با سلام خدمت دوستان عزیزم . توی این پست با setup کردن تونل IPSec به صورت site-to-site و نحوه تنظیمات مربوط به فایروال pfsense در خدمتتون هستم . خوب در ابتدا در رابطه با IPSec یه توضیحاتی بدم ، این پروتکل برای این منظور طراحی شده که بتواند بسته (Packet) های اطلاعاتی TCP/IP را توسط کلید عمومی ( همان روش PKC) رمز کند تا در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشد.

به بیان دیگر کامپیوتر مبدا بسته اطلاعاتی TCP/IP عادی را بصورت یک بسته اطلاعاتی IPSec بسته بندی (Encapsulate) می کند و برای کامپیوتر مقصد ارسال میکند. این بسته تا زمانی که به مقصد برسد رمز شده است و طبیعتا” کسی نمی تواند از محتوای آنها اطلاع بدست آورد. باوجود آنکه بنظر سیستم ساده ای می آید اما باید راجع به آن مطالب بیشتری بدانید. بدیهی ترین نکته آن است که استفاده از این پروتکل زمان نقل و انتقال اطلاعات را بیشتر می کند چرا که هم حجم اطلاعات بیشتر می شود و هم زمانی برای رمز کردن و رمزگشایی. بنابراین بهتر آن است که جز در موارد خاص که علاقه ندارید کسی در شبکه فعالیت های شما را متوجه شود از این پروتکل استفاده کنید. بخصوص که شما می توانید با تعریف سیاست هایی به Windows بگویید که در چه مواردی از آن استفاده کند و در چه مواردی نه. شما می توانید با دادن یک سری دستورالعمل ها به Windows، او را تعلیم دهید که تحت چه شرایطی از IPSec استفاده کند. تحت این شرایط شما در واقع مشخص می کنید که ترافیک کدام گروه از IP ها باید توسط IPSec انجام شود و کدامیک نشود برای این منظور معمولا” از روش ***** کردن IP استفاده می شود. فهرست خاصی از IP های ***** شده که شما تهیه می کنید می تواند مرجعی برای استفاده از پروتکل IPSec برای ویندوز باشد. بدیهی است برای انجام اینکار علاوه بر آشنایی با ویندوز، شما باید تا اندازه ای با شبکه ای که به آن متصل هستید آشنا بوده و اطلاعات اولیه ای را داشته باشید. برای این منظور باید از کنسول مدیریتی ویندزو (Microsoft Management Console) استفاده کرده و از snap-in های مربوط به IPSec برای تعریف سیاست های نامبرده شده استفاده کنید IPSec Policy . خوب برای رسیدن به هدفی که توی عنوان ذکر شده باید یک V+P+N روی Pfsense در حالت تونل داشته باشیم و برای data encryption باید از پروتکل ESP استفاده کنیم .

دیاگرام کار

ipsec

شکل بالا نمونه ساده ای از یک ارتباط سایت تو سایت هست با یک درگاه Secure که دو شبکه داخلی LAN1 و LAN2 رو به هم مرتبط میکنه ، شبکه ای که بهش متصل می شیم Cisco/OpenBSD هست و روی شبکه خودمون pfsense راه اندازی میشه .

کانفیگ v+p+n روی gateway سیسکو / اوپن بی اس دی

فاز 1 :

Ip Address : 122.16.7.42

GateWay : 173.191.1.42

Preshared Key : YOUR-password-key

Encryption : 3DES

Authentication : MD5

Diffie-Hellman Group : 2

Keylife : 14400

فاز 2 :

Encryption : 3DES

Authentication : MD5

Perfect Forward Secrecy (PFS) : Yes

Diffie-Hellman Group : 2

Keylife : 3600

Internal Subnets : 192.168.1.0/24

Remote Subnets : 10.10.29.64/26 and 10.12.249.192/26

کانفیگ Pfsense

فایروال pfsense باید برای شکه داخلی درست کانفیگ بشه و کار کنه ، هر دو طرف باید از non-overlapping آی پی ساب نت استفاده کنند ، فرض میکنیم یوزر اینترفیس فایروال https://192.168.1.254/ باشه .

pfsense_login

بعد از ورود Setup the v+p+n tunnel ، طبق شکل زیر عمل میکنیم :

pfsense-2

بعد از زدن تیک enable ipsec مورد 2 و 3 رو کلیک میکنیم

add-vpn-3

بعد برای اعمال تنظیماتی که در فاز یک گفتم روی + کلیک میکنیم و طبق تصویر زیر اطلاعات خواسته شده رو کامل میکنیم :

add-phase-1-config-4

بعد از زدن دکمه save با تصویر زیر مواجه میشید که باید apply کنید :

vpn-6

خوب بعدش باید فاز دو رو کانفیگ کنیم ، به شکل زیر عمل میکنیم :

vpn-phase-2

بعد هم تنظیمات و اطلاعاتی که برای فاز دو گفتیم رو به شکل زیر وارد میکنیم :

phase-2-vpn-7

حالا که فاز یک و فاز دو رو به صورتهای بالا اعمال تنظیمات کردیم باید به رول های فایروال pfsense بپردازیم .

برای دیدن تنظیمات و رول هایی که به صورت پیشفرض روی wan اضافه شده از دستور زیر توی ترمینال میتونیم استفاده کنیم :

خروجی به شکل زیر خواهد بود :

برای اعمال تنظیمات بسته به دید خودتون باید از قسمت Firewall > Rules and IPsec این کار رو انجام بدید .

برای دیدن وضعیت کنونی IPSec V+P+N باید از قسمت status > IPSec این کار رو بکنید .

 

vpn-status-8

که بعد با تصویر زیر مواجه میشید :

 

vpn-9-status

بعد از اینکه روی کانکت کلیک میکنیم تصاویر زیر رو خواهیم دید :

 

status-log-4 status-overview-1 status-spd-3 status-sad-2

برای تست وی+پی+ان از Local network میتونیم ارتباط رو چک کنیم :

خوب امیدوارم که این آموزش براتون مفید واقع بشه.

پیروز و سربلند باشید .

 

نویسنده : محمد ورمزیار
ایمیل نویسنده : info@OSLearn.ir
منبع : وب سایت او اس لرن – http://oslearn.ir
از مطالب وب سایت راضی هستید ؟ رضایت خودتون رو با دونیت به ما اعلام کنید. لطفا برای دونیت روی آیکون زیر کلیک کنید.
حمایت مالی

درباره نویسنده :

محمد ورمزیار هستم معروف به N3td3v!l ، دانشجوی کارشناسی ارشد فناوری اطلاعات ، از سال 2006 تا به حال در حوزه لینوکس و شبکه تحت عنوان هک و امنیت فعالیت میکنم ، اهل تهرانم ، دارای مدارک و تجربه در زمینه های CEH ، Security ، CCNA routing ، LPIC ، RHCE ، unix & BSD ، ISMS و علاقه شدیدی به کار روی مباحث جدید توی حوزه لینوکس و یونیکس دارم .

تمام پست های من - وب سایت من