Доступ через vpn: Как подключиться через VPN: основные способы

Иногда требуется, чтобы пользователи VPN с удаленным доступом подключались к Интернету через доступ организации к Интернету. Это может быть связано с политикой компании, согласно которой доступ пользователей к Интернету должен проходить через брандмауэр компании для защиты или фильтрации. Поэтому в этой статье мы обсудим, как это можно настроить на Cisco ASA.

На диаграмме ниже показано, чего мы хотим достичь:

Когда удаленный пользователь подключается к ASA через VPN-клиент, он должен иметь возможность подключиться к локальной сети, а также просматривать Интернет с помощью доступа ASA к Интернету.Настройка GNS3 показана ниже:

Я настроил ASA для подключения к Интернету следующим образом: я поделился своим подключением Wi-Fi (которое дает мне доступ к Интернету) с моим сетевым адаптером VirtualBox (подойдет любой бесплатный «подключенный» адаптер). Это сформировало сеть 192.168.137.0/24 (которую можно изменить), и сетевой адаптер VirtualBox на моем ПК имеет IP-адрес 192.168.137.1. Затем я добавил облако в GNS3 с помощью сетевого адаптера VirtualBox и сформировал сеть между облаком и ASA с помощью коммутатора (вы не можете напрямую подключить ASA и облако).Поэтому, чтобы дать доступ к Интернету ASA, я просто должен настроить маршрут по умолчанию 192.168.137.1 на ASA.

Примечание . Причина, по которой мне пришлось пройти этот «длинный» процесс, заключается в том, что при использовании соединения Wi-Fi ваши устройства GNS3 не могут подключиться к беспроводному маршрутизатору / точке доступа. Если бы я использовал подключение к локальной сети для Интернета, мне бы не пришлось переживать этот стресс.

Теперь давайте настроим базовый VPN для удаленного доступа на Cisco ASA, который позволяет VPN-клиентам подключаться и назначать им IP-адреса из локального пула IP-адресов.Имейте в виду, что, поскольку мы хотим, чтобы интернет-трафик от VPN-клиента проходил через VPN-туннель, мы не будем настраивать разделенный туннель ACL

 имя хоста VPN-ASA
!
интерфейс GigabitEthernet0
 Nameif снаружи
 уровень безопасности 0
 IP-адрес 192.168.137.100 255.255.255.0
!
интерфейс GigabitEthernet1
 имя внутри
 уровень безопасности 100
 IP-адрес 10.1.1.100 255.255.255.0
!
сеть объекта LAN-USERS
 подсеть 10.1.1.0 255.255.255.0
 нат (внутри, снаружи) динамический интерфейс
!
ip local pool VPNPOOL 10.2.2.1-10.2.2.10 маска 255.255.255.0
!
маршрут за пределами 0.0.0.0 0.0.0.0 192.168.137.1
!
логин vpnuser пароль vpnuser
!
крипто-икев1 политика 1
 предварительный обмен аутентификацией
 шифрование 3des
 хаш ша
 группа 2
крипто икев1 снаружи
!
crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac
crypto dynamic-map DYNMAP 1 set ikev1 transform-set MYSET
crypto dynamic-map DYNMAP 1 set обратный маршрут
криптографическая карта CRYPMAP 1 ipsec-isakmp динамическая DYNMAP
криптокарта CRYPMAP интерфейс снаружи
!
групповая политика VPNPOLICY внутренняя
атрибуты VPNPOLICY групповой политики
 значение днс-сервера 8.8.8.8
 туннель-политика со сплит-туннелем
!
туннельная группа EXAMPLE-VPN типа удаленного доступа
туннельная группа EXAMPLE-VPN общие атрибуты
 адресный пул VPNPOOL
 default-group-policy VPNPOLICY
Туннельная группа EXAMPLE-VPN ipsec-атрибуты
 ikev1 с предварительным общим ключом cisco
!
карта классов осмотра_дефо
  сопоставить трафик по умолчанию
 тип карты политик проверяет dns preset_dns_map
  параметры
     Максимальная длина сообщения 512
 карта политик global_policy
  класс inspe_default
   проверить днс preset_dns_map
   проверить FTP
   осмотреть h423 h325
   осмотреть H423 RAS
   проверить rsh
   проверить RTSP
   проверить esmtp
   проверить sqlnet
   осматривать тощий
   осмотреть sunrpc
   проверить xdmcp
   осмотреть глоток
   проверить нетбиос
   проверить TFTP
   проверить ip-опции
   проверить icmp
 политика обслуживания global_policy global
 

Я хочу указать на пару вещей в конфигурации выше.Обратите внимание, что я настроил сетевой объект «LAN-USERS», который имеет динамическую конфигурацию PAT. Это позволяет пользователям локальной сети подключаться к Интернету.

Во-вторых, я настроил групповую политику под названием «VPNPOLICY», где я указал DNS-сервер, который будет использоваться пользователями VPN с удаленным доступом, а также указал, что весь трафик должен быть туннелирован.

Наконец, я добавил проверку ICMP к конфигурации политики MPF по умолчанию на ASA. Это позволяет ASA-трафику проверять ASA, поэтому мне не нужно явно разрешать ICMP в списке доступа, применяемом на ASA.Это только для целей тестирования.

Совет : Cisco ASA в GNS3 не поставляется с конфигурацией политики по умолчанию на Cisco ASA. Вы можете скопировать эту конфигурацию по умолчанию отсюда. В случае, если у вас нет доступа к Интернету, и вам нужна эта конфигурация по умолчанию, переключите брандмауэр в многоконтекстный режим, перезагрузите его, верните обратно в режим одного контекста, перезагрузите, и тогда у вас будет конфигурация политики по умолчанию: D.

Теперь давайте подключимся от VPN-клиента к ASA.Клиент VPN, который я буду использовать, установлен на виртуальной машине Windows XP, которая также подключена к сети 192.168.137.0/24. Конечно, в реальном сценарии пользователь будет где-то в Интернете.

Прежде чем подключиться, я хочу показать вам, что у пользователя есть подключение к Интернету.

В клиенте Cisco VPN я настроил VPN-соединение следующим образом:

После того, как я подключаюсь к VPN-туннелю, мне назначают IP-адрес из локального пула IP, который мы настроили на ASA.Вы также заметите, что DNS-сервер (8.8.8.8), который мы настроили для назначения этому адаптеру Cisco Systems VPN:

Если мы проверим детали маршрута на VPN-клиенте, мы увидим, что весь трафик отправляется через VPN-туннель:

Все это базовая конфигурация VPN для удаленного доступа. Теперь давайте подтвердим наши требования. Во-первых, давайте посмотрим, можем ли мы пропинговать IP-адрес в локальной сети (10.1.1.1) от клиента VPN.

Пинг неудачен.Если вы включили вход в систему ASA во время пинга, вы увидите сообщение, подобное приведенному ниже:

В данном случае это сообщение в основном говорит нам о том, что прямой трафик (10.2.2.1 по 10.1.1.1) не соответствует ни одному правилу NAT, а обратный трафик (10.1.1.1 по 10.2.2.1) соответствует правилу NAT.

Подсказка : обратный трафик соответствует правилу NAT, которое мы настроили для пользователей локальной сети для доступа в Интернет.

Чтобы решить эту проблему, нам нужно настроить идентификационный NAT между сетью LAN и пулом VPN следующим образом:

 объектная сеть LAN-USERS
 подсеть 10.1.1.0 255.255.255.0
объект сети VPN-POOL
 подсеть 10.2.2.0 255.255.255.240
!
nat (внутри, снаружи) источник статический LAN-USERS LAN-USERS назначение статический VPN-POOL VPN-POOL
 

Примечание : Если вы попытаетесь создать сетевой объект, используя диапазон , параметр с тем же диапазоном, что и локальный пул IP, вы можете получить следующую ошибку: «Адреса перекрываются с существующим диапазоном локального пула». Это ошибка в версии ASA до 8.4 (3). Если вы не можете обновить версию ASA, используйте опцию подсети , как я делал выше, хотя в итоге вы можете добавить больше IP-адресов, чем у вас в локальном пуле IP.Есть и другие обходные пути, но я не беспокоюсь об этом в этом лабораторном сценарии.

Теперь, если мы пингуем снова, пинг успешен:

Это подводит нас ко второму требованию доступа в Интернет для пользователей VPN. По умолчанию VPN-клиент не сможет получить доступ к Интернету.

Есть две вещи, которые нам нужны, чтобы это работало. Во-первых, нам нужно настроить NAT для пула VPN, чтобы иметь возможность доступа к Интернету так же, как мы делали это для пользователей локальной сети.Во-вторых, нам нужно включить разворотный трафик, потому что VPN-туннель заканчивается на внешнем интерфейсе, который также является тем же интерфейсом, который подключается к Интернету. Это означает, что трафик из VPN-туннеля должен возвращаться через тот же интерфейс, на котором он был получен.

Конфигурация для доступа в Интернет для пользователей VPN выглядит следующим образом:

 объект сетевой VPN-POOL
 nat (снаружи, снаружи) динамический интерфейс
!
Внутренний интерфейс разрешения трафика той же безопасности
 

Обратите внимание, что в конфигурации NAT в качестве интерфейса источника указывается «внешний».Можно подумать, что, поскольку это VPN-туннель, пользователи VPN фактически размещаются на «внутреннем» интерфейсе, но это не так.

Если мы снова протестируем наш пинг Google, он пройдет:

Я также могу открыть веб-браузер и перейти на google.com, а затем подтвердить, что трафик действительно проходит через ASA. Я делаю это, выполняя команду show conn и фильтруя вывод, чтобы увидеть только IP-адрес Google.

