pfSense OpenVPN Site to Site


Στο προηγούμενο post είδαμε πως κάναμε δημιουργήσαμε έναν OpenVPN Server στο pfSense για να συνδέονται απ’ευθείας H/Y Windows,Linux,MacOS,Android.
Σε αυτό θα δούμε πως συνδέονται δύο Router pfSense μεταξύ του για να συνδεθούν στην ουσία δύο LAN , κοινώς site to site ή peer to peer OpenVPN. 

OpenVPN Server

pfSense OpenVPN Site2Site

Εδώ βάζω

Server Mode : Peer to peer (Shared Key)

Protocol : ότι θέλουμε προτιμότερο το UDP
Device Mode : tun
Interface : WAN
Local Port : όποια πόρτα θέλουμε η προκαθορισμένη είναι η 1194 εγώ στο παράδειγμα χρησιμοποιώ την 11900
Shared Key : Για να δημιουργηθεί το κλειδί ξετσεκάρω την επιλογή Automatically generate a shared key

 Διαλέγω το Encyption Mode : προσωπικά θα προτιμούσα το AES-256-CBS



IPv4 Tunnel Network : θα δηλώσω το δίκτυο στο οποίο θα συνδέονται ο Client με τον Server
IPv4 Local Network : το τοπικό δίκτυο που ανήκει το ΚΕΝΤΡΙΚΟ pfSense (η LAN του pfSense)

IPv4 Remote Network : το τοπικό δίκτυο που ανήκει o Client δηλαδή το ΥΠΟΚΑΤΑΣΤΗΜΑ
Compression : εδώ η επιλογή είναι από default ενεργοποιημένη και καλά κάνει γιατί συμπιέζοντας τα δεδομένα κερδίζω σε bandwidth αλλά θα πρέπει να έχω και σχετικά γρήγορη CPU γιατί μπορεί στο τέλος να καθυστερεί περισσότερο η συμπίεση απο την αποστολή.
Στους κανόνες του Firewall και στην καρτέλα WAN θα προσθέσω όπως ήδη έχω στην εικόνα πατώντας το +  

τον εξής κανόνα

Ενώ στην καρτέλα OpenVPN

 θα μπεί αυτός


OpenVPN Client

Θα πάω στο μενού VPN > OpenVPN καρτέλα Client
Εγώ εδώ στην εικόνα το έχω έτοιμο. Πατάμε στο + 

Server Mode : Peer to peer (Shared Key)

Protocol : ότι θέλουμε προτιμότερο το UDP
Device Mode : tun
Interface : WAN

Server Host or Adderss :  η IP ή το host name του ΚΕΤΡΙΚΟΥ pfSense OpenVPN Server

Local Port : όποια πόρτα θέλουμε η προκαθορισμένη είναι η 1194 εγώ στο παράδειγμα χρησιμοποιώ την 11900
Shared Key : Για να δημιουργηθεί το κλειδί ξετσεκάρω την επιλογή Automatically generate a shared key

 Διαλέγω το Encyption Mode : προσωπικά θα προτιμούσα το AES-256-CBS



IPv4 Tunnel Network : θα δηλώσω το δίκτυο στο οποίο θα συνδέονται ο Client με τον ServerIPv4 Remote Network : το τοπικό δίκτυο που ανήκει o Server δηλαδή το ΚΕΝΤΡΙΚΟ

Compression : εδώ η επιλογή είναι από default ενεργοποιημένη και καλά κάνει γιατί συμπιέζοντας τα δεδομένα κερδίζω σε bandwidth αλλά θα πρέπει να έχω και σχετικά γρήγορη CPU γιατί μπορεί στο τέλος να καθυστερεί περισσότερο η συμπίεση απο την αποστολή.

Και στους κανόνες του Firewall προσθέτω

 τον εξής κανόνα όπως την εικόνα από κάτω


Tags:
6 Σχόλια
  1. Ανώνυμος 5 έτη ago

    Καλησπέρα,
    Καταρχάς ευχαριστώ για την ανάρτηση. Μια ερώτηση παρακαλώ. Γίνεται να στηθεί pfsense πίσω από Modem/router? (Lan-to-Lan).

    Δεν μπορώ να βρω, πού θα απενεργοποιήσω το wan port.

  2. karanik 5 έτη ago

    Ναι , και έτσι είναι καλύτερα.

    Δεν απενεργοποιείς την wan port.
    πχ
    -192.168.1.1/24 aDSL Modem/Router OTE
    -192.168.1.2/24 pfSense WAN Port
    -10.1.1.1/24 pfSense LAN Port

  3. Ανώνυμος 5 έτη ago

    Και πρέπει να ορίσω σε DMZ ζώνη (στο router) την τοπική στατική διεύθυνση του έχει ως wan το pf sense..
    Σωστά ;;

  4. karanik 5 έτη ago

    Ναι θα μπορούσες και έτσι. Έτσι προτείνεται νομίζω και από το https://www.pfsense.org
    Eγώ το έχω χωρίς DMZ αλλά port forward από το aDSL Router στο WAN του pfSense και ξανά port forward από το WAN του pfSense στο LAN του pfSense.

  5. michael makk 5 έτη ago

    πως μπορώ να κάνω redundancy σε vpn site to site?αν εχω δυο wan απο τη μεριά του server(wan1,wan2) και έχω στήσει το vpn στο wan1,αν πέσει το wan 1 χανω το vpn.kαι ο client βλέπει την ip απο το wan1.

  6. karanik 5 έτη ago

    Εδω είχαμε μια συζήτηση με το michael makk, που αρχικά είχα προτείνει να κάνει ένα 2ο VPN Server στο ίδιο μηχάνημα αλλά τελικά δεν γίνεται να χρησιμοποιηθεί το ίδιο remote subnet. Ωστόσο δεν ξέρω αν με διπλή IP πάνω σε ενα interface γίνεται αυτό. Οπως και να έχει είναι ενδιαφέρον σενάριο και αν βρεθεί λύση ας δημοσιευτεί εδώ. Θα το προσπαθήσω και εγω μόλις προλάβω.

Leave a reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

*

Επικοινωνια

Στείλε μου μήνυμα

Sending

©[2017] karanik.gr

Log in with your credentials

Forgot your details?