Подключение pfSense к Ideco UTM с использованием OpenVPN

По шагам ниже можно настроить peer-to-peer туннель между pfSense и Ideco UTM с использованием OpenVPN.

Объединяемые локальные сети не должны пересекаться!

Создание подключения на Ideco UTM

1. В веб-интерфейсе Ideco UTM откройте вкладку Сервисы -> Интерфейсы и нажмите на кнопку Добавить.

2. В поле Тип выберите OpenVPN.

3. Заполните поля:

   • Название интерфейса – любое;

   • Внешний IP-адрес этого филиала – IP-адрес внешнего интерфейса

     Ideco UTM;

   • Порт на стороне интерфейса – по умолчанию 1194, можно указать

     любой другой свободный;

   • Удалённая локальная сеть – здесь укажите адрес локальной подсети pfSense с маской (например, 192.168.105.0/24);

   • Удалённый внешний IP-адрес – IP-адрес внешнего интерфейса pfSense;

   • Удалённый порт – порт, который будет использован на pfSense при создании там OpenVPN-подключения.

4. Сгенерируйте ключ OpenVPN и скопируйте его для дальнейшей отправки на pfSense.

5. Нажмите на Сохранить, а затем на Применить конфигурацию.

6. Дождитесь окончания перезагрузки сервера.

Создание подключения на pfSense

На стороне pfSense необходимо установить клиентское OpenVPN-подключение к серверу Ideco UTM.

В веб-интерфейсе pfSense перейдите на вкладку VPN -> OpenVPN -> Clients и нажмите на Add, откроется форма добавления нового подключения.

Заполните поля в разделе General Information:

• Server mode – Peer to Peer (Shared Key);

• Protocol – UDP IPv4 and IPv6 on all interfaces (multihome);

• Device mode – tun - Layer 3 Tunnel Mode;

• Interface – WAN;

• Local port – номер порта, который указали при создании подключения

  на Ideco UTM в поле Удалённый порт;

• Server host or address – IP-адрес внешнего интерфейса Ideco UTM;

• Server port – номер порта, который указали при создании подключения на Ideco UTM в поле Порт на стороне интерфейса.

Остальные поля можно оставить пустыми. Ниже приведён скриншот с примером настроек.

Перейдите в раздел Cryptographic Settings. Здесь необходимо снять флажок с Auto generate и Enable NCP, а затем вставить сгенерированный на Ideco UTM ключ OpenVPN в появившееся поле Shared Key.

Далее выберите алгоритмы шифрования:

• Encryption Algorithm – BF-CBC (128 bit key by default, 64 bit block);

• Auth digest algorithm – SHA1 (160 bit).

Пример настроек данного раздела на скриншоте.

Осталось настроить раздел Tunnel Settings. Заполняем в нём поля следующим образом:

• IPv4 Tunnel Network – здесь нужно указать ту сеть, которая на Ideco

  UTM выделена для VPN-подключений (посмотреть можно, перейдя в

  веб-интерфейсе Ideco UTM на вкладку Сервисы -> Авторизация пользователей);

• IPv4 Remote network(s) – адрес локальной подсети Ideco UTM с маской

  (например, 192.168.100.0/24);

• Compression – Adaptive LZO Compression [Legasy style, comp-lzo

  adaptive].

После завершения подключения, клиент pfSense, подключающийся к OpenVPN-серверу Ideco UTM, получит второй адрес из подсети для VPN-подключений (например, 10.128.0.2 из подсети 10.128.0.0/16).

Пример итоговых настроек:

На этом настройка подключения завершена. Нажмите на Save, а затем перейдите на вкладку Status -> OpenVPN. Если подключение прошло успешно, то соединение будет выглядеть так:

Теперь устройства из локальной сети Ideco UTM будут иметь доступ до локальной сети pfSense и наоборот. Таким способом можно подключить к Ideco UTM несколько устройств, однако необходимо:

• для каждого нового подключения указывать отдельный порт;

• на каждом новом устройстве pfSense прописывать свой туннельный IP из выделенной подсети.