pfSense – VPN site-to-site en 5 minutos

Hoy toca una cosa muy facil. Hacer una VPN site-to-site con pfSense, una distribución Linux que puede hacer las veces de firewall, router, proxy con filtrado de contenidos….la verdad es que está muy bien y puede servir a pequeñas oficinas o casas particulares para tener un firewall muy económico, montado en un PC viejuno medio retirado al que podremos de esta forma alargar la vida. También se puede adquirir precargado en dispositivos hardware que se pueden adquirir desde la misma página de pfSense.

A lo que vamos.  Para crear la VPN utilizaremos openVPN, que ya viene precargado en el pfSense. También soporta IPSec, pero por facilidad, sencillez y rapidez , utilizaremos openVPN.

El concepto básico de la arquitectura es que uno de los lados es el servidor y otro el cliente. Y como tal los vamos a configurar.

En el pfSense que hace de servidor

1.- Ir a VPN -> OpenVPN

2.- En la pestaña “Server”, dar al botón añadir
site-to-site-1

 

3.- Elegir “Peer to Peer (Shared Key)”

site-to-site-2

4.- Opciones de cifrado.  Elegimos “Generar Shared Key automáticamente”. El resto de parámetros del cifrado a nuestra elección

site-to-site-8

5.- Datos IP del tunelsite-to-site-3

6.- Le damos a guardar. Una vez guardado, veremos que en la parte de Opciones de cifrado, ya nos aparece la shared key que utilizaremos en nuestro tunel

site-to-site-9

 

Hasta aquí la parte servidora. Ahora vamos con la parte cliente. 

1.- En el pfSense cliente, vamos a VPN -> OpenVPN

2.- Pestaña de cliente y le damos Añadir

3.- Elegimos “Peer to Peer (Shared Key)” y rellenamos el resto de datos

site-to-site-4

4.- Opciones de cifrado dejamos lo de la generación automatica de la shared key.

5.- Rellenamos resto de parametros IP

site-to-site-6

 

6.- Le damos al botón de Guardar y de nuevo se nos ha habilitado la shared key. Peeeero, aquí tendremos que pegar la shared key que se ha generado en el servidor. Un copy paste fantástico

site-to-site-5

 

Y ya estaría listo.

Finalmente solo quedaría habilitar el tráfico a través del tunel, para ello vamos a la config del firewall, y en la pestaña OpenVPN, hacemos una regla que permita todo el tráfico:

site-to-site-7

Y ya estaría. En 5 minutos tenemos nuestro tunel funcionando 🙂



2 Comments

  • renson lopez

    Hola, muy interesante el post, pero tengo una gran duda, si en ambos sitios tengo redes distintas como por ejemplo en sitio 1 (192.168.2.0, 192.168.3.24 ….) y en sitio 2 tengo por ejemplo (192.168.15.0, 192.168.16.0 …) todas en ambos sitios de mascara de 24, puedo entonces en ambos extremos poner en remote network el dato 192.168.0.0

    Muchas gracias.

  • renson lopez

    Que pena, olvide anotar que las redes en ambos extremos no se solapan (no se repitan)

    Gracias

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.