Подключение pfSense к Ideco NGFW по IPsec

С помощью статьи можно объединить сети pfSense и Ideco NGFW по IPsec с использованием PSK.

Объединяемые локальные сети не должны пересекаться!

Настройка входящего подключения

Для настройки Ideco NGFW следуйте пунктам:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения.

2. Добавьте новое подключение:

Название подключения - любое;
Зона - укажите зону для добавления IPSec-подключения;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;
Тип аутентификации - PSK;
PSK - укажите PSK-ключ, который будет использоваться для подключения;
Идентификатор удаленной стороны - любой;
Домашние локальные сети - укажите локальную сеть Ideco NGFW, которая будет видна из подсети pfSense;
Удаленные локальные сети - укажите локальную сеть pfSense, которая будет видна из подсети Ideco NGFW.

Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интерфейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.

3. Сохраните созданное подключение, нажмите на кнопку Включить.

4. Скопируйте значение идентификатора удаленной стороны одним из способов:

В интерфейсе NGFW

На вкладке Сервисы -> IPsec -> Входящие подключения в строке Идентификатор удаленной стороны:

Через терминал

На Ideco NGFW в папке /run/ideco-ipsec-backend/strongswan/swanctl/conf.d/ будет сгенерирован конфигурационный файл. Необходимо перейти в консоль и открыть на редактирование файл вида device_<номер>.conf. Из этого файла необходимо скопировать значение строки id(идентификатор удаленной стороны):

5. Перейдите к настройке pfSense, предварительно записав значение строки id (идентификатор удаленной стороны).

Настройка pfSense

Для настройки следуйте пунктам:

1. В веб-интерфейсе pfSense перейдите на вкладку VPN –> IPsec –> Tunnels.

2. Добавьте новое подключение:

Description - любое;
Key Exchange version - IKEv2;
Internet Protocol - IPv4;
Interface - выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco NGFW;
Remote Gateway - IP внешнего интерфейса Ideco NGFW;
Authentication Method - Mutual PSK;
My identifier и Peer identifier - сюда вставьте значение строки id на Ideco NGFW (см. шаг 4 в настройке Ideco NGFW);
Pre-Shared Key - вставьте PSK-ключ, который ранее прописывали на Ideco NGFW;
Encryption Algorithm - используйте следующие параметры: \
- Algorithm - AES256-GCM; \
- Key length - 128 bit; \
- Hash - SHA256; \
- DH Group - Elliptic Curve 25519-256.

Все остальные значения можно оставить по умолчанию.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2. Здесь укажите:

Encryption Algorithm - используйте следующие параметры: \
- Algorithm - AES256-GCM; \
- Key length - 128 bit; \
- Hash - SHA256; \
- DH Group - Elliptic Curve 25519-256.
Local Network - локальную сеть pfSense, которая будет доступна из подсети Ideco NGFW;
Remote Network - локальную сеть Ideco NGFW, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраните подключение.

6. Разрешите хождение трафика между локальными сетями pfSense и Ideco NGFW в настройках файрвола pfSense (переходим на вкладку Firewall -> Rules -> IPsec и создаем два правила, разрешающие хождение трафика между локальными сетями Ideco NGFW и pfSense).

Обращаем внимание на раздел файрвола WAN - в нем по умолчанию запрещен входящий трафик из "серых" подсетей, который требуется разрешить.

7. Теперь переходим на вкладку Status -> IPsec (там должно появится созданное подключение), нажимаем на кнопку Connect VPN.

Если соединение установить не удалось, следует пересоздать соединение на NGFW, указав в поле Идентификатор ключа значение, которое мы указали в My identifier и Peer identifier у pfSense, и попробовать подключиться еще раз. На стороне pfSense никаких изменений вносить не требуется.

Настройка исходящего подключения

Для настройки Ideco NGFW следуйте пунктам:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.

2. Добавьте новое подключение:

Название - любое;
Зона - укажите зону для добавления IPSec подключения;
Адрес удаленного устройства - укажите адрес удаленного устройства;
Тип аутентификации - PSK;
PSK - укажите PSK-ключ, который будет использоваться для подключения;
NGFW идентификатор - любой;
Домашние локальные сети - укажите локальную сеть Ideco NGFW, которая будет видна из подсети pfSense;
Удаленные локальные сети - укажите локальную сеть pfSense, которая будет видна из подсети Ideco NGFW;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

Настройка pfSense

Для настройки следуйте пунктам:

1. В веб-интерфейсе pfSense перейдите на вкладку VPN > IPsec > Advanced Options и в поле Child SA Start Action выберите параметр None (Responder Only).

2. Добавьте новое подключение:

Key Exchange version - IKEv2;
Internet Protocol - IPv4;
Interface - выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco NGFW;
Remote Gateway - IP внешнего интерфейса Ideco NGFW;
Description - любое;
Authentication Method - Mutual PSK;
My identifier - My ip address;
Peer identifier - KeyID tag. Введите идентификатор удаленной стороны, т. е. Ideco NGFW;
Pre-Shared Key - введите PSK-ключ;
Encryption Algorithm:
- Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: \
  - Algorithm - AES256-GCM;
  - Key length - 128 bit;
  - Hash - SHA256;
  - DH Group - Elliptic Curve 25519-256.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2 и укажите следующие значения:

Encryption Algorithm:
- Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: \
  - Algorithm - AES256-GCM;
  - Key length - 128 bit;
  - Hash - SHA256;
  - DH Group - Elliptic Curve 25519-256.
Local Network - локальную сеть pfSense, которая будет доступна из подсети Ideco NGFW;
Remote Network - локальную сеть Ideco NGFW, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраните подключение.

