traversal Enable
Dead Peer Detection Enable

La Delay am setat 20 de secunde si la retries am pus „5”.

Dupa ce dam „Save” urmeaza Phase 2 connection pe care o creem.
Aici e forarte important ca la „Remote Network” clasa retelei la care ne conectam cu VPN-ul sa fie alocata in forma: 192.168.0.0. Apareau probleme de conectare daca puneam 192.168.0.1.

Protocol: ESP
Encryption algorithms: 3DES
Hash algorithms: SHA1
PFS key group off
Lifetime: 3600
Automatically ping host: 192.168.0.1 (IP-ul retelei la care se face conexiunea site-to-site).

In reteaua B se proceteaza la fel doar ca se modifica Remote Gateway unde se aloca IP-ul real al primei retele A, iar in Phase2 se adauga la Remote Network clasa de IP-uri din reteaua A, iar la Automatically ping host, IP-ul primei retelei.

Este important ca setarile sa fie la fel in ambele retele pentru ca VPN-ul sa se conecteze.

De asemenea in Firewall-> rules mai trebuie adaugata o regula la rubrica IPSec unde sa se permita accesul any to any prin VPN.
Este la fel de important ca dintr-o retea in alta sa fie permis accesul la interfata web pfSense, in cazul in care apar unele probleme pentru a putea fi remediate.

Fiecare retea va primi IP din clasa din care face parte insa va putea accesa si adresele IP din cealalta retea.
De exemplu daca esti in reteaua B si ai adresa IP: 192.168.1.220, VPN-ul fiind conectat poti sa accesezi un server din reteaua A care are alocat IP-ul 10.0.2.50

srv StandDuPp
Articole recente