1. Главная страница » Компьютеры » Pfsense vpn server настройка

Pfsense vpn server настройка

Автор: | 16.12.2019

Вводная информация

Point-to-Site VPN (Virtual Private Network) — технология, позволяющая организовать собственную виртуальную частную сеть и подключать к ней территориально удаленных пользователей. VPN представляет собой безопасный SSL/TLS-туннель между сервером и клиентами, предоставляет общий доступ в сетевым ресурсам, снижает расход интернет-трафика пользователей за счет использования сжатия, а также дает возможность маршрутизации всего клиентского трафика через VPN-сервер (аналогично прокси-серверу).

В данном руководстве мы рассмотрим процесс создания виртуальной частной сети с помощью свободной реализации технологии VPN — OpenVPN, поддерживаемой едва ли не всеми современными операционными системами (Windows, Mac OS, Linux, Android, iOS, ChromeOS). Настройка будет осуществляться на сервере, работающем под управлением pfSense 2.3.

Частное облако от 1cloud.ru

  • Любые конфигурации виртуальных серверов
  • Бесплатные частные сети
  • Полная автоматизация управления

PfSense представляет собой дистрибутив на базе ОС FreeBSD, предназначенный для создания межсетевых экранов/маршрутизаторов. При весьма широких возможностях, он бесплатный, нуждается лишь в минимальных аппаратных ресурсах, и имеет предустановленный понятный web-интерфейс управления. Подробнее ознакомиться с возможностями pfSense можно здесь.

Для упрощения процесса настройки и дальнейшего администрирования сервера мы будем использовать OpenVPN Remote Access Server — программное решение, включающее в себя непосредственно OpenVPN-сервер, собственный веб-интерфейс управления, а также набор автоматически настраиваемого клиентского ПО для соединения с сервером. Единственное ограничение Remote Access Server — необходимость лицензирования. Бесплатная (базовая) лицензия рассчитана на обслуживание двух VPN-клиентов. При увеличении числа пользователей потребуется приобретение дополнительных лицензий. На момент написания статьи их стоимость составляет 9.60$ в год за каждого, начиная с третьего, клиента. Подробная информация о лицензировании Access Server находится здесь.

1. Создание сервера pfSense и настройка OpenVPN Remote Access Server

Для дальнейших манипуляций нам потребуется хост pfSense. Если Вы используете сервис 1cloud.ru, то для подготовки сервера достаточно выбрать соответствующий шаблон (pfSense 2.3) при создании сервера — через несколько минут он будет готов к работе. Если же Вы планируете использовать сторонний хостинг или собственный сервер, потребуется сперва установить и настроить pfSense.

Итак, сервер готов. Переходим в его веб-интерфейс управления.

Входим, используя учетные данные, указанные в панели управления 1cloud. Затем открываем вкладку VPN > OpenVPN > Wizards.

Откроется мастер настройки OpenVPN Remote Access Server. Выбираем тип сервера (Type of Server) – Local User Access.

На следующем этапе следует указать параметры сертификата создаваемого центра сертификации (CA), который в дальнейшем, будет заверять сертификаты клиентов:

  • Descriptive name: MyCA (можно указать иное)
  • Key length: 2048 bit
  • Lifetime: 3650 (срок действия сертификата. Оставим по умолчанию)
  • Country Code: RU
  • State or Province: Saint Petersburg
  • City: Saint Petersburg
  • Organization: 1cloud (название компании, подтверждающей сертификаты пользователей)
  • E-mail: support@1cloud.ru

Кликаем “Add new CA”.

Теперь необходимо указать параметры самого сертификата CA. Можно ничего не изменять, только указать Descriptive Name – например «MyCAcrt». Кликаем «Create new Certificate».

Далее нужно настроить OpenVPN-cервер:

  • Interface: WAN (сетевой интерфейс сервера, подключенный к интернету)
  • Protocol: UDP
  • Local Port: 1194
  • Description: myVPN (любое удобное название)
  • Tunnel Network: 10.0.8.0/24
  • Redirect Gateway: Включить (Отключите эту опцию, если Вы не хотите, чтобы весь интернет-трафик клиента перенаправлялся через VPN-сервер.)
  • Local Network: Оставляем пустым (Если Вы хотите, чтобы локальная сеть, находящаяся за сервером pfSense, была доступна для удаленных клиентов VPN, укажите здесь адресное пространство этой сети.)
  • Concurrent Connections: 2 (Если Вы приобрели дополнительную лицензию OpenVPN Remote Access Server, укажите число, соответствующее количеству приобретенных лицензий)
  • Inter-Client Communications: Включить (Если Вы не хотите, чтобы VPN-клиенты видели друг друга, отключите эту опцию)
  • DNS Server 1 (2 и т.д.): указать DNS-серверы хоста pfSense. (узнать их адреса можно в разделе System > General Setup > DNS Servers)

Остальные параметры можно оставить по умолчанию. Кликаем «Next».

Теперь указываем параметры Firewall. Включаем обе опции: разрешаем внешние подключения для клиентов и трафик внутри VPN-туннеля.

Настройка серверной части завершена.

Теперь нам нужно добавить пользователей, которые в дальнейшем смогут подключаться к виртуальной частной сети. Для этого переходим в меню System > User Manager. Кликаем «Add» для добавления нового пользователя.

Вводим информацию о пользователе. Не забудьте активировать опцию “Click to create a user certificate” и указать созданный ранее центр сертификации в параметрах сертификата пользователя.

Читайте также:  Enermax platimax d f 750w

Аналогичным образом, при необходимости, добавляем второго (третьего и т.д.) пользователя.

2. Экспорт клиентских конфигураций и подключение пользователей

Для упрощения процедур конфигурации программ-клиентов, в pfSense предусмотрен дополнительный инструмент – “OpenVPN Client Export Utility”. Этот инструмент автоматически подготавливает установочные пакеты и конфигурационные файлы пользователей, что позволяет избежать ручной настройки VPN-клиента со стороны конечного пользователя.

Установим вышеописанный пакет. Для этого переходим в меню System > Package Manager > Available Packages. Находим в списке openvpn-client-export utility. Кликаем «Install» для его установки.

Сообщение со скриншота ниже говорит об успешном завершении установки.

Теперь можно экспортировать конфигурации на пользовательские устройства. Переходим во вкладку VPN > OpenVPN > Client Export.

Изменять какие-либо параметры, указанные на открывшейся странице, обычно нет необходимости.
В нижней части страницы находим поле «OpenVPN Clients». Здесь размещены версии конфигураций под различные типы клиентов.

Рассмотрим процесс подключения клиента к созданной виртуальной частной сети на самом распространенном примере – подключении ПК под управлением Windows.

  • Для настройки Windows-клиента скачиваем соответствующий параметрам компьютера установочный пакет из списка (см. скриншот выше). Запускаем. Начинается инсталляция утилиты. Кликаем «Далее» (изменять стандартные параметры установки нет необходимости).
  • Открываем установленный “OpenVPN GUI”. В трее появляется соответствующая иконка. При клике на нее, происходит подключение к VPN. В процессе подключения будет запрошено имя пользователя, указанное Вами при его создании в панели управления pfSense. При успешном соединении с сетью иконка OpenVPN в трее станет зеленой и отобразится уведомление о получении адреса в пространстве 10.0.8.0/24.

Если Вы включили опцию перенаправления всего клиентского трафика через сервер OpenVPN, то имеет смысл проверить корректность ее работы. Для этого в браузере проверяем IP-адрес клиентского устройства, например через myip.ru. Он должен совпадать с IP-адресом VPN сервера.

На этом настройка Point-to-site VPN завершена.

P.S. В рамках данной инструкции мы не будем описывать настройку клиентов на других ОС. Эту информацию можно найти непосредственно в разделе VPN > OpenVPN > Client Export > Client Install Packages.
Приведем только пример настройки VPN-клиента на ОС Ubuntu/Debian без установленного графического окружения (что зачастую актуально для серверов).

Войдите в терминал (непосредственно на настраиваемом устройстве или через SSH)
Последовательно введите следующие команды (каждая новая строка является отдельной командой):

sudo -s
apt-get update && apt-get upgrade
apt-get install openvpn
cp /home/user/openvpnfiles/* /etc/openvpn (копирование файлов конфигурации openvpn в рабочую директорию программы. Эта команда подразумевает, что файлы уже находятся в папке /home/user/openvpnfiles, и кроме них в ней ничего нет.)
/etc/init.d/openvpn restart
ifconfig

В результате выполнения последней команды, в окне терминала должен появиться список сетевых подключений, включающий в себя соедение TUN-это и есть подключенный VPN-туннель.

  • Главная
  • ТЕХНИЧЕСКАЯ
  • LINUX
  • Pfsense (интернет-шлюз)
  • PfSense — удалённый доступ к офисной сети через VPN (IPSec/L2TP)

PfSense — удалённый доступ к офисной сети через VPN (IPSec/L2TP)

  • размер шрифта уменьшить размер шрифтаувеличить размер шрифта
  • Печать
  • Эл. почта

Иногда сотрудникам компаний требуется возможность воспользоваться внутренними локальными ресурсами компании (базы, файловые хранилища и т.д.) в дороге (с мобильных рабочих мест) или из дома (с домашних компьютеров).

Для удалённого доступа к ресурсам офисной сети компании очень хорошим решением является создание VPN соединения. PfSense для этих задач достаточно удобен и функционален.

рабочая сеть (офис): 192.168.1.0/24

интенет шлюз (PfSense 2.4.3): 192.168.1.102(LAN) , 192.168.4.232(WAN)

Настройка L2TP

В верхнем меню выбираем VPN — L2TP

после включения L2TP и сохранения настроек, переходим на вкладку Users и добавляем пользователя

Настройка IPsec

В верхнем меню выбираем VPN — IPsec — Mobile Clients

после сохранения и применения изменений нажимаем кнопку + Create Phase 1

создаём первую фазу

после сохранения и применения изменений раскрываем список второй фазы

создаём вторую фазу

сохраняем затем применяем изменения и переходим на вкладку Pre-Shared Keys и добавляем ключ с идентификатором any (этот ключ будет использоваться для любого пользователя)

Настройка правил сетевой защиты

переходим в раздел Firewall — Rules и создаём следующие правила:

Настройка клиента WINDOWS 7

Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать моё подключение к интернету

После сбоя подключения выбрать вариант Всё равно создать это подключение

Перейти в раздел Сетевые подключения открыть свойства созданого VPN-подключения

Чтобы удалённый компьютер не использовал VPN канал для доступа в интернет убираем галку Использовать основной шлюз в удалённой сети

На этом настройка закончена.

Для проверки подключаемся по созданому VPN-подключению и проверяем ping 192.168.1.102 (или любое другое сетевое устройство в офисной сети).

Ошибка 789

Запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters. Далее для параметра AllowL2TPWeakCrypto установите значение 1, а также создайте DWORD-параметр ProhibitIpSec и для него также установите значение 1 . После этого нужо перезагрузить компьютер. Данное решение универсальное и подходит, как для Windows 7, так и для Windows 10.

Читайте также:  Https user gto ru user login

VPN — понятие разностороннее и можно настраивать как из соображений конфиденциальности (когда не хочется показывать свой реальный ), так и для объединения в одну сеть компьютеров, находящихся в разных филиалах компании. Именно этот сценарий и будет рассмотрен в данной статье. Настройка будет производиться на базе дистрибутива pfSense.

Прежде, чем приступить к реализации

Технически объединить в одну сеть компьютеры, находящиеся в разных города и даже странах, традиционным способом довольно затратно — стоимость каналов связи и стоимость оборудования делают эту затею нерентабельной. Но к счастью был изобретен протокол L2TP, позволяющий объединить удаленные компьютеры в одну сеть. L2TP — хороший протокол, но он не шифрует данные, которые будут передаваться по публичным каналам связи — по Интернету. Если вам нужно объединить компьютеры для несущественного, например, поиграть в сетевую игру, сервер которой может работать только при условии нахождения всех игроков в одной сети — это одно. Но когда нужно передавать конфиденциальные данные, нужно использовать шифрование. Для этого нужно, кроме L2TP, настроить еще и IPsec.

Настройку виртуальной частной сети можно было бы произвести на базе любого дистрибутива Linux и даже с использованием операционной системы Linux, однако, мы будем использовать pfSense как VPN клиент. , он прост в использовании, что идеально для начинающих пользователей. , платформа xelent.cloud предоставляет уже готовый шаблон виртуального сервера на базе этого дистрибутива, так что нам даже устанавливать его не придется.

На pfSense настройка VPN сервера практически полностью осуществляется через графический интерфейс, поэтому проблем с процедурой возникнуть не должно. Это касается не только виртуальной машины, но и манипуляций, которые нужно будет произвести пользователю со своей операционной системой. При использовании pfSense как VPN клиента можно подключать к сети любое количество пользователей.

Создание виртуального сервера

Cоздайте виртуальный сервер . При создании сервера нужно выбрать шаблон PFSense 2.3 (рис. 1), а также выбрать его конфигурацию. Если компьютеров немного (до 10), то переплачивать не нужно и вполне будет достаточно 2 ядер, 3 Гб оперативной памяти и накопителя на 40 Гб.

Рис. 1. Выбор шаблона при создании сервера


Рис. 2. Необходимая конфигурация

VPN server на pfSense такой конфигурации будет стоить всего 1365 рублей в месяц. Ради такой суммы нет необходимости покупать еще один компьютер для его использования в качестве сервера. Если же при настройке pfSense VPN server вы поймете, что выбранной конфигурации будет недостаточно, то всегда сможете изменить параметры виртуальной машины.

Рис. 3. Стоимость выбранной конфигурации

Создание виртуальной сети

Настройка VPN pfSense начинается с настройки виртуальной сети. Если бы сервер находился у нас в офисе, то мы бы предоставляли доступ к сети этого офиса. Но поскольку наш сервер будет виртуальным, то ему еще понадобится виртуальная сеть, доступ к которой он будет предоставлять. Поэтому переходим в раздел Сети и создаем нашу сеть. При создании сети не забудьте включить DHCP (точнее просто не выключайте его, DHCP для частной сети включен по умолчанию).

После того, как сеть будет создана, у вас появится возможность добавить в нее сервер. Добавьте ранее созданный сервер. Подробно работа с виртуальными сетями описана в другой нашей статье.

Рис. 4. Виртуальный сервер добавлен к частной сети

Настройка локального сетевого интерфейса на PfSense

У VPN server pfSense должно быть два интерфейса. Первый — WAN, по которому он будет принимать соединения, второй — LAN — он будет подключен к нашей локальной (пусть и виртуальной) сети, в которую он будет объединять своих клиентов.

Первым делом при настройке VPN pfSense нужно узнать интерфейса. Для этого посмотрите на рис. 4 — интересующий нас 00:50:56:01:02:23 — к этому интерфейсу подключена наша локальная сеть VPN1. При начальной настройке VPN pfSense у нас будет только один такой интерфейс, можно было бы и не заморачиваться, но, когда у вас будет более сложная конфигурация, нужно понимать, какой интерфейс и куда подключен.

Затем откройте панель управления дистрибутива. Ссылка на нее находится в панели управления виртуального сервера. Используйте предоставленные имя пользователя и пароль (admin/khVnxz7W в нашем случае) для входа.

Рис. 5. Панель управления виртуальным сервером

Далее перейдите в раздел Interfaces, (assign) и выполните следующие действия для настройки VPN pfSense:

  1. Выберите для LAN интерфейс с упомянутым ранее (00:50:56:01:02:23)
  2. Нажмите кнопку Add.

После этого появится сообщение об успешном добавлении интерфейса (рис. 6).

Рис. 6. Сетевой интерфейс успешно добавлен

Читайте также:  4 Пда прошивки на андроид

Следующий этап на pfSense настройки VPN сервера заключается в изменении параметров сетевого интерфейса. Выполните команду меню Interfaces, LAN (этот пункт меню появится после добавления сетевого интерфейса) и выполните следующие действия:

  1. Выберите для IPv4 Configuration Type значение DHCP
  2. Включите интерфейс (отметьте флажок Enable interface)
  3. Нажмите кнопку Save (она будет внизу страницы).
  4. Нажмите появившуюся кнопку Apply Changes (она появится вверху страницы, вы не сможете ее не заметить).

Рис. 7. Настройка сетевого интерфейса для локальной сети

На главной странице панели управления дистрибутива появятся два интерфейса — глобальный (WAN) и локальный (LAN). и понадобятся для дальнейшей pfSense VPN server настройки.

Рис. 8. Сконфигурированные сетевые интерфейсы

Настройка L2TP

Как только сетевые интерфейсы будут настроены, пора приступить к настройке L2TP на VPN server pfSense. Выберите команду меню VPN, L2TP. Включите переключатель Enable L2TP server (рис. 9).

Рис. 9. Включите переключатель Enable L2TP server

Далее в pfSense для настройки VPN сервера нужно указать следующие параметры (рис. 10):

  • Interface — здесь выберите WAN. По этому интерфейсу будут подключаться клиенты.
  • Server Address — указываем свободный . Этот адрес будет передан клиентам для использования в качестве шлюза. Обратите внимание, что это не публичный компьютера или «прослушки» . Это должен быть свободный адрес и приватной сети, в нашем случае .
  • Remote address range — укажите и сетевую маску подсети.
  • Number of L2TP users — количество . Для демонстрации на pfSense VPN server настройки мы будем использовать 3, а вы установите максимальное количество пользователей, которые будут использовать ваш сервис.
  • Secret — здесь ничего вводить не нужно, оставьте пустым. Браузер попытается (во всяком случае, у меня попытался) добавить сюда пароль пользователя admin, если вы его сохранили. Поэтому убедитесь, что это поле пустое.
  • Authentication type — выберите CHAP.

Рис. 10. Настройка L2TP

Остальные параметры (относящиеся к DNS и RADIUS) изменять не нужно. Просто нажмите кнопку Save.

Теперь перейдите на вкладку Users и добавьте . пользователя для настройка VPN сервера на pfSense на данном этапе указывать не нужно, укажите только имя пользователя и пароль. нужно указывать только, если наша частная сеть сконфигурирована без DHCP. Когда у нас несколько пользователей, то можно обойтись и без DHCP, когда пользователей много, то сами понимаете, что сеть без DHCP с доступом по VPN на ОС pfSense полностью настроенной считать нельзя.

Рис. 11. Созданные

Настройка IPsec

С L2TP все просто, а вот настройка IPsec для VPN на pfSense будет чуть сложнее, если можно вообще назвать сложной настройку средствами . Перейдите в раздел VPN, IPsec и сразу перейдите на вкладку Mobile Clients.

Включите параметр Enable IPsec Mobile Clients Support, в качестве значения параметра User Authentication выберите Local Database и убедитесь, что остальные параметры выключены. Нажмите кнопку Save.

Рис. 12. Настройка IPsec

Появятся два сообщения (рис. 13). Первое о том, что конфигурация была изменена и нужно нажать кнопку Apply Changes, чтобы изменения вступили в силу. Нажмите эту кнопку. Второе — о том, что нужно создать определение Phase 1. Нажмите кнопку Create Phase 1, чтобы сделать это.

Рис. 13. Поддержка мобильных клиентов включена

Далее для pfSense VPN server настройки нужно установить параметры, как показано на рис. 14, а именно:

  • Выбрать версию обмена ключами (Key Exchange version) — V1
  • Выбрать протокол IPv4
  • Выбрать интерфейс — WAN
  • Установить удаленного шлюза — это наш публичный IP или имя узла. В вашем случае будет другим.
  • Установить метод аутентификации (Authentication Method) — Mutual PSK
  • Проверить, чтобы параметр Negotiation mode содержал значение Main
  • Установить идентификатор (My identifier) — My IP address
  • Установить значение для Key. Для простоты я установил 123, но вы установите более сложное значение, например, dfd3426. Запомните его.
  • Убедиться, что таймаут равен 28800 секундам.
  • Убедиться, что параметры Disable rekey и Responder only выключены.
  • Установить для параметра NAT Traversal значение Auto
  • Включить параметр Enable DPD
  • Установить для параметра Delay значение 10
  • Установить для параметра Max failures значение 5.

Рис. 14. Настройка фазы 1

Нажмите кнопку Save, а затем — Apply Changes. Настройка фазы 1 VPN server на pfSense завершена. Далее появится информация об . Вы видите, что нет записей для фазы 2. Нажмите кнопку Show Phase 2 Entries (0), см. рис. 15.

Рис. 15. Нет записей фазы 2

Далее появится кнопка Add P2, нажмите ее (рис. 16).

Рис. 16. Нажмите кнопку Add P2

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

code