Road warrior с pfSense

В настоящее время у меня есть сервер под управлением pfSense. Он находится в другой сети, и я получаю доступ к нему только через удаленный вход. То, что я хочу сделать, это настроить какую-то схему road warrior, которая позволяет мне получить доступ за брандмауэром pfSense. В принципе, я хочу имитировать, что моя машина находится непосредственно за pfSense, получая адрес DHCP от pfSense. Эта картинка может помочь прояснить:

enter image description here

Я googled его, но каждый гид, кажется, что-то сказать различный. Я еще немного новичок, когда дело доходит до этой вещи, так что я не знаю, в чем разница между различными методами. Во всяком случае, я следовал этому руководству, потому что казалось, что я хочу сделать, но это не сработало:

http://www.hacktheory.org/index.php/projects/projects-by-eureka/pfsense-road-warrior-vpn-shrewsoft-ipsec-vpn-updated-pfsense-21-release/

мой вопрос: как лучше всего достичь своей цели с помощью pfSense? если руководство описывает лучший метод, то я буду тратить больше времени, пытаясь сделать его работу, но я хочу, чтобы убедиться, что нет лучшего способа, прежде чем тратить время. Спасибо заранее.

P. S. простите, если мой вопрос не подходит, первый раз здесь.

27
задан Donald Duck
19.11.2022 22:26 Количество просмотров материала 3607
Распечатать страницу

1 ответ

ваше требование выглядит более или менее похожим на VPN любой корпорации; вы хотите, чтобы ваш ноутбук, как представляется, на домашней сети для целей доступа в Интернет (и вполне возможно, другой доступ).

Я не использовал IPSec VPN, и они должны работать нормально при правильной настройке, но я сделал именно то, что вы предлагаете с OpenVPN-серверами на pfSense и OpenVPN-клиентах на Windows, Linux и Android в течение многих лет, поэтому я дам вам некоторые рекомендации по OpenVPN сторона вещей.

во-первых, рекомендуется читать: - https://doc.pfsense.org/index.php/VPN_Capability_OpenVPN - Вы хотите раздел сервера удаленного доступа - https://www.highlnk.com/2013/12/configuring-openvpn-on-pfsense/ - Вы можете пропустить Мастер и перейти прямо к обычным вкладкам настроек, которые он переходит к После мастера. - https://openvpn.net/index.php/open-source/documentation/howto.html - Помните, все GUI в pfSense делает это написать большую часть конфигурационных файлов для вас, и генерировать ключ или три.

теперь, некоторые рекомендации для установки высокого уровня безопасности, потому что это то, что я верю в

