La risorsa Italiana per pfSense

30 novembre 2012

Creare una vpn site to site ipsec

Con la diffusione di internet è divenuto molto semplice mettere in comunicazione tra loro sedi differenti di una stessa azienda. Internet per sua natura è un canale di comunicazione insicuro che richiede l'utilizzo di protocolli adatti a renderlo sicuro ed idoneo al transito di informazioni aziendali.
Le Virtual Private Network o più semplicemente VPN sono il metodo più semplice per creare dei tunnel sicuri tra due reti aziendali. In quest'articolo vedremo come configurare una VPN site to site con protocollo IPsec.

Prerequisiti

Per poter stabilire una connessione site to site tra due sedi utilizzando IPsec sono necessari solo due prerequisiti:
  1. Almeno una delle due sedi deve avere un IP pubblico statico;
  2. Le subnet delle due sedi devono essere differenti.

Configurazione

Nella nostra configurazione supporremo di avere due sedi:
1) Milano con IP pubblico 4.3.2.1 e lan con subnet 192.168.0.0/24
2) Roma con IP pubblico 1.2.3.4 e lan con subnet 192.168.1.0/24

Colleghiamoci al firewall della sede di Milano e configuriamo la connessione verso il server di Roma

Accediamo al menù VPN > IPsec
Clicchiamo su add phase 1 entry


Selezioniamo l'interfaccia su cui vogliamo che il nostro server vpn si metta in ascolto
Interface = WAN

Remote Gateway = 1.2.3.4 (Impostiamo l'IP pubblico sede di Roma)


Passiamo a configurare la fase 1
Authentication method = Mutual PSK
Negotiation mode = aggressive
Pre-Shared Key = Password Condivisa
Encryption algorithm = AES 256 (L'algoritmo deve essere uguale su entrambi i sistemi ed è consigliabile sceglierlo in base alla capacità di calcolo dell'hardware)
Hash algorithm = MD5
DH Key group = 2
Lifetime = 28800 seconds


Nella sezione Advanced Options
NAT Traversal = Enable
Dead Peer Detection = Yes
Ora clicchiamo su Save e torniamo alla schermata precedente
Clicchiamo su Phase-2 entries


Impostiamo le fase due
Mode = Tunnel
Remote Netvork
   Type = Network
   Address = 192.168.1.0/24
   Description = Fase 2 - Roma
Protocol = ESP
Encryption algorithms = Blowfish (Selezionare uno o più algoritmi selezionando quello più performante per la nostra macchina)
Hash algorithms = SHA1 e MD5
PFS keygroup = off
Lifetime = 28800
Automatically ping host = 192.168.1.1 IP address (è l'ip remoto da pingare per mantenere attiva la connessione, noi useremo quello del firewall di Roma)
Clicchiamo su Save
  
Ripetiamo la stessa operazione per il firewall di roma impostando gli IP di milano dove necessario.

Ora la nostra VPN è pronta, non ci resta che attivarla cliccando su Enable IPsec e creare le regole di Firewall per permettere il passaggio dei pacchetti all'interno del tunnel e le regole per permettere l'accesso dei pacchetti per stabilire il tunnel sull'interfaccia WAN.

Selezioniamo Firewall > Rules > IPsec
Aggiungiamo una regola che consenta il passaggio di qualsiasi protocollo.
Ricordiamoci ri ripetere l'operazione per entrambi i firewall.

Selezioniamo Firewall > Rules > Wan e creiamo due regole per consentire il passaggio dei pacchetti UDP diretti alla porta 500 ed UDP/TCP per la porta 4500.

Se tutto è stato configurato correttamente i due firewall cominceranno a negoziare per stabilire il tunnel.






0 commenti:

Nome

Email *

Messaggio *