Резюме

Чтобы подвести итоги этой статьи о том, как разрешить пользователям VPN подключаться к внутренней сети за Cisco ASA, а также получать доступ к Интернету через VPN-туннель, необходимо сделать следующее:

1. Настройте Identity NAT для внутренней сети и пула VPN, чтобы пользователи VPN могли взаимодействовать с внутренней сетью.

2. Настройте NAT (возможно, динамический NAT / PAT) для пула VPN, чтобы пользователи VPN могли подключаться к Интернету.

3. Включите разворотный трафик (или шпильку), если VPN-туннель завершен на том же интерфейсе, через который ASA подключен к Интернету.

Ссылка

Клиент виртуального интранет-доступа Aruba

Aruba Policy Enforcement Firewall для агента Aruba Controller VIA

Aruba PEF VIA Лицензия на контроллер 620

# JW488AAE
Объявленная рыночная цена: $ 400.00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на 650 контроллеров

# JW489AAE
Цена по прейскуранту: $ 800,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 651

# JW490AAE
Цена по прейскуранту: $ 800.00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 3200

# JW491AAE
Объявленная рыночная цена: $ 2 700,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 3400

# JW492AAE
Прайс-лист: $ 4 900,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 3600

# JW493AAE
Цена по прейскуранту: 4900 долларов.00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер M3

# JW494AAE
Прайс-лист: $ 4 900,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7005

# JW495AAE
Объявленная рыночная цена: $ 400.00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7010

# JW496AAE
Цена по прейскуранту: $ 800.00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7024

# JW497AAE
Цена по прейскуранту: $ 800,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7030

# JW498AAE
Объявленная рыночная цена: $ 2 700,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7205

# JW499AAE
Цена по прейскуранту: долларов США.00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7210

# JW500AAE
Объявленная рыночная цена: $ 16 000,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7220

# JW501AAE
Объявленная рыночная цена: $ 24 000,00
Добавить в корзину по нашей цене

Aruba PEF VIA Лицензия на контроллер 7240

# JW502AAE
Цена по прейскуранту: $ 32 000.00
Добавить в корзину по нашей цене

Аруба Усовершенствованная криптография

Aruba Advanced Cryptography Лицензия на 8 сессий

# JW538AAE
Прайс-лист: $ 920,00
Добавить в корзину по нашей цене

Aruba Advanced Cryptography 32 Лицензия на сеанс

# JW539AAE
Объявленная рыночная цена: $ 3250.00
Добавить в корзину по нашей цене

Aruba Advanced Cryptography Лицензия на 64 сессии

# JW540AAE
Добавить в корзину по нашей цене

Aruba Advanced Cryptography Лицензия 128 сессий

# JW541AAE
Цена по прейскуранту: 9,450 долл. США.00
Добавить в корзину по нашей цене

Aruba Advanced Cryptography Лицензия на 256 сеансов

# JW542AAE
Объявленная рыночная цена: $ 16 490,00
Добавить в корзину по нашей цене

Aruba Advanced Cryptography 512 Session License

# JW543AAE
Прайс-лист: $ 28 600,00
Добавить в корзину по нашей цене

Aruba Advanced Cryptography Лицензия на 1024 сеансов

# JW544AAE
Цена по прейскуранту: 46 500 долларов США.00
Добавить в корзину по нашей цене

Aruba TACT-PEFV Контроллер виртуальной мобильности для виртуальных политик Лицензия

# JW334AAE
Цена по прейскуранту: $ 800,00
Добавить в корзину по нашей цене

удаленного доступа pfSense через OpenVPN

Пересмотрено 9 сентября 2017 года.

Типичная домашняя настройка может включать в себя запуск множества служб, к которым пользователь может захотеть получить доступ, например, вдали от дома или офиса, камер видеонаблюдения, медиаколлекций и инструментов мониторинга системы. Можно открыть множество портов брандмауэра, чтобы обеспечить удаленный доступ ко всем вашим локальным службам, но раскрытие большего, чем это абсолютно необходимо, увеличивает риск несанкционированного проникновения.Я предоставляю безопасный VPN-туннель в мою сеть, который обеспечивает доступ ко всем моим локальным услугам. Это руководство будет основано на предыдущих базовых руководствах pfSense и покажет, как настроить pfSense и устройство iOS для удаленного доступа к внутренним серверам.

внешний DNS

Большинство потребительских интернет-соединений предоставляют услугу через динамический IP-адрес, а не статический, чтобы мы могли определить местонахождение нашей сети, нам нужно настроить динамический DNS-сервис в pfSense, который можно обновлять с помощью нашего локального WAN-адреса по мере его изменения.PfSense поддерживает несколько провайдеров динамического DNS, перейдите в раздел «Службы»> «DynamicDNS» и откройте раскрывающийся список типов служб, чтобы просмотреть параметры.

