Инструкция по настройке VPN туннеля типа IpSec между облачным роутером Pfsense и MikroTik. В результате настройки должно получиться объединение двух сетей, за MikroTik и за Pfsense.
Что такое Pfsense
PfSense — дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на FreeBSD. PfSense предназначен для установки на персональный компьютер, известен своей надежностью и предлагает функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах. Настройки можно проводить через web-интерфейс, что позволяет использовать его без знаний базовой системы FreeBSD. Сетевые устройства с pfSense обычно применяются в качестве периметровых брандмауэров, маршрутизаторов, серверов DHCP/DNS, и в технологии VPN в качестве узла топологии hub/spoke.
Cистемные требования Pfsense
| Минимальные |
|
| Рекомендованные |
|
| Общие требования | |
| Полная установка |
|
| 10-20Mbps | Современные (младше 4 лет) процессоры Intel или AMD с тактовой частотой 500 МГц или выше. |
| 21-100 Mbps | Современный процессор Intel или AMD с тактовой частотой 1,0 ГГц. |
| 101-500 Mbps | Не меньше, чем современный процессор Intel или AMD с тактовой частотой 2,0 ГГц. Оборудование серверного класса с сетевыми адаптерами PCI-e или более новое настольное оборудование с сетевыми адаптерами PCI-e. |
| 501+ Mbps | Требуется несколько ядер с тактовой частотой> 2,0 ГГц. Оборудование серверного класса с сетевыми адаптерами PCI-e. |
Настройка VPN в MikroTik для подключения к Pfsense
Со стороны роутера MikroTik будет настроен стандартный VPN туннель типа IpSec. Больше сведений по настройке VPN типа IpSec представлено в статье:
VPN туннель IpSec состоит из двух фаз:
- PHASE-1 – идентификация устройств между собой, по заранее определенному IP адресу и ключу.
- PHASE-2 – определение политики для трафика между туннелей: шифрование, маршрутизация, время жизни туннеля.
Создание профиля для MikroTik IpSec phase-1
Настройка находится в IP→IPsec→Profile
Создание Peer для MikroTik IpSec phase-1
Настройка находится в IP→IPsec→Peers
Определение ключа MikroTik IpSec phase-1
Настройка находится в IP→IPsec→Identities
Настройка параметров MikroTik Proposal IpSec phase-2
Настройка находится в IP→IPsec→Proposals
Создание политики(Policies) MikroTik IpSec phase-2
Настройка находится в IP→IPsec→Policies
Настройка политики(Policies) MikroTik IpSec phase-2
Настройка находится в IP→IPsec→Policies→Action
/ip ipsec profile add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 lifetime=8h name=Pfsense /ip ipsec peer add address=10.10.10.10/32 name=Pfsense profile=Pfsense /ip ipsec proposal add auth-algorithms=md5 enc-algorithms=3des lifetime=8h name=Pfsense /ip ipsec policy add dst-address=192.168.5.0/24 peer=Pfsense proposal=Pfsense \ sa-dst-address=10.10.10.10 sa-src-address=0.0.0.0 src-address=\ 192.168.1.0/24 tunnel=yes /ip ipsec identity add peer=Pfsense secret=Pt36ENepT3t3
Настройка VPN в Pfsense для подключения к MikroTik
Pfsense имеет удобный web интерфейс, с помощью которого и будет производиться настройка VPN туннеля типа IpSec для связи с роутером MikroTik.
Настройка phase-1 для Pfsense IpSec
Настройка phase-2 для Pfsense IpSec
Настройка Pfsense Firewall
Результат настройки VPN IpSec между Pfsense и MikroTik
После успешно принятых настроек, проверить соединение VPN типа IpSec между Pfsense и MikroTik можно так:
А как в один туннель запихнуть несколько сетей в микротике ?
На циске знаю как это сделать, а вот в микротике не нашел как это делается.
В IP→IPsec→Policies нужно добавить две записи src-address
/ip ipsec policy
add dst-address=192.168.0.0/24 peer=10.10.10.10 proposal=Proposal-IpSec src-address=192.168.1.0/24 tunnel=yes
add dst-address=192.168.0.0/24 peer=10.10.10.10 proposal=Proposal-IpSec src-address=192.168.2.0/24 tunnel=yes