La risorsa Italiana per pfSense

11 febbraio 2025

Creare un VPN IPsec per collegare 2 sedi


Il protocollo IPsec è il più diffuso protocollo per creare una connessione VPN site to site ed è presente su pressochè tutti i firewall, garantendo così l'interoperabilità anche tra apparati differenti.

Come funziona IPsec?


In breve una connessione IPsec si articola in 4 punti:

  1. Negoziazione (Fase 1): i due dispositivi che fanno da terminatori della VPN per le rispettive reti negoziano il metodo di crittografia e autenticazione tramite IKE.
  2. Creazione della connessione (Fase 2): viene stabilita una Security Association (SA) e generata una chiave condivisa.
  3. Trasferimento dati: i pacchetti IP vengono cifrati e trasmessi.
  4. Chiusura della connessione: la SA viene terminata alla fine della comunicazione.

Prerequisiti

Per la configurazione di base che vedremo oggi è necessario che i due endpoint dispongano ciascuno di un IP pubblico e che le sottoreti interne da mettere in comunicazione non siano uguali o anche parzialmente sovrapposte.
In caso questi requisiti non siano presenti, nei prossimi articoli studieremo alcune di queste casistiche.

Configurazione

Nella nostra configurazione supporremo di avere due sedi:
1) Milano con IP pubblico 4.3.2.1 e lan con subnet 192.168.0.0/24
2) Roma con IP pubblico 1.2.3.4 e lan con subnet 192.168.1.0/24

Colleghiamoci al firewall della sede di Milano e configuriamo la connessione verso il server di Roma

Accediamo al menù VPN > IPsec
Clicchiamo su Add P1

Inseriamo una descrizione
Selezioniamo l'interfaccia su cui rimanere in ascolto 
Nel remote gateway inseriamo l'ip pubblico della sede di Roma

Inseriamo una chiave condivisa

Selezioniamo gli algoritimi di crittografia secondo gli standard di sicurezza necessari, ad es.

AES256 - SHA512 - DH19

Una configurazione tipica sarà questa: 



Lasciamo invariati gli altri parametri e salviamo.

Troveremo perciò la nostra connessione elencata nella pagina delle IP



Clicchiamo ora su Show Phase 2 e poi su Add P2

Scegliamo una descrizione per questa fase 2 e enseriamo la subnet locale e quella remota da mettere in comunicazione


e configuriamo la parte di sicurezza per la gestione di crittografia e autenticazione coi parametri come in figura (ESP - AES256 - SHA512 - DH 19)


Lasciamo gli altri parametri come proposti e salviamo.

Ci spostiamo ora sul firewall di Roma, dove faremo delle configurazioni identiche facendo attenzione a inserire:

- in fase 1, l'IP pubblico di Milano come remote gateway
- in fase 2, la local la remote subnet invertite

Una volta terminato il lavoro anche sul secondo firewall non ci resta che creare le regole sulle interfacce IPsec di entrambe le sedi per permettere il passaggio del traffico nelle due direzioni.

Ci posizioniamo perciò sul firewall prima di Milano e poi di Roma e creiamo una regola su ciascuno che, per semplicità, permette il passaggio di tutto il traffico:



A questo punto non ci resta che verificare lo stato del collegamento sotto Status > Ipsec e testare la bontà della connessione provando a far comunicare tra loro 2 apparati che risiedono sulle lan delle sedi che abbiamo collegato.


4 febbraio 2025

La Dashboard di pfSense

Esploriamo oggi una delle funzioni maggiormente date per scontate, ma non sempre sfruttate al meglio: la Dashboard

La dashboard di pfSense è l'home page dell'interfaccia web e fornisce una panoramica completa sullo stato e sulle prestazioni del firewall.

La dashboard serve principalmente a:

  • Monitorare lo stato del sistema (utilizzo della CPU, RAM, spazio su disco, uptime).
  • Visualizzare interfacce di rete con indirizzi IP, stato delle connessioni e velocità.
  • Gestire connessioni VPN attive.
  • Controllare i log di sistema e traffico.
  • Accedere rapidamente alle impostazioni di firewall, NAT, regole e diagnostica.
  • Verificare gli aggiornamenti del sistema e dei pacchetti installati.

Per sfruttarla al meglio personalizza e minimizza i widget

La dashboard è composta da widget che possono essere aggiunti, rimossi o riorganizzati.
Vai su "Dashboard" > "Aggiungi widget" e seleziona quelli più utili per te

Sui miei pfSense non mancano mai:

  • System Information con le info generali più rilevanti
  • Traffic Graph che mi da informazioni sull'uso della banda in tempo reale 
  • i due widget Gateways e Interfaces, che mi segnalano stato e velocità delle connessioni
  • Disks: che mi segnala lo stato del disco
  • Service status, che monitora i servizi
  • i due widget OpenVPN e Ipsec che mi descrivono lo stato delle connessioni remote 

Un altro widget secondo me davvero utile è Pictures, che permette di caricare un'immagine: la utilizzo per distinguere le diverse sedi in modo da avere un riscontro immediato quando un cliente ha più firewall e non commettere errori di identificazione della macchina su cui sto lavorando (es. quando le sedi sono in diversi paesi, carico la bandiera)



Nome

Email *

Messaggio *