Я буду использовать Amazons Route 53 для этого руководства. Мы создадим тестовую запись DNS в службе DNS Route53 для access.nguvu.org, которая будет обновлена ​​с использованием моего WAN-адреса. В зависимости от того, какую службу динамического DNS вы выбрали, ваши настройки авторизации могут немного отличаться.

Динамический DNS

Перейдите к Сервисам> Динамический DNS

• Нажмите Добавить
• Тип услуги: Route53
• Интерфейс для мониторинга — WAN
• Имя хоста: доступ.nguvu.org
• MX: бланк
• Подстановочные знаки: []
• Подробная регистрация: []
• HTTP API Параметры SSL: []
• Имя пользователя: Route53 ID ключа доступа
• Пароль: Route53 Секретный ключ доступа
• Подтверждение пароля: снова пользователь секретного ключа доступа Route53
• ID зоны: ID зоны, которую вы получили, когда создали свой домен на маршруте 53
• TTL: 300
• Описание: SOHO WAN
• Нажмите Сохранить и принудительно обновить

Если все правильно, ваша запись динамического DNS должна быть обновлена ​​до записи вашего интерфейса WAN.Мы будем использовать эту запись в наших настройках VPN-туннеля позже.

Из командной строки выполните поиск DNS, чтобы убедиться, что правильный адрес корректно возвращается (я запутал ответ на адрес ниже)

  $ nslookup access.nguvu.org
Сервер: 8.8.8.8
Адрес: 8.8.8.8 # 53

Неофициальный ответ:
Имя: access.nguvu.org
Адрес: 1.2.3.4
  

Создать «Roadwarrior» центр сертификации

Чтобы защитить доступ к нашей сети SOHO, нам нужно создать центр сертификации для проверки устройств, пытающихся получить доступ.

Перейдите в Система> Диспетчер сертификатов> CA

Создать / Редактировать CA

• Описательное имя = Roadwarrior_CA
Метод
• = Создать внутренний центр сертификации

Внутренний центр сертификации

Длина ключа
• = 4096
Алгоритм дайджеста
• = SHA256
• Срок службы (дней) 3650
• Код страны = Ваша страна
• Штат или провинция = Ваш штат
• Город = Ваш Город
• Организация = Ваша Организация
Адрес электронной почты
• = Ваш адрес электронной почты
• Общее имя = внутренний-ок
• Сохранить

После создания убедитесь, что ваш центр сертификации выглядит следующим образом

Создайте сертификат «Roadwarrior»

Перейдите в Система> Диспетчер сертификатов> Сертификаты

Выбрать Создать внутренний сертификат

Добавить новый сертификат

• Описательное название: Roadwarrior_cert

Внутренний сертификат

• Центр сертификации = Roadwarrior_CA
Длина ключа
• = 4096
Алгоритм дайджеста
• = SHA256
• Срок службы (дней) 3650
• Код страны = Ваша страна
• Штат или провинция = Ваш штат
• Город = Ваш Город
• Организация = Ваша Организация
Адрес электронной почты
• = Ваш адрес электронной почты
• Common Name = roadwarrior_cert
• Альтернативные имена = полное доменное имя или имя хоста «pfsense.local.lan ”
• Сохранить

Тип сертификата
• = Сертификат сервера
• Альтернативные имена
  — Тип: полное доменное имя или имя хоста
  — Значение: пусто

Сохранить

Убедитесь, что ваш сертификат выглядит следующим образом

Создать список отзыва сертификатов

Вам понадобится список отзыва для того, если / когда вам нужно истечь срок действия созданных вами сертификатов.Хотя это не требуется для того, чтобы наш удаленный доступ работал, его создание тривиально, и мы тоже можем.

Перейдите в Система> Сертификаты> Отзыв сертификата

• Рядом с Roadwarrior_CA нажмите Добавить или импортировать CRL
Метод
• = Создать внутренний список отзыва сертификатов
• Описательное название = Roadwarrior_CRL
• Центр сертификации: Roadwarrior_CA

Внутренний список отзыва сертификатов

• дней жизни = 9999
• Серийный 0
• Нажмите Сохранить

Создайте сервер OpenVPN

Теперь мы создадим сервер OpenVPN, к которому будут подключаться удаленные устройства.Мы изменим порт по умолчанию с 1194 на 443, так как этот порт часто закрыт в удаленных сетях.

