Подключение pfSense к Ideco UTM по IPsec

С помощью статьи можно объединить сети pfSense и Ideco UTM по IPsec с использованием PSK.

Объединяемые локальные сети не должны пересекаться!

Настройка входящего подключения

Для настройки Ideco UTM следуйте пунктам:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения.

2. Добавьте новое подключение:

Название подключения – любое;
Тип аутентификации – PSK;
PSK – укажите PSK-ключ, который будет использоваться для подключения;
Идентификатор удаленной стороны – любой;
Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;
Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.

3. Сохраните созданное подключение, нажмите на кнопку Включить.

4. Скопируйте значение идентификатора удаленной стороны одним из способов:

В интерфейсе UTM

Во вкладке Сервисы -> IPsec -> Устройства(входящие подключения) в строке Идентификатор удаленной стороны.

Через терминал

На Ideco UTM в папке /run/ideco-ipsec-backend/strongswan/swanctl/conf.d/ будет сгенерирован конфигурационный файл. Необходимо перейти в консоль и открыть на редактирование файл вида device_<номер>.conf. Из этого файла необходимо скопировать значение строки id(идентификатор удаленной стороны).

5. Перейдите к настройке pfSense, предварительно записав значение строки id (идентификатор удаленной стороны).

Настройка pfSense

Для настройки следуйте пунктам:

1. В веб-интерфейсе pfSense перейдите на вкладку VPN –> IPsec –> Tunnels.

2. Добавьте новое подключение:

Description – любое;
Key Exchange version – IKEv2;
Internet Protocol – IPv4;
Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;
Remote Gateway – IP внешнего интерфейса Ideco UTM;
Authentication Method – Mutual PSK;
My identifier и Peer identifier – сюда вставьте значение строки id на Ideco UTM (см. шаг 4 в настройке Ideco UTM);
Pre-Shared Key – вставьте PSK-ключ, который ранее прописывали на Ideco UTM;
Encryption Algorithm используйте следующие параметры:
1. Algorithm - AES256-GCM;
2. Key length - 128 bit;
3. Hash - SHA256;
4. DH Group - Elliptic Curve 25519-256.

Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Все остальные значения можно оставить по умолчанию.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2. Здесь укажите:

Encryption Algorithm: используйте следующие параметры:

Algorithm - AES256-GCM;
Key length - 128 bit;
Hash - SHA256;
DH Group - Elliptic Curve 25519-256.

Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM.
Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраняем подключение.

6. Разрешаем хождение трафика между локальными сетями pfSense и Ideco UTM в настройках файрвола pfSense (переходим на вкладку Firewall -> Rules -> IPsec и создаём два правила, разрешающие хождение трафика между локальными сетями Ideco UTM и pfSense).

Обратите внимание на раздел файрвола WAN – в нем по умолчанию запрещен входящий трафик из "серых" подсетей, который требуется разрешить.

7. Теперь переходим на вкладку Status -> IPsec (там должно появится созданное подключение), нажимаем на кнопку Connect VPN.

Если соединение установить не удалось, следует пересоздать соединение на UTM, указав в поле Идентификатор ключа значение, которое мы указали в My identifier и Peer identifier у pfSense, и попробовать подключиться ещё раз. На стороне pfSense никаких изменений вносить не требуется.

Настройка исходящего подключения

Для настройки Ideco UTM следуйте пунктам:

1. В веб-интерфейсе Ideco UTM откройте вкладку Сервисы -> IPsec -> Устройства(исходящие подключения).

2. Добавьте новое подключение:

Название – любое;
Тип аутентификации – PSK;
PSK – укажите PSK-ключ, который будет использоваться для подключения;
Идентификатор ключа – любой;
Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;
Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.

Настройка pfSense

Для настройки cледуйте пунктам:

В веб-интерфейсе pfSense перейдите на вкладку VPN > IPsec > Advanced Options и в поле Child SA Start Action выберите параметр None (Responder Only).
Добавьте новое подключение:

Key Exchange version – IKEv2;
Internet Protocol – IPv4;
Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;
Remote Gateway – IP внешнего интерфейса Ideco UTM;
Description – любое;
Authentication Method – Mutual PSK;
My identifier - My ip address;
Peer identifier - KeyID tag. Введите идентификатор удаленной стороны, т.е. Ideco UTM;
Pre-Shared Key – введите PSK-ключ;
Encryption Algorithm:
- Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2 и укажите следующие значения:

Encryption Algorithm:

Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256;
Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM.
Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраните подключение.

6. Разрешите хождение трафика между локальными сетями pfSense и Ideco UTM в файрвола pfSense (переходим на вкладку Firewall -> Rules -> IPsec и создаём два правила, разрешающие хождение трафика между локальными сетями Ideco UTM и pfSense).

7. Обратите внимание на раздел файрвола WAN – в нём по умолчанию запрещён входящий трафик из "серых" подсетей, который требуется разрешить.

8. Перейдите на вкладку Status -> IPsec (там должно появится созданное подключение), нажимаем на кнопку Connect VPN.

Если соединение установить не удалось, следует пересоздать соединение на UTM, указав в поле Идентификатор ключа значение, которое мы указали в My identifier и Peer identifier у pfSense, и попробовать подключиться ещё раз. На стороне pfSense никаких изменений вносить не требуется.

PreviousПодключение Cisco IOS к Ideco UTM по IPsec NextПодключение Kerio Control к Ideco UTM по IPsec

Last updated 9 months ago

Настройка входящего подключения

Для настройки Ideco UTM следуйте пунктам:

1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения.

2. Добавьте новое подключение:

Название подключения – любое;

Тип аутентификации – PSK;

PSK – укажите PSK-ключ, который будет использоваться для подключения;

Идентификатор удаленной стороны – любой;

Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;

Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.

3. Сохраните созданное подключение, нажмите на кнопку Включить.

4. Скопируйте значение идентификатора удаленной стороны одним из способов:

В интерфейсе UTM

Во вкладке Сервисы -> IPsec -> Устройства(входящие подключения) в строке Идентификатор удаленной стороны.

Через терминал

5. Перейдите к настройке pfSense, предварительно записав значение строки id (идентификатор удаленной стороны).

Настройка pfSense

Для настройки следуйте пунктам:

1. В веб-интерфейсе pfSense перейдите на вкладку VPN –> IPsec –> Tunnels.

2. Добавьте новое подключение:

Description – любое;
Key Exchange version – IKEv2;
Internet Protocol – IPv4;
Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;
Remote Gateway – IP внешнего интерфейса Ideco UTM;
Authentication Method – Mutual PSK;
My identifier и Peer identifier – сюда вставьте значение строки id на Ideco UTM (см. шаг 4 в настройке Ideco UTM);
Pre-Shared Key – вставьте PSK-ключ, который ранее прописывали на Ideco UTM;
Encryption Algorithm используйте следующие параметры:
1. Algorithm - AES256-GCM;
2. Key length - 128 bit;
3. Hash - SHA256;
4. DH Group - Elliptic Curve 25519-256.

Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Все остальные значения можно оставить по умолчанию.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2. Здесь укажите:

Encryption Algorithm: используйте следующие параметры:

Algorithm - AES256-GCM;
Key length - 128 bit;
Hash - SHA256;
DH Group - Elliptic Curve 25519-256.

Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM.
Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраняем подключение.

Настройка исходящего подключения

Для настройки Ideco UTM следуйте пунктам:

1. В веб-интерфейсе Ideco UTM откройте вкладку Сервисы -> IPsec -> Устройства(исходящие подключения).

2. Добавьте новое подключение:

Название – любое;

Тип аутентификации – PSK;

PSK – укажите PSK-ключ, который будет использоваться для подключения;

Идентификатор ключа – любой;

Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;

Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.

Настройка pfSense

Для настройки cледуйте пунктам:

В веб-интерфейсе pfSense перейдите на вкладку VPN > IPsec > Advanced Options и в поле Child SA Start Action выберите параметр None (Responder Only).
Добавьте новое подключение:

Key Exchange version – IKEv2;
Internet Protocol – IPv4;
Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;
Remote Gateway – IP внешнего интерфейса Ideco UTM;
Description – любое;
Authentication Method – Mutual PSK;
My identifier - My ip address;
Peer identifier - KeyID tag. Введите идентификатор удаленной стороны, т.е. Ideco UTM;
Pre-Shared Key – введите PSK-ключ;
Encryption Algorithm:
- Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256.

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2 и укажите следующие значения:

Encryption Algorithm:

Для Ideco UTM версии 10.0 и Ideco NGFW версии 16.0 и новее используйте следующие параметры: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256;
Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM.
Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense.

Все остальные значения можно оставить по умолчанию.

5. Сохраните подключение.

8. Перейдите на вкладку Status -> IPsec (там должно появится созданное подключение), нажимаем на кнопку Connect VPN.