Chuyển tới nội dung chính

Cấu hình VPN Site-to-Site với PfSense

Bài viết này hướng dẫn cách build thiết bị Pfsense để kết nối VPN Site-to-Site với dịch vụ VPN Site-to-Site của FPT Smart Cloud.

Mục lục

  1. Bước 1: Build Pfsense for Cloud
  2. Bước 2: Cấu hình cho VPN Site-to-Site
  3. Bước 3: Cấu hình cho Pfsense

Cần đảm bảo các điều kiện sau:

  • VPN trên trang Portal
  • Pfsense đã được download và boot image trên cloud với tên: Pfsense
  • Public IP, giảm độ phức tạp thì gắn trực tiếp vào VM, không dùng Floating IP
  • Dãy Network tương ứng
  • 2 VM Pfsense để phục vụ debug (2c4g)

Bước 1: Build Pfsense for Cloud

  • Build Image Pfsense trên Horizon cấu hình 2C4G- 1 IP public gắn trực tiếp, 1 IP mạng Local cần VPN
  • Có thể vào console VM thông qua SSH

Bước 2: Cấu hình cho VPN Site-to-Site

Truy cập và tạo VPN Site-to-Site trên https://console.fptcloud.com/

- Tạo Customer Gateway:

  • Remote private network: dãy Lan Subnet cần peering của Pfsense
  • Remote IP public: IP public của Pfsense

- Tạo VPN connection:

Thông số của VPN Connection sẽ bao gồm 3 mục chính:

  • General information (chứa các thông tin chung của kết nối VPN)
  • Remote VPN Information (chứa các thông tin mã hóa và thông tin của quý khách hàng)
  • Dead Peer Detection (số lần hệ thống tự động retry kết nối khi bị vấn đề)

Phần 1: General information

Lưu ý: Thông số Pre-shared-key cần lưu lại để kết nối với Pfsense.

Phần 2: Remote VPN information

file

Quý khách hàng lựa chọn Providers = "others" sau đó làm theo các bước sau:

  • Bước 1: Điền providers name = "pfsense"
  • Bước 2: Điền thông tin cho IKE và IPSec cụ thể như sau:

Đối với IKE:

  • Authorization algorithm: sha256
  • Encryption algorithm: aes 256
  • IKE version: ikev2
  • DH group: group14
  • Lifetime: 3600 seconds
  • Phase1 negotiation mode: main

Đối với IPsec:

  • Authorization algorithm: sha256
  • Encryption algorithm: aes 256
  • Encapsulation mode: tunnel
  • Transform protocol: esp
  • Perfect Forward Secrecy (PFS): group14
  • Lifetime: 3600 seconds

Phần 3: Dead Peer Detection

Điền thông số Delay và max failure và chọn Create VPN Connection.

Bước 3: Cấu hình cho Pfsense

  • Đăng nhập vào console VNC của VM Pfsense theo account đã tạo trên.
  • Đăng nhập vào website theo địa chỉ IP: https://{IP}, có thể hiện thông báo SSL như sau:

file

  • Thông tin đăng nhập mặc định:

    • User: Admin
    • Pass: Pfsense (Có thể set lại pass khi đăng nhập lần đầu trên web)

  • Nếu chưa có LAN ở tab Interfaces → chọn LAN để thêm LAN:

file

  • Tiến hành config Tunnel cho Pfsense:

file

Tại tab VPN, chọn IPsec → Tunnels và ấn chọn Add P1.

  • Set up Phase 1 như hình sau:

Chú ý:

  • Pre-Shared Key: nhập từ VPN đã tạo trên portal trước đó
  • Remote Gateway: là IP Public của VPN đã tạo trên portal trước đó

file

  • Set up Phase 2 như sau:

file

Tới đây khách hàng đã có thể mở Terminal - Command line để thử Ping thông mạng.

Cập nhật lần cuối vào bởi Dang Tran