Crear una VPN punto a punto entre dos cortafuegos PFSense

Para ello vamos a configurar cada punto de la VPN con las opciones que más seguridad nos de. Entonces:

CORTAFUEGOS 1

Menú >> VPN >> IPSec

En la pestaña «Tunnels» hacemos click sobre el botón de «Add P1», para crear la configuración de la fase 1:

• Description: Sede1
• Key Exchange Version: IKEv2
• Internet Protocol: IPv4
• Interface: La interfaz que interconecta ambas sedes.
• Remote Gateway: La IP de la WAN de la Sede2.
• Authentication Method: Mutual PSK.
• Pre-Shared Key: Elegimos una combinación compleja de caracteres.
• Encryption Algorithm: AES, 256 bits, SHA512, 21 (nist ecp521)

Le damos al botón de guardar y aplicamos los cambios. A continuación creamos la configuración de la fase 2:

• Mode: Tunnel IPv4
• Local Network: LAN subnet
• Remote Network: Nertwork, y la dirección de subred de la LAN de la sede 2, con su respectiva máscara.
• Encryption Algoritm: AES, 256 bits
• Hash Algorithms: SHA512
• FPS Key Group: 21 (nist ecp521)

CORTAFUEGOS 2

Menú >> VPN >> IPSec

En la pestaña «Tunnels» hacemos click sobre el botón de «Add P1», para crear la configuración de la fase 1:

• Description: Sede2.
• Key Exchange Version: IKEv2.
• Internet Protocol: IPv4.
• Interface: La interfaz que interconecta ambas sedes.
• Remote Gateway: La IP de la WAN de la Sede2.
• Authentication Method: Mutual PSK.
• Pre-Shared Key: La misma combinación compleja de caracteres que pusimos en la fase 1.
• Encryption Algorithm: AES, 256 bits, SHA512, 21 (nist ecp521)

Le damos al botón de guardar y aplicamos los cambios. A continuación creamos la configuración de la fase 2:

• Mode: Tunnel IPv4.
• Local Network: LAN subnet.
• Remote Network: Nertwork, y la dirección de subred de la LAN de la sede 1, con su respectiva máscara.
• Encryption Algoritm: AES, 256 bits.
• Hash Algorithms: SHA512.
• FPS Key Group: 21 (nist ecp521).

Ahora bien, si además de conectar una subred de la sede1 con su respectiva subred de la sede2, queremos conectar una nueva subred de la sede 1 con también otra nueva subred de la sede2, entonces habrá que agregar una nueva fase dos a la conexión IPSec. Sólo que esta fase 2 interconectará estas dos nuevas subredes, sin relacionarse con ninguna de las dos previamente inter-conectadas. Para ello, de igual forma que antes, en esta nueva fase 2, como Local Network pondremos otra subred de nuestro PFSense (otra distinta de LAN, subnet, me refiero) y como Remote Network pondremos la dirección de subred con la que la queremos conectar.

Al guardar los cambios, desconectar y reconectar el túnel, ambas fases 2 se conectarán y ambos PFSense sabrán como llegar a todas las subredes.