LINUX

Cómo configurar IPsec VPN en PfSense Firewall

0 595 4 minutos de lectura

Este artículo trata sobre la protección de la capa IP mediante la red privada virtual (VPN), también conocida como IPsec (seguridad de protocolo de Internet) en el conocido cortafuegos de código abierto PfSense. Dos componentes del protocolo IPsec son el encabezado de autenticación (AH) y la carga útil de seguridad encapsulada (ESP) para proporcionar características de seguridad de integridad, autenticación y confidencialidad de paquetes. Los mecanismos de seguridad criptográfica se utilizan en IPsec para proteger las comunicaciones a través de la capa IP. El protocolo IPSec permite cifrar y autenticar todo el tráfico de la capa IP entre la ubicación local y remota.

El cortafuegos PfSense utiliza una herramienta de código abierto Strongswan que proporciona la funcionalidad IPsec VPN. La herramienta Strongswan implementa ambas fases de IPsec (uso compartido de claves y cifrado) en plataformas Linux / Unix. Proporciona el intercambio de claves de Internet (IKE) o el intercambio automático de claves entre nodos o puertas de enlace de IPsec VPN y luego utiliza la implementación del kernel de Linux / Unix de autenticación (AH) y cifrado (ESP). Stongswan utiliza la implementación OpenSSL de algoritmos criptográficos (como AES128 / 256, MD5 / SHA1, etc.) en la primera fase (fase IKE) de IPsec VPN. La carga útil de seguridad encapsulada (ESP) de IPsec VPN está disponible en los kernels de Linux / Unix que Strongswan utiliza en la segunda fase de VPN.

Requisito

Para continuar con este artículo, supongo que ya ha instalado PfSense en VM. En esta configuración, cada VM tiene dos interfaces (WAN y LAN) y también direcciones IP configuradas. Las siguientes figuras muestran la asignación de interfaces y direcciones IP para las VM del dispositivo a y del dispositivo b.

dispositivo-a interfaz y configuración de ip

configuración de la interfaz pfsense1

interfaz de dispositivo-b y configuración de ip

configuración de la interfaz pfsense2

El paquete Strongswan ya está instalado en la nueva instalación de PfSense y está disponible en la interfaz web en el menú VPN. Sin embargo, la instalación de Strongswan en la plataforma Linux también está disponible en el artículo anterior.

Configuración de IPsec VPN

De forma predeterminada, todo está bloqueado en la interfaz WAN de PFsense, por lo que, en primer lugar, permita los puertos UDP 4500 ((IPsec NAT-T) y 500 (ISAKMP) para IPsec VPN. Sin embargo, permitimos que todo (no se recomienda para el entorno de producción) IPsec establecido entre dos máquinas virtuales.

Como se muestra a continuación, se configura una regla para la interfaz WAN de PfSense en el menú del cortafuegos.

regla de firewall pfsense

La regla IPsec también está configurada en el firewall para pasar el tráfico a través de la VPN establecida.

regla de firewall ipsec pfsense

También es importante asegurarse de que el dispositivo remoto esté disponible para IPsec VPN. La siguiente instantánea muestra que el dispositivo remoto está encendido y respondiendo.

pfsense ip remoto

Después de garantizar la conectividad de la puerta de enlace a la puerta de enlace, el siguiente paso es configurar la VPN (tanto la fase 1 como la fase 2) en las máquinas virtuales. En la primera fase, se configura IKE y se selecciona el algoritmo de encriptación / autenticación. La segunda fase de IPsec es configurar los parámetros de ESP como el cifrado / autenticación en ambas VM. La configuración (como IP local / remota, redes locales / remotas, algoritmos de encriptación / autenticación) de IPsec VPN en ambas VM debe ser correcta para establecer un túnel entre VM.

El firewall PfSense se configura mediante la interfaz web, por lo que la siguiente ventana se abre después de hacer clic en el submenú IPsec en VPN.

vpn ipsec pfsense

Controlar Habilitar IPsec opción para crear un túnel en PfSense. Haga clic en botón más para agregar una nueva política de túnel IPsec en el lado local (lado a en este caso). Las siguientes instantáneas muestran la configuración de la fase IKE (primera fase) de IPsec.

