VPN Túnel IPSec con Pfsense con varias Oficinas Remotas


Pfsense como Router con IPSecs VPN ruteando varias redes entre 2 oficinas remotas

Pfsense (basado en FreeBSD) esta herramienta prestamente tiene un mundo de opciones para los administradores de Redes, desde un simple Servidor proxy con filtro auto actualizado de una base de dato, hasta un complejo equipo de enrutamiento muy potente, como en este caso donde trataremos un temas el cual es una necesidad en muchas empresas que tiene varias oficinas remotas, por lo que tener un internet dedicado para esta conexiones sale muy costosa, a esto se le suma el costo de un equipos Router para poder manejar el protocolo de enrutamiento, por mencionar algunos de los utilizado y costosos del mercado tenemos (Cisco, HP, Juniper, Wathward, Sophos, etc.)

Con esta guía podrá realizar conexiones con un servidor o PC central en su oficina sede principal y tener varias oficinas remotas conectada vía Pfsense con VPN IPSecs, el cual es un estándar que es compatible con cualquier equipo Router de los ante mencionados. Estas conexiones la podemos realizar con una conexión común de ADSL.

Con este método puede tener y rutear tantas redes quieres tener acceso entre las oficinas remotas y la oficina principal, así también enviar tráfico por redes separada y distribuirla en VLANs en ambos lados, como poder ser el cado del sector educación, donde se tiene una sede principal y varios campus que depende en su totalidad de todos los servicios de la sede principal. Como son las redes para estudiantes, Wifi, Video conferencia, docentes, personal administrativo, etc.

rede-pfsense

 

 

 

 

 

 

 

 

 

 

 

 

Manos a la obra como puedo hacer esta configuración:

Es bastante sencillo, teniendo en cuenta  de que debe tener conocimiento básicos de redes y Routing.

Sitio 1 Sede oficina Principal: Outside IP: 200.200.200.201/29

Fuera de Puerta de enlace: 200.200.200.202

IP Interior: 192.168.1.0/24

Sitio 2 Oficina Remota 2: Outsite IP: 100.100.100.100/29

Fuera de Puerta de enlace: 100.100.100.101

IP Interior: 192.168.2.0/24

Sitio 3 Oficina Remota 3: Outsite IP: 100.100.110.100/29

Fuera de Puerta de enlace: 100.100.110.101

IP Interior: 192.168.3.0/24

Paso 1: Instale pfSense y establecer de IP locales en ambos firewalls.

Paso 2: Inicie sesión en la interfaz web de pfSense en cada caja y asignar las direcciones WAN.

Paso 3: Habilitar IPSEC (VPN-> IPSEC-> Enable IPSec). Haga esto en ambos servidores de seguridad.

Paso 4: Añadir un túnel en el firewall del Sitio 1 al Sitio 2 mediante la adición de un túnel y cambiando sólo los siguientes elementos:

  • Remote Subnet:  192.168.2.0/24
  • Remote Gateway: 100.100.100.100
  • Phase 1 Lifetime: 28800
  • PreShared Key:  PASSWORD-DE-SU-PREFENCIA-ALFA-NUMERICO-SIMBOLOS
  • PFS Key Group: 2
  • Phase 2 Lifetime: 28800

Paso 5: Añadir un túnel en el firewall del Sitio 2 al Sitio 1 mediante la adición de un túnel y cambiando sólo los siguientes elementos:

  • Remote Subnet:  192.168.1.0/24
  • Remote Gateway: 200.200.200.201
  • Phase 1 Lifetime: 28800
  • PreShared Key:  PASSWORD-DE-SU-PREFENCIA-ALFA-NUMERICO-SIMBOLOS
  • PFS Key Group: 2
  • Phase 2 Lifetime: 28800

paso1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Paso 6: Añadir un túnel en el firewall del Sitio 2 al Sitio 1 mediante la adición de un túnel y cambiando sólo los siguientes elementos:

  • Remote Subnet:  192.168.1.0/24
  • Remote Gateway: 200.200.200.201
  • Phase 1 Lifetime: 28800
  • PreShared Key:  PASSWORD-DE-SU-PREFENCIA-ALFA-NUMERICO-SIMBOLOS
  • PFS Key Group: 2
  • Phase 2 Lifetime: 3600

paso2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

paso2-A

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Paso 7: Asegúrese de “Aplicar cambios” cuando se le solicite en cada firewall.

NOTA IMPORTANTE: estas configuración se aplicara por cada sub-red adicional que desee alcanzar en ambos lados, tanta redes quieras, se creara un  Túnel IPsec en la parte de la 2da (segunda fase del túnel) manteniendo la fase 1 del Túnel VPN IPsec estático.

