PSK – укажите PSK-ключ, который будет использоваться для подключения;
Идентификатор удаленной стороны – любой;
Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;
Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.
Сохраните созданное подключение, нажмите на кнопку Включить.
Скопируйте значение идентификатора удаленной стороны одним из способов:
В интерфейсе UTM
Во вкладке Сервисы -> IPsec -> Устройства в строке Идентификатор удаленной стороны.
Через терминал
На Ideco UTM в папке /run/ideco-ipsec-backend/strongswan/swanctl/conf.d/ будет сгенерирован конфигурационный файл. Необходимо перейти в консоль и открыть на редактирование файл вида device_<номер>.conf. Из этого файла необходимо скопировать значение строки id(идентификатор удаленной стороны).
Перейдите к настройке pfSense, предварительно записав значение строки id (идентификатор удаленной стороны).
Настройка pfSense
Для настройки следуйте пунктам:
В веб-интерфейсе pfSense перейдите на вкладку VPN –> IPsec –> Tunnels.
Добавьте новое подключение:
Description – любое;
Key Exchange version – IKEv2;
Internet Protocol – IPv4;
Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;
Remote Gateway – IP внешнего интерфейса Ideco UTM;
Authentication Method – Mutual PSK;
My identifier и Peer identifier – сюда вставьте значение строки id на Ideco UTM (см. шаг 4 в настройке Ideco UTM);
Pre-Shared Key – вставьте PSK-ключ, который ранее прописывали на Ideco UTM;
Encryption Algorithm используйте следующие параметры:
Algorithm - AES256-GCM;
Key length - 128 bit;
Hash - SHA256;
DH Group - Elliptic Curve 25519-256.
Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:
Все остальные значения можно оставить по умолчанию.
Сохраните подключение.
Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2. Здесь укажите:
Encryption Algorithm: используйте следующие параметры:
Algorithm - AES256-GCM;
Key length - 128 bit;
Hash - SHA256;
DH Group - Elliptic Curve 25519-256.
Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:
Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM.
Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense.
Все остальные значения можно оставить по умолчанию.
Сохраняем подключение.
Разрешаем хождение трафика между локальными сетями pfSense и Ideco UTM в настройках файрвола pfSense (переходим на вкладку Firewall -> Rules -> IPsec и создаём два правила, разрешающие хождение трафика между локальными сетями Ideco UTM и pfSense).
Обращаем внимание на раздел файрвола WAN – в нем по умолчанию запрещен входящий трафик из "серых" подсетей, который требуется разрешить.
Теперь переходим на вкладку Status -> IPsec (там должно появится созданное подключение), нажимаем на кнопку Connect VPN.
Если соединение установить не удалось, следует пересоздать соединение на UTM, указав в поле Идентификатор ключа значение, которое мы указали в My identifier и Peer identifier у pfSense, и попробовать подключиться ещё раз. На стороне pfSense никаких изменений вносить не требуется.
PSK – укажите PSK-ключ, который будет использоваться для подключения;
Идентификатор ключа – любой;
Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;
Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.
Настройка pfSense
Для настройки cледуйте пунктам:
В веб-интерфейсе pfSense перейдите на вкладку VPN > IPsec > Advanced Options и в поле Child SA Start Action выберите параметр None (Responder Only).
Добавьте новое подключение:
Key Exchange version – IKEv2;
Internet Protocol – IPv4;
Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;
Remote Gateway – IP внешнего интерфейса Ideco UTM;
Description – любое;
Authentication Method – Mutual PSK;
My identifier - My ip address;
Peer identifier - KeyID tag. Введите идентификатор удаленной стороны, т.е. Ideco UTM;
Pre-Shared Key – введите PSK-ключ;
Encryption Algorithm:
Для Ideco UTM версии 10.0 и новее используйте следующие параметры:
Algorithm - AES256-GCM;
Key length - 128 bit;
Hash - SHA256;
DH Group - Elliptic Curve 25519-256.
Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:
Сохраните подключение.
Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2 и укажите следующие значения:
Encryption Algorithm:
Для Ideco UTM версии 10.0 и новее используйте следующие параметры:
Algorithm - AES256-GCM;
Key length - 128 bit;
Hash - SHA256;
DH Group - Elliptic Curve 25519-256;
Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:
Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM.
Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense.
Все остальные значения можно оставить по умолчанию.
Сохраняем подключение.
Затем нужно разрешить хождение трафика между локальными сетями pfSense и Ideco UTM в файрвола pfSense (переходим на вкладку Firewall -> Rules -> IPsec и создаём два правила, разрешающие хождение трафика между локальными сетями Ideco UTM и pfSense).
Обращаем внимание на раздел файрвола WAN – в нём по умолчанию запрещён входящий трафик из "серых" подсетей, который требуется разрешить.
Теперь переходим на вкладку Status -> IPsec (там должно появится созданное подключение), нажимаем на кнопку Connect VPN.
Если соединение установить не удалось, следует пересоздать соединение на UTM, указав в поле Идентификатор ключа значение, которое мы указали в My identifier и Peer identifier у pfSense, и попробовать подключиться ещё раз. На стороне pfSense никаких изменений вносить не требуется.