Dos modos de fase IKE o versión de intercambio de claves son v1 y v2. Sin embargo, se selecciona automático en la versión de intercambio de claves. La interfaz WAN se selecciona para establecer el túnel y la dirección IP del dispositivo remoto (lado b en este caso) se proporciona en el campo de la puerta de enlace remota.

Ajuste de la fase 1 en el lado a

vpn ipsec pfsense fase 1

Ajuste de la fase 1 en el lado b

configuración de vpn ipsec pfsense fase1

La siguiente instantánea muestra la selección del mecanismo de autenticación para la 1ª fase. En este tutorial, se selecciona PSK mutuo o secreto compartido para la autenticación mutua de ambas VM. Se selecciona el modo principal porque es más seguro que el modo agresivo. La clave precompartida o el secreto compartido para ambos dispositivos es «test12345» . La siguiente instantánea también muestra la configuración de cifrado para la primera fase. La selección predeterminada del algoritmo de cifrado es AES256 y SHA1 para el algoritmo hash.

Autenticación vpn ipsec pfsense

los NAT transversal La opción también está configurada auto para clientes que están detrás de los firewalls. Otra característica de IPsec es la detección de pares muertos (DPD), que también está habilitada.

vpn ipsec pfsense avanzado

La siguiente captura de pantalla muestra la configuración anterior de la fase 1 guardada en el dispositivo-a.

vpn ipsec pfsense fase2

Haga clic en botón más para agregar la política de fase 2 en el firewall PfSense. En la siguiente instantánea, la política incluye redes locales y remotas.

vpn ipsec pfsense fase2

Los parámetros seleccionados para la fase 2 (propuesta ESP) se muestran a continuación.

clave vpn ipsec pfsense fase2

La siguiente instantánea muestra que la política de VPN se creó correctamente en el dispositivo PfSense -a.

vpn ipsec pfsense vpn crear

Más configuraciones (como habilitar / deshabilitar niveles de registro) de Strongswan IPsec se proporcionan en la pestaña Configuración avanzada.

vpn ipsec pfsense configuración

Haga clic en IPsec en el menú Estado para obtener más detalles sobre la VPN configurada.

vpn ipsec pfsense configuración avanzada

La siguiente captura de pantalla muestra la descripción general de VPN configurada en el dispositivo-a. Como se muestra a continuación, el estado actual de la VPN es desconectado. Haga clic en conectar botón para iniciar la negociación con el dispositivo remoto.

estado de vpn ipsec pfsense

La negociación exitosa entre dos dispositivos se muestra en las siguientes figuras.

dispositivo-un estado de VPN

lado-a-estado

estado de la VPN del dispositivo b

estado-lado-b

La base de datos de asociaciones de seguridad (SAD) y la base de datos de políticas de seguridad (SPD) se muestran a continuación.

SAD para dispositivo-a

pfsense ipsec triste A

SPD para dispositivo-a

pfsense ipsec spd A

Clickea en el Registros para ver registros detallados de IPsec con el fin de solucionar problemas.

registros ipsec de pfsense

El estado de la VPN también se verifica usando utilidad de línea de comando como el comando setkey e ipsec status.

salida setkey -D

estado pfsense línea de comando setkey

estado ipsectodos los resultados

estado pfsense línea de comando ipsecstatusall

Conclusión

Este artículo trata sobre el uso de IPsec VPN en el firewall PfSense para proteger la capa de red de los atacantes. Strongswan es una implementación de código abierto de IPsec que está disponible en su mayoría en firewalls de código abierto. Se establece una VPN IPsec basada en secretos compartidos entre dos VM para asegurar la comunicación.

Publicaciones relacionadas

Cómo parchear el error Shellshock Bash en RedHat / CentOS, Fedora y Ubuntu

Localtunnel: comparta fácilmente su servidor web local sin hospedaje

Mytop – Cómo monitorear el rendimiento de MySql

Cómo instalar la herramienta Etcher USB Image Writer en Ubuntu

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar