Как настроить туннель Ipsec в OpnSense – Information Security Squad
Как настроить туннель Ipsec в OpnSense

Установим IPsec, чтобы поднять туннель

VPN точка-точка – две сети со статическими общедоступными IP-адресами и  разрешенный трафик между этими двумя сетями.

Эта практика обычно используется, чтобы соединить филиалы организации с ее основным офисом, таким образом, пользователи филиалов могут  получать доступ к основному офису.

Прежде, чем запустить конфигурацию IPsec туннеля, у вас должны быть работающие OPNsense на уникальных подсетях IP LAN для каждой  из сторон вашего соединени.

Для примера мы будем использовать частный IP для нашего соединения WAN.

Необходимо, чтобы мы отключили Block private networks,как это показано в предыдущем посту, чтобы позволить пропускать частный трафик.

Для этого перейдите в Interfaces->[WAN], и снимите флажок  “Block private networks”. (Не забывайте сохранить и применить).

Пример установки

Для типовой конфигурации мы используем два OPNsense, чтобы смоделировать две сети и поднять тоннель со следующей конфигурацией:

Сторона A

Hostname fw1
WAN IP 172.10.1.1/24
LAN IP 192.168.1.1/24
LAN DHCP Range 192.168.1.100-192.168.1.200

Сеть сторона А

Сторона Б

Hostname fw2
WAN IP 172.10.2.1/24
LAN Net 192.168.2.0/24
LAN DHCP Range 192.168.2.100-192.168.2.200

Сеть сторона Б

Полная схема сети:

Правила Firewall стороны А и Б

Чтобы разрешить туннельные соединения IPsec, следующие правила должны быть включены в WAN на обеих сторонах:

  • Protocol ESP
  • UDP Traffic on Port 500 (ISAKMP)
  • UDP Traffic on Port 4500 (NAT-T)

Вы можете также ограничить трафик от IP источка к удаленному узлу.

Чтобы разрешить трафик, передающийся в вашей подсети LAN, вы должны добавить правило к интерфейсу IPsec:

 

 

 

1. Phase 1 Сторона А

(Заходим VPN->IPsec->Tunnel Settings жмем  [ + ])

Выполняем настройки ниже:

General information

Connection method default  Начать старт трафика
Key Exchange version V2  оба поддерживаются
Internet Protocol IPv4  –
Interface WAN выбираем инфтерфейс
Remote gateway 172.10.2.1 частный адресс сети
Description Site B описание

Phase 1 proposal (Authentication)

Authentication method Mutual PSK использует psk ключ
Negotiation mode Main используйте main. Agressive не безопасно
My identifier My IP address
Peer identifier Peer IP address
Pre-Shared Key At4aDMOAOub2NwT6gMHA Рандомный ключ . Создайте свой

Phase 1 proposal (Algorithms)

Encryption algorithm AES алгоритм
Hash algoritm SHA512 используем сильный SHA512
DH key group 2048 bit 2048 bit
Lifetime 28800 sec время до перезапуска

Advanced Options

Disable Rekey Unchecked  –
Disable Reauth Unchecked
NAT Traversal Disabled
Dead Peer Detection Unchecked  –

Жмем на картинку [ Save ].

Вы должны увидеть что-то подобное:

 

 

 

2. Phase 2 Сторона А

Нажмите на кнопку ‘+ Show 0 Phase-2 entries’

Вы увидите пустой список:

Нажмите на [ + ] и добавьте настройки ниже:

General information

Mode Tunnel IPv4 Select Tunnel mode
Description Local LAN Site B Описание

Local Network

Local Network LAN subnet Выбрать локальную сеть

NAT/BINAT

NAT Type Auto OPNsense выбирает  NAT автоматически

Remote Network

Type Network Route a remote network
Address 192.168.2.1/24 удаленная сеть

Phase 2 proposal (SA/Key Exchange)

Protocol ESP Выбираем ESP
Encryption algorithms AES / 256 Выбираем AES 256
Hash algortihms SHA512 Выбираем SHA512
PFS Key group 2048 bit Выбираем 2048
Lifetime 3600 sec  –

Сохраняем настройки.

3. Phase 1- 2 Сторона Б

Повторяем действия аналогично пунктов 1 и 2, указывая соответсвующие IP адресса другой подсети.

Ipsec туннель готов. Чтобы проверить его статус  идем VPN->IPsec->Status Overview

Если туннель не поднялся, постарайтесь перезаупстить службу на обоих сторонах.

1 комментария на “Как настроить туннель Ipsec в OpnSense

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *