Στο προηγούμενο post είδαμε πως κάναμε δημιουργήσαμε έναν OpenVPN Server στο pfSense για να συνδέονται απ’ευθείας H/Y Windows,Linux,MacOS,Android.
Σε αυτό θα δούμε πως συνδέονται δύο Router pfSense μεταξύ του για να συνδεθούν στην ουσία δύο LAN , κοινώς site to site ή peer to peer OpenVPN.
OpenVPN Server
Protocol : ότι θέλουμε προτιμότερο το UDP
Device Mode : tun
Interface : WAN
Local Port : όποια πόρτα θέλουμε η προκαθορισμένη είναι η 1194 εγώ στο παράδειγμα χρησιμοποιώ την 11900
Shared Key : Για να δημιουργηθεί το κλειδί ξετσεκάρω την επιλογή Automatically generate a shared key
IPv4 Tunnel Network : θα δηλώσω το δίκτυο στο οποίο θα συνδέονται ο Client με τον Server
IPv4 Local Network : το τοπικό δίκτυο που ανήκει το ΚΕΝΤΡΙΚΟ pfSense (η LAN του pfSense)
τον εξής κανόνα
θα μπεί αυτός
OpenVPN Client
Protocol : ότι θέλουμε προτιμότερο το UDP
Device Mode : tun
Interface : WAN
Local Port : όποια πόρτα θέλουμε η προκαθορισμένη είναι η 1194 εγώ στο παράδειγμα χρησιμοποιώ την 11900
Shared Key : Για να δημιουργηθεί το κλειδί ξετσεκάρω την επιλογή Automatically generate a shared key
IPv4 Tunnel Network : θα δηλώσω το δίκτυο στο οποίο θα συνδέονται ο Client με τον ServerIPv4 Remote Network : το τοπικό δίκτυο που ανήκει o Server δηλαδή το ΚΕΝΤΡΙΚΟ
Και στους κανόνες του Firewall προσθέτω
τον εξής κανόνα όπως την εικόνα από κάτω
Καλησπέρα,
Καταρχάς ευχαριστώ για την ανάρτηση. Μια ερώτηση παρακαλώ. Γίνεται να στηθεί pfsense πίσω από Modem/router? (Lan-to-Lan).
Δεν μπορώ να βρω, πού θα απενεργοποιήσω το wan port.
Ναι , και έτσι είναι καλύτερα.
Δεν απενεργοποιείς την wan port.
πχ
-192.168.1.1/24 aDSL Modem/Router OTE
-192.168.1.2/24 pfSense WAN Port
-10.1.1.1/24 pfSense LAN Port
Και πρέπει να ορίσω σε DMZ ζώνη (στο router) την τοπική στατική διεύθυνση του έχει ως wan το pf sense..
Σωστά ;;
Ναι θα μπορούσες και έτσι. Έτσι προτείνεται νομίζω και από το https://www.pfsense.org
Eγώ το έχω χωρίς DMZ αλλά port forward από το aDSL Router στο WAN του pfSense και ξανά port forward από το WAN του pfSense στο LAN του pfSense.
πως μπορώ να κάνω redundancy σε vpn site to site?αν εχω δυο wan απο τη μεριά του server(wan1,wan2) και έχω στήσει το vpn στο wan1,αν πέσει το wan 1 χανω το vpn.kαι ο client βλέπει την ip απο το wan1.
Εδω είχαμε μια συζήτηση με το michael makk, που αρχικά είχα προτείνει να κάνει ένα 2ο VPN Server στο ίδιο μηχάνημα αλλά τελικά δεν γίνεται να χρησιμοποιηθεί το ίδιο remote subnet. Ωστόσο δεν ξέρω αν με διπλή IP πάνω σε ενα interface γίνεται αυτό. Οπως και να έχει είναι ενδιαφέρον σενάριο και αν βρεθεί λύση ας δημοσιευτεί εδώ. Θα το προσπαθήσω και εγω μόλις προλάβω.