IPSEC site-to-site между pfSense 2.3.2 и Kerio Control
-
Вдруг кому-то понадобится.
Использовались следующие ресурсы:
https://habrahabr.ru/post/216215/
http://forums.kerio.com/t/24401/kerio-ipsec-and-pfsenseНачиная с версии 8.1 Kerio Control для создания туннелей VPN можно использовать не только пропиетарный протокол Kerio VPN, но и "правильный" IPSec.
Рассматриваем случай, когда Kerio ждет подключения (responder) а pfSense инициирует соединение (initiator).
Внешний IP Kerio -1.1.1.1, сеть за Kerio 192.168.0.0/24. Внешний IP pfSense 2.2.2.2, сеть за pfSense 10.0.2.0/24На стороне Kerio необходимо на стороне Control создать новый туннель IPsec с следующими настройками:
Имя - Любое, понятное вам
Галка "Включить данный туннель"
Пассивное - только принимает входящие подключенияВкладка Аутентификация
Предопределенный ключ - secretkey задаем и запоминаем
Локальный ИД - используем IP Kerio -1.1.1.1
Отдаленный ИД - используем IP pfSense 2.2.2.2Вкладка Удаленные сети
Указываем сеть за pfSense 10.0.2.0/24Вкладка Локальные сети
Указываем сеть за сеть за Kerio 192.168.0.0/24На этом богатство настроек IPSEC для Керио заканчивается.
На стороне pfSense:
VPN->PsecСоздаем phase 1:
Key Exchange version V1
Internet Protocol IPv4
Interface - Выбираем WAN, который, собственно получает IP 2.2.2.2
Remote Gateway Внешний IP Kerio 1.1.1.1
Authentication Method - Mutual PSK
Negotiation mode Main
My identifier My IP Address
Peer identifier Peer IP Address
Pre-Shared Key secretkey , заданный в настройках Kerio
Encryption Algorithm 3DES
Hash Algorithm SHA1
DH Group 5(1536 bit)
Lifetime (Seconds) 10800
Disable rekey НЕ отмечаем
Responder Only НЕ отмечаем
NAT Traversal AUTO
Dead Peer Detection НЕ отмечаемСоздаем phase 2:
Mode Tunnel IPv4
Local Network 10.0.2.0/24
NAT/BINAT translation[ b]None
Remote Network 192.168.0.0/24
Protocol ESP
Encryption Algorithms 3DES
Hash Algorithms SHA1
PFS key group off
Lifetime 3600
Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.Firewall->Rules->IPsec
Добавляем каноническое правилоIPv4 * * * * * * none
Наблюдаем за статусом туннеля
Status->IPsec
После поднятия phase 2 сети должны стать взаимно доступны.
Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN. -
-