• Crear una VPN punto a punto entre dos cortafuegos PFSense

    Para ello vamos a configurar cada punto de la VPN con las opciones que más seguridad nos de. Entonces:

    CORTAFUEGOS 1

    Menú >> VPN >> IPSec

    En la pestaña «Tunnels» hacemos click sobre el botón de «Add P1», para crear la configuración de la fase 1:

    • Description: Sede1
    • Key Exchange Version: IKEv2
    • Internet Protocol: IPv4
    • Interface: La interfaz que interconecta ambas sedes.
    • Remote Gateway: La IP de la WAN de la Sede2.
    • Authentication Method: Mutual PSK.
    • Pre-Shared Key: Elegimos una combinación compleja de caracteres.
    • Encryption Algorithm: AES, 256 bits, SHA512, 21 (nist ecp521)

    Le damos al botón de guardar y aplicamos los cambios. A continuación creamos la configuración de la fase 2:

    • Mode: Tunnel IPv4
    • Local Network: LAN subnet
    • Remote Network: Nertwork, y la dirección de subred de la LAN de la sede 2, con su respectiva máscara.
    • Encryption Algoritm: AES, 256 bits
    • Hash Algorithms: SHA512
    • FPS Key Group: 21 (nist ecp521)

    CORTAFUEGOS 2

    Menú >> VPN >> IPSec

    En la pestaña «Tunnels» hacemos click sobre el botón de «Add P1», para crear la configuración de la fase 1:

    • Description: Sede2.
    • Key Exchange Version: IKEv2.
    • Internet Protocol: IPv4.
    • Interface: La interfaz que interconecta ambas sedes.
    • Remote Gateway: La IP de la WAN de la Sede2.
    • Authentication Method: Mutual PSK.
    • Pre-Shared Key: La misma combinación compleja de caracteres que pusimos en la fase 1.
    • Encryption Algorithm: AES, 256 bits, SHA512, 21 (nist ecp521)

    Le damos al botón de guardar y aplicamos los cambios. A continuación creamos la configuración de la fase 2:

    • Mode: Tunnel IPv4.
    • Local Network: LAN subnet.
    • Remote Network: Nertwork, y la dirección de subred de la LAN de la sede 1, con su respectiva máscara.
    • Encryption Algoritm: AES, 256 bits.
    • Hash Algorithms: SHA512.
    • FPS Key Group: 21 (nist ecp521).

    Ahora bien, si además de conectar una subred de la sede1 con su respectiva subred de la sede2, queremos conectar una nueva subred de la sede 1 con también otra nueva subred de la sede2, entonces habrá que agregar una nueva fase dos a la conexión IPSec. Sólo que esta fase 2 interconectará estas dos nuevas subredes, sin relacionarse con ninguna de las dos previamente inter-conectadas. Para ello, de igual forma que antes, en esta nueva fase 2, como Local Network pondremos otra subred de nuestro PFSense (otra distinta de LAN, subnet, me refiero) y como Remote Network pondremos la dirección de subred con la que la queremos conectar.

    Al guardar los cambios, desconectar y reconectar el túnel, ambas fases 2 se conectarán y ambos PFSense sabrán como llegar a todas las subredes.


    Deja una respuesta