  • в PFsense, система, менеджер сертификатов
    • создайте центр сертификации для VPN
      • используйте SHA256 или SHA512 для подписи и 2048 или 4096 битовых ключей RSA.
        • даже на ALIX (500 МГц одноядерный, 256 МБ оперативной памяти) я нашел 4096 бит ключи штраф.
      • в идеале, назовите его что-то вроде " VPN1Home_CA_2014Dec"
        • вы хотите это позже, когда следующий эксплойт Heartbleed толкает вас, чтобы восстановить сертификаты, и / или вы хотите другой VPN для другой цели, как радионяня
    • создайте сертификат "Server" для VPN
      • используйте SHA256 или SHA512 для подписи и 2048 или 4096 битовых ключей RSA.
      • установите CA в тот, который вы только что создали
      • в идеале, назовите его что-то вроде "VPN1Home_Server_2014Dec"
    • создать сертификат" клиент " для вашего ноутбука, телефона и все, что вы хотите
      • угадайте!
    • создание списка отзыва сертификатов для центра сертификации
      • вы можете оставить его пустым, но вы можете также иметь один набор в VPN в случае, если вам нужно отозвать сертификат позже.
  • в pfSense, сервисы - >OpenVPN
    • WAN-интерфейс
    • мне нравится выбирать порт в эфемерном диапазоне (от 49152 до 65535), а не использоватьhttps://en.wikipedia.org/wiki/Ephemeral_port
    • проверка подлинности TLS
      • TLS Auth-вот почему я не был так обеспокоен Heartbleed, как мог бы быть.
    • пусть он создает ключ для тебя
    • DH параметры длина 2048 или 4096
      • даже на ALIX (500 МГц одноядерный, 256 МБ оперативной памяти) я нашел 4096 битные клавиши в порядке.
    • алгоритм шифрования
      • ok, на ALIX (500 МГц одноядерный, 256 МБ оперативной памяти) я придерживаюсь AES-128
      • выберите Camellia или AES здесь, в зависимости от того, что ваш клиент будет поддерживать, на любой длине вам нравится.
    • установить сетей, очевидно
    • Redirect Gateway должен быть проверен; это опция, которая управляет опцией " redirect-gateway def1
      • т. е. отправка всего трафика через VPN.
        • который отправляет весь трафик вашего ноутбука на ваш pfSense box, а затем в интернет
    • не используйте сжатие, если большая часть вашего интернет-передачи данных не сжимается
    • не позволяйте клиентам общаться друг с другом, если они должны
    • дополнительно: тип в
      • TLS-шифр DHE-RSA-AES256-SHA
  • Примечание: Если вы используете чистый сертификат безопасности на основе, вам не нужно создавать пользователей pfSense
  • убедитесь, что в pfSense настроена переадресация/распознаватель DNS.
  • в pfSense настройте и / или проверьте правила брандмауэра
    • WAN-интерфейса
      • на порту, который вы выбрали выше, входящий, либо TCP или UDP для соответствия VPN.
      • включите ведение журнала, пока у вас есть вещи, работающие, и, возможно, после того, как хорошо.
    • интерфейс OpenVPN
      • в диапазоне IP-адресов, назначенных VPN-клиентам, передайте UDP на DNS (53) x.y.z.1 адрес туннельной сети, чтобы клиенты могли получать DNS через VPN.
      • в диапазоне IP, назначенном VPN-клиентам, передайте UDP по NTP (123)x.y.z.1 адрес сети тоннеля, поэтому клиенты могут получить синхронизация времени через VPN.
      • включите вход на них, по крайней мере, пока у вас есть вещи, работающие
  • для ваших клиентов
    • вы можете использовать пакет pfSense, который экспортирует конфигурации клиента OpenVPN, если вам нравится
    • вы также можете просто скачать бинарные пакеты
    • вам понадобятся следующие файлы:
      • система, менеджер сертификатов, CA, сертификат только вашего CA
        • DO НЕ ЗАГРУЖАТЬ КЛЮЧ!!! ТОЛЬКО СЕРТИФИКАТ
        • назовите его, как вам нравится, возможно, описательное имя, которое вы уже сделали!
        • используется в " ca ca.crt " Client config line
        • очевидно, заменить ca.ЭЛТ с описательным именем.
      • система, менеджер сертификатов, сертификаты, сертификат клиента и ключ
        • да, для этого, ключ также
        • назовите его, как вам нравится, возможно, описательный имя тебе уже сделали!
        • сертификат клиента, используемый в " клиенте сертификата.crt " Client config line
        • очевидно, что заменить клиента.ЭЛТ с описательным именем.
        • ключ клиента, используемый в " клиенте сертификата.ключ" от клиента строку
        • очевидно, что заменить клиента.введите описательное имя файла.
      • сервисы, OpenVPN, ваш VPN, общий ключ TLS
        • просто скопировать и вставить из текстового поля в текстовый файл, имя по умолчанию - " ta.ключ"
        • используется в " TLS-auth ta.ключ 1" от клиента строку
        • очевидно замените ta.введите имя файла.
    • редактировать config как требуется, через GUI или редактирования .файл conf себя как вы считаете нужным
      • соответствует параметрам, установленным на сервере; ссылки помогут, или вы можете найти файл конфигурации сервера OpenVPN pfSense и просто прочитать его; за исключением 1 vs 0 на tls-auth, большинство параметров шифрования одинаковы для обоих.
      • не забудьте добавить tls-шифр
        • TLS-шифр DHE-RSA-AES256-SHA

картинка была очень полезной; для тех, кто больше не может ее видеть, желаемый" виртуальный " конфиг выглядел как

интернет | pfSense | Ноутбук

отметим, что фактический config я предлагаю is:

интернет (исходя из местоположения pfSense в) | pfSense | Интернет (только OpenVPN соединение) | Ноутбук

Дополнительные ссылки, которые могут или не могут быть полезны для вас: http://pfsensesetup.com/video-pfsense-vpn-part-three-openvpn-pt-1/

3
отвечен Anti-weakpasswords 2022-11-21 06:14

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх