IPSEC site-to-site между pfSense 2.3.2 и Kerio Control



  • Вдруг кому-то понадобится.
    Использовались следующие ресурсы:
    https://habrahabr.ru/post/216215/
    http://forums.kerio.com/t/24401/kerio-ipsec-and-pfsense

    Начиная с версии 8.1 Kerio Control для создания туннелей VPN можно использовать не только пропиетарный протокол Kerio VPN, но и "правильный" IPSec.

    Рассматриваем случай, когда Kerio ждет подключения (responder) а  pfSense инициирует соединение (initiator).
    Внешний IP Kerio -1.1.1.1, сеть за Kerio 192.168.0.0/24. Внешний IP pfSense 2.2.2.2, сеть за pfSense 10.0.2.0/24

    На стороне Kerio необходимо на стороне Control создать новый туннель IPsec с следующими настройками:

    Имя - Любое, понятное вам
    Галка "Включить данный туннель"
    Пассивное - только принимает входящие подключения

    Вкладка Аутентификация
    Предопределенный ключ - secretkey задаем и запоминаем
    Локальный ИД - используем IP Kerio -1.1.1.1
    Отдаленный ИД - используем  IP pfSense 2.2.2.2

    Вкладка Удаленные сети
    Указываем сеть за  pfSense 10.0.2.0/24

    Вкладка Локальные сети
    Указываем сеть за  сеть за Kerio 192.168.0.0/24

    На этом богатство настроек IPSEC для Керио заканчивается.


    На стороне pfSense:
    VPN->Psec

    Создаем phase 1:
    Key Exchange version V1
    Internet Protocol IPv4
    Interface - Выбираем WAN, который, собственно получает  IP 2.2.2.2
    Remote Gateway  Внешний IP Kerio 1.1.1.1
    Authentication Method - Mutual PSK
    Negotiation mode  Main
    My identifier My IP Address
    Peer identifier Peer IP Address
    Pre-Shared Key  secretkey , заданный в настройках Kerio
    Encryption Algorithm 3DES
    Hash Algorithm SHA1
    DH Group  5(1536 bit)
    Lifetime (Seconds) 10800
    Disable rekey НЕ отмечаем
    Responder Only НЕ отмечаем
    NAT Traversal AUTO
    Dead Peer Detection НЕ отмечаем

    Создаем phase 2:
    Mode Tunnel IPv4
    Local Network 10.0.2.0/24
    NAT/BINAT translation[ b]None
    Remote Network 192.168.0.0/24
    Protocol ESP
    Encryption Algorithms 3DES
    Hash Algorithms SHA1
    PFS key group off
    Lifetime 3600
    Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.

    Firewall->Rules->IPsec
    Добавляем каноническое правило

    IPv4 * * * * * * none

    Наблюдаем за статусом туннеля
    Status->IPsec
    После поднятия phase 2 сети должны стать взаимно доступны.
    Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN.


Log in to reply