La risorsa Italiana per pfSense

15 febbraio 2013

Creare una VPN Site to Site con OpenVPN

Qualche mese fa abbiamo visto come creare una vpn site to site IPSec, oggi vedremo com'è possibile configurare una vpn site to site utilizzando OpenVPN.

Nella configurazione di una vpn site to site con OpenVPN, una delle sedi deve fare da server mentre l'altra da client. Quest'aspetto ci consente di creare delle vpn site to site avendo una sola sede con indirizzo IP pubblico.

Nel nostro esempio utilizzeremo come metodo di autenticazione una chiave condivisa (shared key).

Nel nostro esempio consideriamo due sedi: A e B
La sede A farà da server mentre la sede B farà da client

Impostazione del Server


Accediamo al menù VPN > OpenVPN
Clicchiamo su Add Server

Server Mode:  Peer to Peer (Shared Key)
Protocol: TCP
Device Mode: tun
Interface: WAN
Local Port: 1194
Description: Descrizione


Shared Key: YES
Encription algorithm: AES-128-CBC (128 bit)*
Hardware Crypto: No hardware Crypto Acceleration*

* Per sapere cosa scegliere per questi due campi vi consiglio di leggere l'articolo Qual'è l'algoritmo crittografico migliore per le VPN? in cui ho trattato la scelta dell'aloritmo più idonea alla nostra macchina.


Tunnel Network: 192.168.254.0/24 (scegliamo un asottorete non in uso dai due siti)
Local Network: 192.168.0.0/24 (inseriamo la classe ip della lan della sede A)
Remote Network: 192.168.5.0/24 (inseriamo la classe ip della lan della sede B)


Compression: se non è strettamente necessario, vi sconsiglio di attivare la compressione perchè aggiunge inutile overhead.
Type-of-Service: quest'impostazione serve a marcare i pacchetti in modo che possano essere correttamente gestiti dal traffic shaper ma, qeusta marcatura li espone a potenziali rischi di sicurezza.

Clicchiamo su Save

Selezioniamo Firewall > Rules > Wan

Clicciamo su Add New Rule
Aggiungiamo una regola per permettere il traffico TCP in entrata sulla porta WAN e diretto alla porta 1194


Clicchiamo su Save

LA configurazione della sede A è completata, ora passiamo alla configurazione della sede B.

Impostazione del Client


Selezioniamo VPN > OpenVPN > Clients
Clicchiamo su Add Client

Server Mode: Peer to Peer (Shared Key)
Protocol: TCP
Device mode: tun
Interface: WAN
Server Host or address: Indirizzo Ip Pubblico dle server
Server port: 1194
Description: Descrizione

 
Shared Key: Copiamo e Incolliamo qui la Chiave generata dal server
Encryption algorithm: AES-128-CBC (128 bit)
Hardware Crypto: No Hardware Crypto Acceleration


Tunnel Network: 192.168.254.0/24
Remote Network: 192.168.0.0/24 (inseriamo la classe ip della lan della sede A)


Compression: se non è strettamente necessario, vi sconsiglio di attivare la compressione perchè aggiunge inutile overhead.
Type-of-Service: quest'impostazione serve a marcare i pacchetti in modo che possano essere correttamente gestiti dal traffic shaper ma, qeusta marcatura li espone a potenziali rischi di sicurezza.

Clicchiamo su Save

A questo punto se non abbiamo dimenticato nulla la connessione VPN verrà stabilita in automatico. Per conoscere lo stato della VPN ad ogni accesso al firewall, possiamo aggiungere il widget OpenVPN alla nostra Dashboard.

1 commenti:

vishu ha detto...

Hi,

I need you PfSense Guru Gyan(Knowledge)
I have following sample IP Structure given by the ISP, and i need to configure my PfSense box

WAN Pool: 1.1.1.0/30
TCL end WAN IP: 1.1.1.1/30------------------------------------------------ to be configured at provider router interface allocated for particular customer
Customer end WAN IP: 1.1.1.2/30---------------------------------------- to be configured at customer end router WAN interface(interface facing provider, connecting provider link/cable)

LAN Pool: 2.2.2.0/28
Customer router LAN Interface: 2.2.2.1/28----------------------------- to be configured at customer end router LAN Interface(interface facing customer LAN/switch)

Customer LAN equipments: 2.2.2.2/28----- to 2.2.2.14/28---------- to be configured at customer equipments/servers etc

Un-usable IPs: 1st & last: 2.2.2.0/28 & 2.2.2.15/28
Customer LAN Gateway: 2.2.2.1/28
In router, LAN Pool to be routed towards provider end WAN IP: 1.1.1.1/30

Above are the sample concept used for IP routing for WAN/LAN or static routing.
How to acheive this in PfSense i fail to understand, please help me out.

Regards
Vishal Gupta