Конфигуриране на VPN от сайт до сайт с pfSense 2

Site-to-site VPN (Virtual Private Network) - начин за внедряване на OpenVPN технология, предназначена да създаде защитен виртуален тунел между няколко частни мрежи, което може да бъде полезна опция при комбиниране на отдалечени фирмени клонове или отдели, разположени в една и съща сграда, но в различни мрежи (по-специално, зад различни рутери, които не поддържат режим на точка за достъп (AP)) във виртуална частна мрежа.

Каква е разликата между традиционната VPN (точка към сайт) и сайт към сайт? Когато използвате втория, няма нужда да конфигурирате отделно настройките за връзка за всяко конкретно клиентско устройство - достатъчно е да конфигурирате един VPN шлюз от всяка от свързаните мрежи. Point-to-Site е по-подходящ при свързване на конкретни отдалечени служители, Site-to-Site - за свързване на отдели.

Тази инструкция ще ви помогне да настроите Site-to-Site VPN с помощта на софтуерния рутер pfSense, като използвате примера за комбиниране на частна мрежа от 1cloud сървъри и външна мрежа (физическа или виртуална).

pfsense

В нашия случай първата мрежа"1cloud" се състои от три виртуални сървъра: Ubuntu 12.04, Windows 2008 R2 и pfSense 2.3. Операционните системи се внедряват от стандартните шаблони, предлагани от услугата 1cloud, без допълнителна конфигурация.

Частен облак от 1cloud.ru

  • Всяка конфигурация на виртуални сървъри
  • Безплатни частни мрежи
  • Пълна автоматизация на контрола

конфигуриране

Целият процес на настройка се състои от две прости стъпки:

  1. Подготовка на pfSense сървъри и създаване на частни мрежи;
  2. Пренасочване на тунели от място до мястомежду мрежите.

1. Подгответе pfSense сървъри и създайте частна мрежа.

Създаването на частна мрежа и свързването на сървъри към нея става с няколко кликвания:

pfsense

сървър

конфигуриране

сървър

сървър

конфигуриране

Незабавно конфигурирайте защитната стена, за да позволи външни връзки към LAN интерфейса. В нашия пример всички входящи връзки за локалната мрежа са разрешени. Можете да конфигурирате тези правила по ваш собствен начин. Основното нещо е правилото да включва разрешение заOpenVPN (порт 1194 UDP)

конфигуриране

Важно! Трябва също да създадете екземпляр на сървъраpfSense във външната свързана мрежа на физически или виртуален сървър. Процесът на инсталиране на тази операционна система е описан тук.

2. Пренасочване на тунел от сайт към сайт между мрежи:

Преди да пристъпим към конфигурацията, заслужава да се отбележи, че технологията OpenVPN, на базата на която ще реализираме нашата задача, може да работи в няколко режима, а именно „Peer to Peer (споделен ключ)“ – PSK и „Peer to Peer (SSL/TLS)“ – PKI.

"Peer to Peer (споделен ключ)" - PSK е най-лесният режим за настройка и е доста подходящ за свързване на малък брой мрежи. В същото време неговият недостатък е, че за всяка отдалечена мрежова единица трябва да създадете отделно копие на услугата OpenVPN на контролния сървър на pfSense. Ако трябва да свържете много (повече от 3-4) частни мрежи, тогава трябва да помислите за PKI режима, в който един сървър може да обслужва много клиенти.

В това ръководство ще преминем през процеса на настройка на VPN от сайт до сайт в режим PSK, тъй като той е доста подходящ за нашата задача да свържем само две мрежи.

сайт

Други параметри могат да бъдат оставени безпромени. Запазване на конфигурацията.

OpenVPN

сайт

сайт

конфигуриране

След като запазите промените, трябва да ги приложите и след това да опресните страницата.

pfsense

След като запазите промените, приложете ги отново, обновете страницата.

конфигуриране

  • На предварително конфигурирания сървър за управлениеpfSense(наричан по-нататък VPN сървър) отново влизаме в уеб интерфейса за управление.
  • Отидете наVPN > OpenVPN, сървъри, щракнете върху „Добавяне“, за да създадете нов екземпляр на VPN сървър и да посочите неговите параметри:
  • Настройките наЗащитна стена за интерфейсаWAN трябва да бъдат конфигурирани да позволяват външни връзки за OpenVPN. Вижте екранните снимки по-долу:
  • Сега нека конфигурираме правилата на защитната стена за самата OpenVPN услуга:
  • Връщаме се в менютоVPN - OpenVPN и натискаме бутона"молив", за да отворим параметрите на инстанцията. Копирайте автоматично генериранияСподелен ключ в клипборда или бележника. В този момент конфигурацията на сървъра на контролния сървърVPN може да се счита за завършена.

Последната стъпка е да конфигурирате вторияpfSense сървър (по-нататъкOpenVPN е клиентът), разположен във външната свързана мрежа (в нашия случай 10.0.1.0/24).

сайт

pfsense

pfsense

конфигуриране

OpenVPN

След като запазите промените, приложете ги и обновете страницата.

    На клиентския сървър на pfSense отворете разделаOpenVPN - Клиент. Щракнете върху „Добавяне“, за да създадете нова конфигурация. Посочете следните параметри:

Запазване на параметри.

  • Последното нещо, което трябва да направите, е да конфигурирате правилата на защитната стена за клиентския сървър по същия начин, както го направихте по-рано на контролния сървър.
  • АкоАко конфигурацията е направена правилно, тогава в менютоСъстояние - OpenVPN на клиентския сървър можете веднага да видите резултата - успешна връзка.

    сайт

    На тази настройка може да се счита за завършена.

    P.S. Заключение

    Ако връзката е успешна, командният ред ще започне да показва процеса на обмен на пакети.