Перейдите к VPN> OpenVPN> Сервер

Нажмите + Добавить

Общая информация

• Отключено = []
• Режим сервера = Удаленный доступ (SSL / TLS)
Протокол
• = UDP на IPv4 только
• Режим устройства = Tuner Layer 3 Tunnel Mode
• Интерфейс = WAN
• порт = 443
• Описание = Roadwarrior VPN

Криптографические настройки

• Конфигурация TLS = [x]
• Автоматически создать общий ключ аутентификации TLS = [x]
• Сертифицирующий центр Peer = Roadwarrior_CA
• Список аннулированных сертификатов = Roadwarrior_CRL (CA: Roadwarrior_CA)
• Сертификат сервера = Roadwarrior_cert (Сервер Да, CA: Roadwarrior_CA)
• Длина параметра DH = 2048 бит
• ECDH кривая = по умолчанию
• Алгоритм шифрования = AES-256-CBC (256-битный, 128-битный блок)
• Включить NCP = [x]
• Разрешенные алгоритмы шифрования NCP: AES-256-GCM, AES-256-CBC Сверху вниз и важен порядок
Алгоритм аутентификации
• = SHA1 (160 бит)
• Аппаратное шифрование = процессор Intel RDRAND — RAND
Глубина сертификата
• = один (клиент + сервер)

Настройки туннеля

• туннель IPv4 = 192.168.200.0 / 24
• туннель IPv6 = пусто
• Redirect Gateway = [x] Принудительно весь клиентский трафик через туннель.
• одновременных подключений = 10
Сжатие
• = адаптивное сжатие LZO
• принудительное сжатие = [x]
• Тип обслуживания = []
• Межклиентская связь = []
• Повторяющееся соединение = []

Настройки клиента

• Динамический IP = [x]
Топология
• = Подсеть — один IP-адрес на клиента в общей подсети

Расширенные настройки клиента

• DNS-домен по умолчанию = [x]
• DNS-домен по умолчанию = локальный.LAN
• DNS-сервер включен = [x]
DNS-сервер
• 1 = 192.168.200.1
• DNS-сервер 2 = пусто
• DNS-сервер 3 = пусто
• DNS-сервер 4 = пусто
• Блок вне DNS = [x]
• Принудительное обновление кэша DNS = [x]
NTP-сервер
• включен = [x]
NTP-сервер
• 1 = 192.168.200.1
NTP-сервер
• 2 = пусто
• NetBIOS enable = []

Расширенные настройки

• Настраиваемые параметры = предупреждений об отключении воспроизведения может понадобиться, если в журналах отображается много предупреждений об воспроизведении
• UDP Быстрый ввод / вывод = [x]
• буфер отправки / получения = 512 КБ
• Уровень детализации: по умолчанию
• Сохранить

Назначить интерфейс OpenVPN

Теперь мы можем создать интерфейс на основе только что созданного сервера OpenVPN.

Перейти к интерфейсам> Назначить

Выберите «ovpns4 (Roadwarrior VPN)»
. Нажмите «Добавить

Нажмите на интерфейс OPTx рядом с сетевым портом Roadwarrior VPN

• Включить = [√]
• Описание = RW_VPN
• Тип конфигурации IPv4 = Нет
• Тип конфигурации IPv6 = Нет
• Mac управления: Бланк
• MTU = пусто
• MSS = бланк
• Блокировать частные сети = []
• Блочные богонные сети = []
• Сохранить и применить изменения

После того, как вы сохранили и применили изменения, ваш интерфейс должен выглядеть следующим образом

Назначение OpenVPN маршрутизации сервера

Перейдите в Система> Маршрутизация

Нажмите значок «Копировать шлюз» рядом со шлюзом RW_VPN_VPNV4

• Отключено = []
• Интерфейс = RW_VPN
• семейство адресов = IPv4
• Имя = RW_VPN
• Шлюз = Динамический
• Шлюз по умолчанию = []
• Мониторинг шлюза = []
• Действие шлюза = []
• IP монитора = 8.8.8.8 или используйте другой надежный общедоступный DNS-сервер
• Описание = Интерфейс RW_VPN Шлюз
• Сохранить и применить

Установить правила брандмауэра RW_VPN

В этом разделе используются несколько псевдонимов, которые я использовал в моей базовой конфигурации pfSense. Пожалуйста, обратитесь к этому руководству, если это не имеет смысла для вас. Настройте правила интерфейса сервера OpenVPN, чтобы разрешить следующий доступ

• Разрешить пинг для отладки сети
• Разрешить доступ к моим локальным подсетям (LOCAL_SUBNETS) только на утвержденных портах (Allowed_OUT_ports_LAN)
• Разрешить доступ в Интернет через мою группу шлюзов VPN только на утвержденных портах (Allowed_OUT_ports_WAN)

Перейдите к Межсетевому экрану> Правила и выберите RW_VPN

Allow Pings для диагностики сети

• Нажмите ‘↴ +’
• Действие: Pass
• Отключено = []
• Интерфейс: RW_VPN
• Семейство адресов: IPv4
Протокол
• : ICMP
• Тип ICMP = Любой
• Источник: RW_VPN net
• Пункт назначения: любой
• Журнал: []
• Описание: RW_VPN: Мини ICMP
• Нажмите [Сохранить]

Разрешить трафик в локальные подсети (псевдоним LOCAL_SUBNETS) только на разрешенных портах (псевдоним Allowed_OUT_ports_LAN).

• Нажмите ‘↴ +’
• Действие: Pass
• Отключено = []
• Интерфейс: RW_VPN
• Семейство адресов: IPv4
Протокол
• : TCP / UDP
• Источник: RW_VPN net
• Пункт назначения:
  — инвертировать соответствие: []
  — Один хост или псевдоним
  — LOCAL_SUBNETS
• Диапазон портов назначения:
  — От: Другое
  — Пользовательский: Allowed_OUT_ports_LAN
  — Кому: Другой
  — Пользовательский: Allowed_OUT_ports_LAN
• Журнал: []
• Описание: RW_VPN: пропуск местного трафика
• Нажмите [Сохранить]

Передача разрешенного интернет-трафика через шлюз VPN

• Нажмите ‘↴ +’
• Действие: Pass
• Отключено = []
• Интерфейс: RW_VPN
• Семейство адресов: IPv4
Протокол
• : TCP / UDP
• Источник: RW_VPN net
• Пункт назначения:
  — Инвертировать соответствие: [√]
  — Один хост или псевдоним
  — Адрес: LOCAL_SUBNETS
• Диапазон портов назначения:
  — От: Другое
  — Пользовательский: Allowed_OUT_ports_WAN
  — Кому: Другой
  — Пользовательский: Allowed_OUT_ports_WAN
• Log = []
• Описание: RW_VPN: пройти одобренный интернет через VPN_GROUP
• Нажмите Дополнительные параметры
Шлюз
• : VPN_Group
• Нажмите [Сохранить]

Блок и лог по умолчанию IPv4

• Нажмите ‘↴ +’
• Действие: Отклонить
• Отключено = []
• Интерфейс: RW_VPN
• Семейство адресов: IPv4
Протокол
• : любой
• Источник: Любой
• Пункт назначения: любой
• Журнал: [√]
• Описание: RW_VPN: отклонение по умолчанию IPv4
• Нажмите [Сохранить]

Блок по умолчанию IPv6

• Нажмите ‘↴ +’
• Действие: Отклонить
• Disbaled = []
• Интерфейс: RW_VPN
• Семейство адресов: IPv6
Протокол
• : любой
• Источник: Любой
• Пункт назначения: любой
• Журнал: []
• Описание: RW_VPN: отклонение по умолчанию IPv6
• Нажмите [Сохранить]

Ваш интерфейс RW_VPN должен выглядеть следующим образом.

Разрешить доступ OpenVPN для порта WAN

Теперь мы откроем порт на нашем брандмауэре, чтобы разрешить доступ к серверу OpenVPN, который работает на порту 443.

Перейти к брандмауэру> WAN

Выбрать ↑ Добавить

• Действие: Pass
• Отключено = []
• Интерфейс: WAN
• Семейство адресов: IPv4
Протокол
• : UDP
• Источник: Любой
• Пункт назначения:
  — Инвертировать соответствие = []
  — Адрес: WAN-адрес
• Порт назначения: Диапазон:
  — От: HTTPS (443)
  — До: HTTPS (443)
• Журнал: []
• Описание: WAN: Разрешить RW_VPN
• Сохранить и применить

Ваш WAN-интерфейс должен выглядеть следующим образом.

Разрешить разрешение DNS

Перейдите к Сервисам> DNS Resolver

В раскрывающемся списке Сетевые интерфейсы добавьте RW_VPN к выбору, чтобы включить разрешение DNS для удаленных устройств.

Сохранить и применить

Настройка исходящего NAT для входящего VPN-соединения

NAT необходим для преобразования частного локального IP-адреса входящих устройств (192.168.200.0/24) в глобальное зарегистрированное адресное пространство. Мы настроим это для наших нескольких шлюзов VPN_WAN. Если вы используете только один VPN-шлюз, вам потребуется только одно из этих трех правил.

Перейдите к Межсетевому экрану> NAT и выберите вкладку Outbound

Создать ‘RW_VPN для VPN_WAN` NAT

Нажмите ddДобавить

• Отключено =
• не NAT =
Интерфейс
• = VPN_WAN
Протокол
• = любой
• Источник
  — Тип = Сеть
  — Исходная сеть = 192.168.200.0 / 24
  — Порт источника: Пустой
• Пункт назначения
  — Тип = Любой
  — Адрес = Пусто
  — Порт пункта назначения: Пустой
• Не:
• Перевод
  — Адрес = Интерфейс Адрес
  — Порт =
• Разное
  — Описание = RW_VPN — VPN_WAN
• Нажмите Сохранить

Создать ‘RW_VPN для VPN2_WAN` NAT

Нажмите ddДобавить

• Отключено =
• не NAT =
Интерфейс
• = VPN2_WAN
Протокол
• = любой
• Источник
  — Тип = Сеть
  — Исходная Сеть = 192.168.200.0 / 24
  — Исходный порт: пустой
• Пункт назначения
  — Тип = Любой
  — Адрес = Пусто
  — Порт пункта назначения: Пустой
• Не:
• Перевод
  — Адрес = Интерфейс Адрес
  — Порт =
• Разное
  — Описание = RW_VPN для VPN2_WAN
• Нажмите Сохранить

Создать ‘RW_VPN для VPN_WAN` NAT

Нажмите ddДобавить

• Отключено =
• не NAT =
Интерфейс
• = VPN3_WAN
Протокол
• = любой
• Источник
  — Тип = Сеть
  — Исходная Сеть = 192.168.200.0 / 24
  — Исходный порт: пустой
• Пункт назначения
  — Тип = Любой
  — Адрес = Пусто
  — Порт пункта назначения: Пустой
• Не:
• Перевод
  — Адрес = Интерфейс Адрес
  — Порт =
• Разное
  — Описание = RW_VPN для VPN3_WAN
• Нажмите Сохранить

Обновление псевдонимов

Я использую псевдоним LOCAL_SUBNETS для определения трафика, который является внутренним и внешним. Нам нужно добавить наш новый диапазон адресов RW_VPN к этому адресу, чтобы обеспечить правильное сопоставление трафика с соответствующими правилами брандмауэра.

Перейдите к Межсетевому экрану> Псевдонимы

Щелкните значок карандаша рядом с псевдонимом LOCAL_SUBNETS, чтобы изменить список.

Добавьте диапазон адресов RW_VPN, т.е.

• 192.168.200.0 / 24 «RW_VPN»

Нажмите Сохранить и применить

Ваш псевдоним LOCAL_SUBNETS должен выглядеть следующим образом.

  >>> Установка pfSense-pkg-openvpn-client-export ...
Обновление каталога репозитория pfSense-core ...
Утилита pfSense-core обновлена.
Обновление каталога репозитория pfSense ...
Репозиторий pfSense обновлен.
Все хранилища обновлены.
Будут затронуты следующие 4 пакета (из 0 отмечены):

Новые пакеты для установки:
        pfSense-pkg-openvpn-client-export: 1.4.13_1 [pfSense]
        openvpn-client-export: 2.4.3_4 [pfSense]
        zip: 3.0_1 [pfSense]
        p7zip: 16.02 [pfSense]

Количество устанавливаемых пакетов: 4

Процесс потребует на 18 МБ больше места.
11 MiB для скачивания.
[1/4] Извлечение pfSense-pkg-openvpn-client-export-1.4.13_1.txz: ... выполнено
[2/4] Извлечение openvpn-client-export-2.4.3_4.txz: .......... сделано
[3/4] Получение zip-3.0_1.txz: .......... сделано
[4/4] Загрузка p7zip-16.02.txz: .......... сделано
Проверка целостности ... выполнено (0 конфликтующих)
[1/4] Установка openvpn-client-export-2.4.3_4 ...
[1/4] Извлечение openvpn-client-export-2.4.3_4: .......... сделано
[2/4] Установка zip-3.0_1 ...
[2/4] Извлечение zip-3.0_1: .......... сделано
[3/4] Установка p7zip-16.02 ...
[3/4] Извлечение p7zip-16.02: .......... сделано
[4/4] Установка pfSense-pkg-openvpn-client-export-1.4.13_1 ...
Извлечение pfSense-pkg-openvpn-client-export-1.4.13_1: .......... сделано
Сохранение обновленной информации о пакете ...
сделано.
Загрузка конфигурации пакета ... сделано.
Настройка компонентов пакета ...
Загрузка пакета инструкции...
Пользовательские команды ...
Написание конфигурации ... сделано.
>>> Очистка кеша ... сделано.
успех
  

  2017-09-09 18:56:51 ----- OpenVPN Start -----
OpenVPN core 3.1.2 ios arm64 64-разрядная версия, созданная 5 декабря 2016 г. 12:50:25
2017-09-09 18:56:51 Frame = 512/2048/512 mssfix-ctrl = 1250
2017-09-09 18:56:51 НЕОБХОДИМЫЕ ВАРИАНТЫ
0 [persist-tun]
1 [постоянный ключ]
4 [tls-клиент]
7 [lport] [0]
8 [verify-x509-name] [Roadwarrior_cert] [name]

2017-09-09 18:56:51 СОБЫТИЕ: РАЗРЕШЕНИЕ
2017-09-09 18:56:51 Связаться с [xxxx: xxxx :: xx: x: x: xxxx: xxx]: 443 через UDP
2017-09-09 18:56:51 СОБЫТИЕ: ПОДОЖДИТЕ
2017-09-09 18:56:51 SetTunnelSocket вернул 1
2017-09-09 18:56:51 Подключение к [access.nguvu.org]: 443 (2607: 7700 :: 1a: 0: 1: 4c5b: 9d7) через UDPv6
2017-09-09 18:56:52 СОБЫТИЕ: ПОДКЛЮЧЕНИЕ
2017-09-09 18:56:52 Опции туннеля: V4, dev-type tun, link-mtu 1558, tun-mtu 1500, proto UDPv4, comp-lzo, keydir 1, шифр AES-256-CBC, аутентификация SHA1, размер ключа 256, tls-auth, ключ-метод 2, tls-клиент
2017-09-09 18:56:52 Кредиты: Имя пользователяEmpty / ПарольEmpty
2017-09-09 18:56:52 Информация для сверстников:
IV_GUI_VER = чистая.openvpn.connect.ios 1.1.1-212
IV_VER = 3.1.2
IV_PLAT = ИОС
IV_NCP = 2
IV_TCPNL = 1
IV_PROTO = 2
IV_LZO = 1
IV_AUTO_SESS = 1

2017-09-09 18:56:52 ПРОВЕРЬТЕ ОК: Глубина = 1
засвидетельствовано версия: 3
серийный номер: 00
Имя эмитента: C = США, ST = Мой штат, L = Мой город, O = Моя организация, [email protected], CN = internal-ca
Имя субъекта: C = США, ST = Мой штат, L = Мой город, O = Моя организация, [email protected], CN = internal-ca
выдан: 2016-03-02 01:32:46
истекает в: 2026-02-28 01:32:46
подписано с использованием: RSA с SHA-256
Размер ключа RSA: 4096 бит
основные ограничения: CA = true
использование ключа: Key Cert Sign, CRL Sign

2017-09-09 18:56:52 ПРОВЕРЬТЕ ОК: Глубина = 0
засвидетельствовановерсия: 3
серийный номер: 02
Имя эмитента: C = США, ST = Мой штат, L = Мой город, O = Моя организация, [email protected], CN = internal-ca
Имя субъекта: C = США, ST = Мой штат, L = Мой город, O = Моя организация, [email protected], CN = Roadwarrior_cert
выдан: 2016-03-02 02:08:49
истекает в: 2026-02-28 02:08:49
подписано с использованием: RSA с SHA-256
Размер ключа RSA: 4096 бит
основные ограничения: CA = false
имя субъекта alt: pfsense.local.lan
засвидетельствовано Тип: SSL-сервер
использование ключа: цифровая подпись, шифрование ключа
Использование ключа ext: аутентификация TLS на веб-сервере, ???

2017-09-09 18:56:52 SSL Handshake: TLSv1.2 / TLS-ECDHE-RSA-С-AES-256-GCM-SHA384
2017-09-09 18:56:52 Сессия АКТИВНА
2017-09-09 18:56:52 СОБЫТИЕ: GET_CONFIG
2017-09-09 18:56:52 Отправка PUSH_REQUEST на сервер ...
2017-09-09 18:56:52 ВАРИАНТЫ:
0 [dhcp-option] [DOMAIN] [local.lan]
1 [dhcp-option] [DNS] [192.168.200.1]
2 [dhcp-option] [NTP] [192.168.200.1]
3 [redirect-gateway] [def1]
4 [comp-lzo] [адаптивный]
5 [маршрут-шлюз] [192.168.200.1]
6 [топология] [подсеть]
7 [пинг] [10]
8 [ping-restart] [60]
9 [ifconfig] [192.168.200.2] [255.255.255.0]
10 [peer-id] [0]
11 [шифр] [AES-256-GCM]

2017-09-09 18:56:52 ВАРИАНТЫ ПРОТОКОЛА:
  шифр: AES-256-GCM
  Дайджест: SHA1
  компресс: LZO
  ID партнера: 0
2017-09-09 18:56:52 СОБЫТИЕ: ASSIGN_IP
2017-09-09 18:56:52 Неизвестная отправленная опция DHCP: [опция dhcp] [NTP] [192.168.200.1]
2017-09-09 18:56:52 TunPersist: сохранение контекста tun:
Название сессии: access.nguvu.org
Уровень: OSI_LAYER_3
Удаленный адрес: xxxx: xxxx :: xx: x: x: xxxx: xxx [IPv6]
Адреса туннелей:
  192.168.200.2/24 -> 192.168.200.1
Шлюз Reroute: IPv4 = 1 IPv6 = 0 флагов = [ENABLE REROUTE_GW DEF1 IPv4]
Блок IPv6: нет
Добавить маршруты:
Исключить маршруты:
DNS-серверы:
  192.168.200.1
Поиск Доменов:
  local.lan

2017-09-09 18:56:52 Подключен через туннель
2017-09-09 18:56:52 LZO-ASYM init swap = 0 asym = 0
2017-09-09 18:56:52 СОБЫТИЕ: ПОДКЛЮЧЕНО @access.nguvu.org:443 (xxxx: xxxx :: xx: x: x: xxxx: xxx) через / UDPv6 в Tun / 192.168.200.2 / gw = [192.168.200.1/]
2017-09-09 18:56:52 СетСтатус подключен
2017-09-09 18:56:53 NET Интернет: доступныйViaWWAN / WR t ------