Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC site-to-site между pfSense 2.3.2 и Kerio Control

    Scheduled Pinned Locked Moved Russian
    1 Posts 1 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pigbrother
      last edited by

      Вдруг кому-то понадобится.
      Использовались следующие ресурсы:
      https://habrahabr.ru/post/216215/
      http://forums.kerio.com/t/24401/kerio-ipsec-and-pfsense

      Начиная с версии 8.1 Kerio Control для создания туннелей VPN можно использовать не только пропиетарный протокол Kerio VPN, но и "правильный" IPSec.

      Рассматриваем случай, когда Kerio ждет подключения (responder) а  pfSense инициирует соединение (initiator).
      Внешний IP Kerio -1.1.1.1, сеть за Kerio 192.168.0.0/24. Внешний IP pfSense 2.2.2.2, сеть за pfSense 10.0.2.0/24

      На стороне Kerio необходимо на стороне Control создать новый туннель IPsec с следующими настройками:

      Имя - Любое, понятное вам
      Галка "Включить данный туннель"
      Пассивное - только принимает входящие подключения

      Вкладка Аутентификация
      Предопределенный ключ - secretkey задаем и запоминаем
      Локальный ИД - используем IP Kerio -1.1.1.1
      Отдаленный ИД - используем  IP pfSense 2.2.2.2

      Вкладка Удаленные сети
      Указываем сеть за  pfSense 10.0.2.0/24

      Вкладка Локальные сети
      Указываем сеть за  сеть за Kerio 192.168.0.0/24

      На этом богатство настроек IPSEC для Керио заканчивается.

      На стороне pfSense:
      VPN->Psec

      Создаем phase 1:
      Key Exchange version V1
      Internet Protocol IPv4
      Interface - Выбираем WAN, который, собственно получает  IP 2.2.2.2
      Remote Gateway  Внешний IP Kerio 1.1.1.1
      Authentication Method - Mutual PSK
      Negotiation mode  Main
      My identifier My IP Address
      Peer identifier Peer IP Address
      Pre-Shared Key  secretkey , заданный в настройках Kerio
      Encryption Algorithm 3DES
      Hash Algorithm SHA1
      DH Group  5(1536 bit)
      Lifetime (Seconds) 10800
      Disable rekey НЕ отмечаем
      Responder Only НЕ отмечаем
      NAT Traversal AUTO
      Dead Peer Detection НЕ отмечаем

      Создаем phase 2:
      Mode Tunnel IPv4
      Local Network 10.0.2.0/24
      NAT/BINAT translation[ b]None
      Remote Network 192.168.0.0/24
      Protocol ESP
      Encryption Algorithms 3DES
      Hash Algorithms SHA1
      PFS key group off
      Lifetime 3600
      Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.

      Firewall->Rules->IPsec
      Добавляем каноническое правило

      IPv4 * * * * * * none

      Наблюдаем за статусом туннеля
      Status->IPsec
      После поднятия phase 2 сети должны стать взаимно доступны.
      Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN.

      1 Reply Last reply Reply Quote 1
      • P pigbrother referenced this topic on
      • P pigbrother referenced this topic on
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.