6. В настройках файрвола pfSense перейдите на вкладку Firewall -> Rules -> IPsec и создайте два правила, разрешающие хождение трафика между локальными сетями Ideco NGFW и pfSense.

7. Обратите внимание на раздел файрвола WAN - в нем по умолчанию запрещен входящий трафик из "серых" подсетей, который требуется разрешить.

8. Перейдите на вкладку Status -> IPsec (там должно появится созданное подключение), нажмите на кнопку Connect VPN.

PreviousПодключение Cisco IOS и Ideco NGFW NextПодключение Kerio Control и Ideco NGFW по IPsec

Last updated 1 month ago

Настройка входящего подключения

Для настройки Ideco NGFW следуйте пунктам:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения.

2. Добавьте новое подключение:

Название подключения - любое;

Зона - укажите зону для добавления IPSec-подключения;

Режим работы - выберите Туннельный;

IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;

Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;

Тип аутентификации - PSK;

PSK - укажите PSK-ключ, который будет использоваться для подключения;

Идентификатор удаленной стороны - любой;

Домашние локальные сети - укажите локальную сеть Ideco NGFW, которая будет видна из подсети pfSense;

Удаленные локальные сети - укажите локальную сеть pfSense, которая будет видна из подсети Ideco NGFW.

3. Сохраните созданное подключение, нажмите на кнопку Включить.

4. Скопируйте значение идентификатора удаленной стороны одним из способов:

В интерфейсе NGFW

На вкладке Сервисы -> IPsec -> Входящие подключения в строке Идентификатор удаленной стороны:

Через терминал

5. Перейдите к настройке pfSense, предварительно записав значение строки id (идентификатор удаленной стороны).

Настройка pfSense

Для настройки следуйте пунктам:

1. В веб-интерфейсе pfSense перейдите на вкладку VPN –> IPsec –> Tunnels.

2. Добавьте новое подключение:

Description - любое;
Key Exchange version - IKEv2;
Internet Protocol - IPv4;
Interface - выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco NGFW;
Remote Gateway - IP внешнего интерфейса Ideco NGFW;
Authentication Method - Mutual PSK;
My identifier и Peer identifier - сюда вставьте значение строки id на Ideco NGFW (см. шаг 4 в настройке Ideco NGFW);
Pre-Shared Key - вставьте PSK-ключ, который ранее прописывали на Ideco NGFW;
Encryption Algorithm - используйте следующие параметры: \
- Algorithm - AES256-GCM; \
- Key length - 128 bit; \
- Hash - SHA256; \
- DH Group - Elliptic Curve 25519-256.

Все остальные значения можно оставить по умолчанию.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2. Здесь укажите:

Encryption Algorithm - используйте следующие параметры: \
- Algorithm - AES256-GCM; \
- Key length - 128 bit; \
- Hash - SHA256; \
- DH Group - Elliptic Curve 25519-256.
Local Network - локальную сеть pfSense, которая будет доступна из подсети Ideco NGFW;
Remote Network - локальную сеть Ideco NGFW, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраните подключение.

Настройка исходящего подключения

Для настройки Ideco NGFW следуйте пунктам:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.

2. Добавьте новое подключение:

Название - любое;

Зона - укажите зону для добавления IPSec подключения;

Адрес удаленного устройства - укажите адрес удаленного устройства;

Тип аутентификации - PSK;

PSK - укажите PSK-ключ, который будет использоваться для подключения;

NGFW идентификатор - любой;

Домашние локальные сети - укажите локальную сеть Ideco NGFW, которая будет видна из подсети pfSense;

Удаленные локальные сети - укажите локальную сеть pfSense, которая будет видна из подсети Ideco NGFW;

IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля при динамической маршрутизации BGP.

Настройка pfSense

Для настройки следуйте пунктам:

2. Добавьте новое подключение:

Key Exchange version - IKEv2;
Internet Protocol - IPv4;
Interface - выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco NGFW;
Remote Gateway - IP внешнего интерфейса Ideco NGFW;
Description - любое;
Authentication Method - Mutual PSK;
My identifier - My ip address;
Peer identifier - KeyID tag. Введите идентификатор удаленной стороны, т. е. Ideco NGFW;
Pre-Shared Key - введите PSK-ключ;
Encryption Algorithm:
- Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: \
  - Algorithm - AES256-GCM;
  - Key length - 128 bit;
  - Hash - SHA256;
  - DH Group - Elliptic Curve 25519-256.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2 и укажите следующие значения:

Encryption Algorithm:
- Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: \
  - Algorithm - AES256-GCM;
  - Key length - 128 bit;
  - Hash - SHA256;
  - DH Group - Elliptic Curve 25519-256.
Local Network - локальную сеть pfSense, которая будет доступна из подсети Ideco NGFW;
Remote Network - локальную сеть Ideco NGFW, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраните подключение.

8. Перейдите на вкладку Status -> IPsec (там должно появится созданное подключение), нажмите на кнопку Connect VPN.