Por ejemplo:

Si queremos alcanzar otra red dentro del Túnel, solamente trabajaremos en la fase 2 del Túnel

Si la red LAN de la oficina principal es 192.168.80.0/24 y tengo en la oficina 2, 4 redes diferentes,

Oficinal principal: 192.168.80.0/24

Oficina remota 2:

192.168.2.0/24 red de servidores,

192.168.20.0/24 red para Wifi,

192.168.40.0/24 red para contabilidad

192.168.50.0/24 Red para Telefonos

De acuerdo a estos crearemos un Túnel por cada sub-Red en la FASE 2, OJO solamente en la FASE:

Mode Local Subnet Remote Subnet P2 Protocol P2 Transforms P2 Auth Methods
tunnel 192.168.80.0/24 192.168.2.0/24 ESP 3DES SHA1   
tunnel 192.168.80.0/24 192.168.20.0/24 ESP 3DES SHA1   
tunnel 192.168.80.0/24 192.168.40.0/24 ESP 3DES SHA1   
tunnel 192.168.80.0/24 192.168.50.0/24 ESP 3DES SHA1   
  

 

Más detalles en el link oficial de PfSense:

https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

Paso 8: Vamos al Firewall > Rules, y en WAN añadimos una nueva regla  en los sitios remotos y la oficina principal:

Action “PASS”
Interface “WAN”
Protocol “UDP”
Destination port range “IPsec NAT-T”

Action “PASS”
Interface “WAN”
Protocol “UDP”
Destination port range “ISAKMP”
Action “PASS”
Interface “WAN”
Protocol “TCP”
Destination port range “51”

Para oficina remota 1

Action “PASS”
Interface “WAN”
Protocol “UDP”
Destination port range “9906”

Para oficina remota 2

Action “PASS”
Interface “WAN”
Protocol “UDP”
Destination port range “9907”
Paso 9: Vamos a la nueva pestaña “IPsec” y añadimos una regla (en este caso se va a permitir todo el tráfico por la VPN en los sitios remotos y la oficina principal)
Action “PASS”
Interface “IPsec”
Protocol “any”

Paso 10: Vamos a la nueva pestaña “LAN” y añadimos una regla (en este caso se va a permitir todo el tráfico por la VPN en los sitios remotos y la oficina principal)

Action “PASS”
Interface “LAN”
Protocol “any”

fase2-a

 

 

 

 

 

 

 

 

 

fase2-b

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

fase2-c

 

 

 

 

 

 

 

 

 

 

 

Configuración Reglas en el FireWall:

firewall-ipsec

 

 

 

 

firewall-lan firewall-WAN

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Para más información también pueden visitar el Blog oficial Pfsense:

https://doc.pfsense.org/index.php/Category:IPsec

 

Anuncios

Acerca de ncastillo

Soluciones Libres Dominicana Soluciones Libres Dominicana, Una empresa proveedora de servicios tecnológicos dedicada a brinda soluciones y servicios de nivel para grandes corporaciones y empresas en crecimiento (Pyme) especialmente. Aseguramos Escalabilidad, Integración e Innovación, alta competitividad y costos a su medida. Somos empresa que diseña soluciones tecnológicas exclusivas para cada cliente, simplificando así la incursión de su organización en el mundo de las nuevas tecnologías de información y comunicación. Trabajamos con tecnologías Open Source, para abaratar y reducir los costos en licenciamientos, con infraestructuras completamente estables y redundantes. No especializamos en redes avanzadas, Firewal Open Source, como de cualquier marca de la que existen en el mercado (como Fortinet, Sophos, Wacthguard, Palo alto, Cisco ASA. Implementaciones de redes LAN/WAN, Wireless, Servicios en la nube, diseño de página Web, Hosting hecho para cualquier medida. Tecnologías hibridas, somos especialista en Microsoft Windows 2012, Mac OS X, Hyper-V, VMWare, RedHat, Ubuntu Server, Debían. Somos especialista de página web para ecomerce, tu negocio en línea con todas la seguridad y cumpliendo con todos los requerimientos de una tienda en línea (PCI), certificado SSL, unificación de medios de pagos como Paypal. Consolidamos tu tiene en línea de Amazon o EBay con tu propia página web ecomerce. Infraestructura de servidores, basado en chasis blade, (Dell, HP, Cisco UCS Mini, Configuración de Storage eQualogic, EMC. Soluciones Libres Dominicana, es pionera y líder en Santo Domingo, República Dominicana en el uso de GNU/Linux y está especializada en grandes soluciones usando Open Source y Software Libre. En el equipo contamos con profesionales que trabajan hace varios años con soluciones libres, con más de 15 años de experiencia. WebSite Oficial http://www.tecnologialibre.net Twitter : @TecnoLibreDR FaceBook : https://www.facebook.com/TecnologiaLibre.Net

Publicado el Viernes, septiembre 26, 2014 en Articulos, ClearOS, Conectividad, FailOver, Failover Network, Firewall, IPsec, Network Report, Networking, Pfsense, Proxy Server, Redes, Routing, Site-to-Site, Tunel Site-to-Site, Tunel VPN, VPN, VPN OpenSource, VPN Site-to-Site, Webfilter y etiquetado en , , , , , , , , , , , , , . Guarda el enlace permanente. 4 comentarios.

  1. Buen tutorial .. estoy interesado en realizar una implementación parecida como obtengo una IP publica por ADSL … se le solicita al proveedor ?

    • Saludos

      Solo tiene que ponerte en contacto con su suplidor de ISP, aunque tambien se puede con direcciones privada, ya que este Tunel busca la direccion no importa que sea publica o privada, que guarde relacion con el preshared key y todos los parametros configurados, proximamente estare publicando como hacerlo con direcciones dinamina en tu modem ADSL y utilizando direcciones de rango privado.

  2. Sr Castillo buenos dias, estoy intentando implementar una vpn contra un equipo fortigate, desde mi punto estaria utilizando yo el pfsence 2.3, una de mis consultas es soy yo el que constantemente voy a estar haciendo consutas con el otro punto (fortigate) me diante una web service, quien hace el papel de central y quien el de sucursal en este caso o eso es indistinto?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: