Chuyển tới nội dung chính

Connect Pfsense

Bài viết này hướng dẫn cách build thiết bị Pfsense để kết nối VPN_S2S với dịch vụ VPN Site-to-Site của FPT Smart Cloud.

Cần đảm bảo các điều kiện sau:

  • VPNAAS trên trang Portal
  • Pfsense đã được download và boot image trên cloud với tên: Pfsense
  • Public IP, giảm độ phức tạp thì gắn trực tiếp vào VM, không dùng Floating IP
  • Dãy Network tương ứng
  • 2 VM Pfsense để phục vụ debug( 2c4g )

Bước 1: Build Pfsense for Cloud

  • Build Image Pfsense trên Horizon cấu hình 2C4G- 1 IP public gắn trực tiếp, 1 IP mạng Local cần VPN
  • Có thể vào console VM thông qua SSH

Bước 2: Cấu hình cho VPN Site-to-Site

Truy cập và tạo VPN Site-to-Site trên https://console.fptcloud.com/ - Tạo Customer Gateway:

  • Remote private network: dãy Lan Subnet cần peering của Pfsense
  • Remote IP public: IP public của Pfsense

- Tạo VPN connection: Thông số của VPN Connection sẽ bao gồm 3 mục chính:

  • General information (chứa các thông tin chung của kết nối VPN)
  • Remote VPN Information (chứa các thông tin mã hóa và thông tin của quý khách hàng)
  • Dead Peer Detection (số lần hệ thống tự động retry kết nối khi bị vấn đề)

Phần 1: General information Lưu ý : Thông số Pre-shared-key cần lưu lại để kết nối với Palo Alto
Phần 2: Remote VPN information file Quý khách hàng lựa chọn Providers = “others" sau đó làm theo các bước sau:

  • Bước 1: Điền providers name = "pfsense"
  • Bước 2: Điền thông tin cho IKE và IPSec cụ thể như sau:

Đối với IKE:

  • Authorization algorithm: sha256
  • Encryption algorithm: aes 256
  • IKE version: ikev2
  • DH group: group14
  • Lifetime: 3600 seconds
  • Phase1 negotiation mode: main

Đối với IPsec:

  • Authorization algorithm: sha256
  • Encryption algorithm: aes 256
  • Encapsulation mode: tunnel
  • Transform protocol: esp
  • Perfect Forward Secrecy (PFS): group14
  • Lifetime: 3600 seconds

Phần 3: Remote VPN information Điền thông số Delay và max failure và chọn Create VPN Connection

Bước 3: Cấu hình cho Pfsense

- Đăng nhập vào console VNC của VM Checkpoint theo account đã tạo trên và chạy lệnh: "Cpstart" - Đăng nhập vào website theo địa chỉ IP: https://{IP} , có thể hiện thông báo SSL như sau: file

  • Thông tin đăng nhập mặc định:

User: Admin Pass: Pfsense (Có thể set lại pass khi đăng nhập lần đầu trên web)

  • Nếu chưa có LAN ở tab Interfaces → chọn LAN để thêm LAN:
    file - Tiến hành config Tunnel cho Pfsense: file Tại tab VPN, chọn IPsec → Tunnels và ấn chọn Add P1.
    • Set up Phase 1 như hình sau:

Chú ý : + Pre-Shared Key: nhập từ VPNAAS đã tạo trên portal trước đó

  • Remote Gateway: là IP Public của VPNAAS đã tạo trên portal trước đó file
    • Set up Phase 2 như sau: file

Tới đây khách hàng đã có thể mở Terminal - Command line để thử Ping thông mạng.