Tunel IPSec VPN entre pfSense y Astaro



  • Hola a todos,

    En mi empresa estamos intentando cambiar un Astaro Security Linux 6.0 por un pfSense 1.01, de momento tenemos el tema mas o menos controlado para las cosas basicas.

    Nos hemos atascado al crear un tunel IPSec con certificados, aunque con pre-shared keys ya lo hemos conseguido con 3DES y MD5, somos muy novatos en temas de IPSec, asi que puede ser cualquier tonteria.

    Nos gustaria saber si tenemos que crear una CA para cada maquina o con una es suficiente, quien genera los certificados, en que formato debo generar los certificados y lo que se tenga que saber para montar un tunel vpn con IPSec y certificados.

    Gracias.



  • Me podrias indicar los pasos para establecer el tunel entre el astaro y el pfsense?

    Gracias



  • ¡Hola!

    La herramienta más usual para gestionar certificados es OpenSSL.

    Si empleas máquinas UNIX/Linux tienes un excelente tutorial en http://www.eclectica.ca/howto/ssl-cert-howto.php.

    Para máquinas Windows, OpenVPN para Windows (http://openvpn.se/) incluye herramientas para gestionar certificados. En http://www.bellera.cat/josep/pfsense/openvpn_cs.html tienes explicado cómo se emplean estas herramientas en el caso de OpenVPN. He mirado las opciones de IPSEC y es bastante similar …

    No me queda claro que con la interfase gráfica de pfSense puedan unirse dos cortafuegos por IPSEC empleando certificados. Lo mismo ocurre con OpenVPN ...

    Todo parece orientado a que pfSense haga de servidor y al otro lado haya clientes móbiles (road warriors).

    Vengo empleando OpenSSL desde hace varios años, pero siempre lo he hecho en relaciones servidor/cliente (https, smtp+ssl, pop3+ssl, ...) y no sé realmente cómo hacerlo de servidor a servidor.

    Si alguien lo hace, sea por IPSEC o por OpenVPN, iría bien que lo explicase porque hay bastantes preguntas al respecto.

    Saludos,

    Josep Pujadas



  • Curioseando …

    Como que pfSense está basado en FreeBSD y, por lo visto, el IPSEC de pfSense emplea racoon, ahí va este artículo sobre FreeBSD IPSEC: Racoon + X.509 Certificates:

    http://ezine.daemonnews.org/200502/ipsec.html

    Puede servir para ver cómo tiene que hacerse y si la interfase web de pfSense lo permite …

    Saludos,

    Josep Pujadas


Log in to reply