Настройка Ideco UTM

1. В веб-интерфейсе Ideco UTM откройте вкладку Сервисы -> IPsec -> Устройства.

2. Добавьте новое подключение:

   • Название – любое;

   • Тип – исходящее;

   • Тип аутентификации – PSK;

   • PSK – укажите PSK-ключ, который будет использоваться для подключения;

   • Идентификатор ключа – любой;

   • Домашние локальные сети – укажите локальную сеть Ideco UTM, которая будет видна из подсети pfSense;

   • Удалённые локальные сети – укажите локальную сеть pfSense, которая будет видна из подсети Ideco UTM.

Настройка pfSense

1. В веб-интерфейсе pfSense перейдите на вкладку VPN > IPSec > Advanced Options и в поле Child SA Start Action выберите параметр None (Responder Only).

2. Добавьте новое подключение:

• Key Exchange version – IKEv2;

• Internet Protocol – IPv4;

• Interface – выберите внешний интерфейс pfSense, который будет использоваться для подключения к Ideco UTM;

• Remote Gateway – IP внешнего интерфейса Ideco UTM;

• Description – любое;

• Authentication Method – Mutual PSK;

• My identifier - My ip address;

• Peer identifier - KeyID tag. Введите идентификатор удаленной стороны, т.е. Ideco UTM;

• Pre-Shared Key – введите PSK-ключ;

• Encryption Algorithm:

  • Для Ideco UTM версии 10.0 и новее используйте следующие параметры:

    Algorithm - AES256-GCM;

    Key length - 128 bit;

    Hash - SHA256;

    DH Group - Elliptic Curve 25519-256.

  • Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

3. Сохраните подключение.

4. Нажмите на кнопку Show Phase 2 Entries и добавьте новую Phase 2 и укажите следующие значения:

Encryption Algorithm:

• Для Ideco UTM версии 10.0 и новее используйте следующие параметры: Algorithm - AES256-GCM; Key length - 128 bit; Hash - SHA256; DH Group - Elliptic Curve 25519-256.

• Для Ideco UTM версии 9 используйте параметры, выбранные на скриншоте ниже:

Local Network – локальную сеть pfSense, которая будет доступна из подсети Ideco UTM; Remote Network – локальную сеть Ideco UTM, которая будет доступна из подсети pfSense;

Все остальные значения можно оставить по умолчанию.

5. Сохраняем подключение.

6. Затем нужно разрешить хождение трафика между локальными сетями pfSense и Ideco UTM в файрволе pfSense (переходим на вкладку Firewall -> Rules -> IPsec и создаём два правила, разрешающее хождение трафика между локальными сетями Ideco UTM и pfSense).

7. Также обратите внимание на раздел фарйвола WAN – по умолчанию в нём запрещён входящий трафик из "серых" подсетей, поэтому необходимо снять это ограничение.

8. Теперь переходим на вкладку Status -> IPsec (там должно появится созданное нами подключение), нажимаем на кнопку Connect VPN.

Настройка завершена, соединение должно успешно установиться.

Если соединение установить не удалось, а настройки файрвола pfSense сделаны верно, следует пересоздать соединение на UTM, указав в поле Идентификатор ключа значение, которое мы указали в My identifier и Peer identifier у pfSense, и попробовать подключиться ещё раз. На стороне pfSense никаких изменений вносить не требуется.