A continuación veremos la implementacion de un túnel VPN utilizando IPSEC y con claves pre - compartidas.
Para esta implementacion contaremos con 3 maquinas virtuales, una que sera nuestro pfsense, otra de ellas pertenece a la red LAN del pfsense y por medio de la cual nos conectaremos vía web para la administración del pfsense, la ultima maquina estará conectada a Internet, y servira como cliente VPN para nuestro IPsec.
Desde el Pfsense, buscamos la opción VPN, y desde allí seleccionaremos IPsec.
En la pestaña Tunnels, habilitamos la opcion Enable IPsec.
En la segunda pestaña (Mobile Clients).
Habilitamos la opción Allow mobile clients.
Y vamos al boton agregar, vamos a agregar un nuevo cliente para nuetsro IPsec.
En las imágenes anteriores, observamos que se selecciono la opción Pre-Shared Key.
Para hacer buen uso de esta herramienta, debemos crear en la pestaña Pre-shared key, la clave compartida que usaremos como método de autenticacion.
Seleccionamos el boton agregar.
Agregamos un nombre y una clave para la autenticacion.
Desde el cliente, vamos a instalar el cliente VPN para el IPsec.
Despues de la respectiva instalacion, ingresamos a nuetsro cliente VPN.
Vamos a crear una nueva conexión.
El host que ingresamos, es la dirección publica de nuestro servidor Pfsense.
la opción Auto la desactivamos.
Seleccionamos la opción "use a virtual adapter and assigned address".
El rango de dirección Ip que agregamos al final, debe ser un rango que no este siendo utilizado por ninguna otra subred dentro de la LAN.
Los valores en la configuración de la pestaña cliente los dejamos por defecto.
Deshabilitamos las dos opciones de la pestaña Name Resolution.
Ahora debemos prestar mucha atención a la configuración de la autenticacion.
como método de autenticacion seleccionamos: Mutual PSK.
Idetification Type: key identifier.
Key id String: este es el nombre de usuario quele dimos anteriormente a la reacion de la clave precompartida.
En la pestaña remote identifier
Identification Type: Ip Address
vamos a seleccionar la opción que aparece bajo el segundo cuadro de texto.
En credentials, agregamos al final la clave creada anteriormente en el pfsense.
En ultima pestaña Policy, vamos a quitar la selección para la 2 opción, y vamos a seleccionar Add, ingresamos la dirección Ip, sobre la cual se esta administrando el pfsense.
Guardamos y aplicamos los cambios realizados.
Al finalizar con la configuración inicial de IPsec, automáticamente se creara una pestaña nueva en la opción Firewall > Rules
En las reglas de NAT,
rearemos la siguiente regla en PortForward.
la regla se vera así:
Despues de este proceso en el pfsense, continuamos en el cliente, y procedemos a la conexión.
Cuando se establesca la conexion con el pfsense.
podremos dar ping a una maquina ubicada en al red LAN.
el estado de la conexion se vera asi:
Observemos en al imagen siguiente, tenemos una tarjeta de red virtual, a la cual se le asigno una direcion Ip dentro del rango especificado en el cliente VPN anteriormente.
Para esta implementacion contaremos con 3 maquinas virtuales, una que sera nuestro pfsense, otra de ellas pertenece a la red LAN del pfsense y por medio de la cual nos conectaremos vía web para la administración del pfsense, la ultima maquina estará conectada a Internet, y servira como cliente VPN para nuestro IPsec.
Desde el Pfsense, buscamos la opción VPN, y desde allí seleccionaremos IPsec.
En la pestaña Tunnels, habilitamos la opcion Enable IPsec.
Habilitamos la opción Allow mobile clients.
Y vamos al boton agregar, vamos a agregar un nuevo cliente para nuetsro IPsec.
En las imágenes anteriores, observamos que se selecciono la opción Pre-Shared Key.
Para hacer buen uso de esta herramienta, debemos crear en la pestaña Pre-shared key, la clave compartida que usaremos como método de autenticacion.
Seleccionamos el boton agregar.
Desde el cliente, vamos a instalar el cliente VPN para el IPsec.
Despues de la respectiva instalacion, ingresamos a nuetsro cliente VPN.
Vamos a crear una nueva conexión.
El host que ingresamos, es la dirección publica de nuestro servidor Pfsense.
la opción Auto la desactivamos.
Seleccionamos la opción "use a virtual adapter and assigned address".
El rango de dirección Ip que agregamos al final, debe ser un rango que no este siendo utilizado por ninguna otra subred dentro de la LAN.
Los valores en la configuración de la pestaña cliente los dejamos por defecto.
Deshabilitamos las dos opciones de la pestaña Name Resolution.
Ahora debemos prestar mucha atención a la configuración de la autenticacion.
como método de autenticacion seleccionamos: Mutual PSK.
Idetification Type: key identifier.
Key id String: este es el nombre de usuario quele dimos anteriormente a la reacion de la clave precompartida.
En la pestaña remote identifier
Identification Type: Ip Address
vamos a seleccionar la opción que aparece bajo el segundo cuadro de texto.
En credentials, agregamos al final la clave creada anteriormente en el pfsense.
En ultima pestaña Policy, vamos a quitar la selección para la 2 opción, y vamos a seleccionar Add, ingresamos la dirección Ip, sobre la cual se esta administrando el pfsense.
Guardamos y aplicamos los cambios realizados.
Al finalizar con la configuración inicial de IPsec, automáticamente se creara una pestaña nueva en la opción Firewall > Rules
en esta pestaña crearemos una regla que permita todo tipo de trafico.
En las reglas de NAT,
rearemos la siguiente regla en PortForward.
la regla se vera así:
Cuando se establesca la conexion con el pfsense.
podremos dar ping a una maquina ubicada en al red LAN.
el estado de la conexion se vera asi:
Observemos en al imagen siguiente, tenemos una tarjeta de red virtual, a la cual se le asigno una direcion Ip dentro del rango especificado en el cliente VPN anteriormente.
Así configuramos pues, nuestra VPN con calves precompartidas y por medio de IPsec, espero sea de su ayuda...
Hasta Pronto...
Segui todos tus pasos..pero no me funciona...mmmmsera que es porque falta un paso en la opcion de PHASE 1 ..no das nada para hacer...saltas al PHASE 2 Directamente...frsarabia@gmail.com...saludos desde paraguay...
ResponderEliminarHola... verifica que los datos phase 1 y 2 esten iguales tanto en el ipsec como en el cliente VPN..
ResponderEliminarmuchas gracias me funciono
ResponderEliminar