PFSense server per smart working

cecio

Buongiorno a tutti.
vorrei utilizzare PFSense per creare una VPN con un pc che non abbia un firewall.
Vorrei un programmino da lanciare su un portatile e che questo portatile lavori come se fosse in azienda.

Esistono vari programmi che fanno questo ma non risco (AnyConnect della Cysco, OpenVpn o Wachguard)

Chi mi aiuta?
Grazie a tutti

kiokoman

metti pfsense in ufficio e crei il server vpn seguendo il wizard
poi ti basta creare gli utenti su pfsense (nome utente e password in sostanza)
pfsense poi ha un pacchetto aggiuntivo che ti permette di esportare/generare l'installazione del software e la configurazione nei pc client
ci sono un sacco di video e tutorial su youtube.
se hai dei dubbi specifici puoi chiedere qui
ovviamente un minimo di conoscenza ci vuole altrimenti ti consiglio di affidarti a qualche tecnico nella tua zona che ti dia una mano

il programma aggiuntivo si chiama openvpn-client-export -> Allows a pre-configured OpenVPN Windows Client or Mac OS X's Viscosity configuration bundle to be exported directly from pfSense.

cecio

grazie, adesso ci provo!
PS uso gia PFSense come firewall adeoo provo il programmino aggiuntivo

grazie!

senseiluke

@cecio said in PFSense server per smart working:

grazie, adesso ci provo!
PS uso gia PFSense come firewall adeoo provo il programmino aggiuntivo

grazie!

Questo videotutorial è molto semplice da seguire. La prima parte ti guida anche nel setup di no-ip casomai non avessi un ip pubblico statico:

https://www.youtube.com/watch?v=dBOQnApxzzQ

Ciao

cecio

Ho una domanda: perchè si usa una tunnel Network a 24 bit?
io pensavo andasse bene a 30 bit perchè di questa rete si utilizzano soo 2 indirizzi IP

grazie a tutti

kiokoman

se fosse una site to site basterebbe una /30
ma se è una remote access ogni client consuma un ip del tunnel e non basterebbe

cecio

quindi basterebbe una /30 se si collegasse una sola persona
/29 se se ne collegano 3
/28 se se ne collegano 7 e coì via...

Giusto?

cecio

ho un problena: ho 2 firewalls.
su un firewall system/pakage manager/available pakages è disponibile ma sull'altro no.
non sembra essere un problema di DNS: li ho impostati e www.freshports.org risponde la ping (fatto dalla wan di PFsense)
Posso installare i pacchetti a mano?

kiokoman

no, per entrambe
/30 solo per site to site
/24 conviene sempre per remote access
se usi una /30 per remote access il client si collega una volta sola e se per qualche motivo si dovesse riconnettere l'unico ip che hai a disposizione risulterebbe ancora in uso fino alla scadenza del lease e non riuscirebbe ad ottenere un indirizzo ip dal tunnel.

non puoi installare a mano, deve venire fuori li, prova a riavviare quel firewall e/o a cambiare i dns

cecio

grazie per la spiegazione sul numero dei bit del tunnel

Ho già messo 4 DNS differenti
8.8.8.8
8.8.4.4
e i due di fastweb.
adesso provo a riavviare
grazie

cecio

ha funzionato!!!

cecio

ho trovato la guida perfetta!
si chiama Road Warrior (client to gateway)

https://www.firewallhardware.it/creare-una-vpn-road-warrior-client-to-gateway-con-pfsense-e-openvpn/

ancora grazie a tutti!

federicop

@kiokoman said in PFSense server per smart working:

o per site to site
/24 conviene sempre per r

ma se uno ha piu site to site - ovvero una sede pricipale server e due filiali secondarie non conviene mettere /29? e far collegare le due filiali al server con unica connesione (OpenVPN)?

mi sembra che avevo provato questa soluzione, ovvero collegare due client in contemporanea al server, poi ho dovuto optare per configurare due connessioni distinte site to site perchè non ne accettava due ip...

kiokoman

si ovvio, ma perchè stare li a contare? non è che di ipv4 locali te ne mancano. ci metti una /24 e sei apposto

federicop

@kiokoman said in PFSense server per smart working:

non è che di ipv4 locali te ne mancano.

a dire la verità ho controllato che è /24 ma cmq non accetta due IP!

cecio

se non ricordo male, quando imposti una VPN dalla parte server, devi indicare la classe IP della sede remota.
temo che tu non ne possa indicare 2 differenti altrimenti non saprebbe in quale VPN inviare i pacchetti.