Acceder a una VPN IPsec usando OpenVPN en pfSense

por | 20 Dic, 2022 | Soluciones problemas Ciberseguridad | 0 Comentarios

Hoy vamos a ver cómo solucionar un problema de acceso de los usuarios de como acceder a una VPN IPsec usando OpenVPN desde pfSense, a los recursos que estén en la otra parte de un túnel IPsec.

En esta ocasión usamos el modo de túnel de IPsec, para unir dos sedes que queramos conectar mediante este protocolo dentro de nuestro firewall pfSense.

Acceder A Una Vpn Ipse Usando Openvpn

Como funciona IPsec

Las conexiones Ipsec, incluyen los siguientes pasos:

  • Intercambio de claves
  • Encabezados y tráileres de los paquetes
  • Autenticación
  • Encriptación
  • Transmisión
  • Desencriptación

Protocolos utilizados por IPsec

  • Encabezado de autenticación (AH)
  • Protocolo de seguridad de encapsulación (ESP)
  • Asociación de seguridad (SA)
  • Protocolo de Internet (IP)

Configurar Firewall para acceder a una VPN IPsec usando OpenVPN

Si tienes dos sites conectados con IPsec VPN, y también tiene una configuración OpenVPN en el pfSense principal, también puede permitir que sus equipos conectados al OpenVPN, accedan a los equipos del otro extremo del IPsec.

Normalmente, solo se tiene acceso a la red local a la que se conecta OpenVPN, pero con unos simples pasos puede permitir el acceso a todas las redes conectadas.

Si ya tiene la VPN IPSec y configurado OpenVPN, solo se necesita agregar algunas cosas.

La configuración para este ejemplo es:

  • SiteA con un rango de red 192.168.1.0/24
  • SiteB con un rango de red 192.168.2.0/24)
  • OpenVPN usa el rango de red 172.20.50.0/24
  • SiteA tiene la configuración de OpenVPN.
  • Tanto SiteA como SiteB tienen configuración IPsecVPN.

Configuración de una segunda Fase 2

Debe agregar otra entrada de Fase 2 en ambos sitios, y debe agregar la red SiteB en la configuración de OpenVPN.

  • Tenemos que ir al pfSense del Site1 a VPN -> IPSec y expandimos las entradas de la Fase 2
  • Abra los túneles IPSEC en el SiteA > Copie la entrada de la Fase 2 > Cambiar el menú desplegable de Red Local a Red > Agrega el rango de IP que usa OpenVPN, por ejemplo: 172.20.50.0/24
  • Cambie el nombre en Descripción > Guardar y aplicar
  • Abra los túneles IPSEC en el SiteB > Copie la entrada de la Fase 2 > Cambiar el menú desplegable de Red Remota a Red > Agrega la IP que usa OpenVPN, por ejemplo: 172.20.50.0/24
  • Cambiar nombre en Descripción > Guardar y aplicar
  • Edite su servidor OpenVPN > En Red local IPv4 > Agregue en la red del SiteB. Separe varias redes con un, por ejemplo 192.168.1.0/24,192.168.2.0/24

Una vez que tengas los dos site configurados deberás de comprobar que el SiteB es accesible desde la conexión de OpenVPN del SiteA.

Recuerda que si solo tienes abiertos X puertos en la interface del OpenVPN (que valga de consejo, así deberías de tenerlo configurado), deberás de agregar aquellos que sean necesarios para poder acceder al SiteB.

Acceder a la red IPSEC desde el firewall pfSense

También te puedes encontrar que desde el Firewall de SiteA no tengas acceso a la red del SiteB pese a que el túnel este levantado y sea completamente funcional, para ello, debes de realizar lo siguiente:

  • Vamos a System -> Routing y en el apartado Gateways, añadimos una nueva.
  • Selecciona LAN en Interface
  • Pon la LAN IP Adress en Gateway
  • Deshabilita Gateway Monitoring
  • Guardamos
  • Ahora vamos a Static Routes y añadimos una
  • En Destination Network, ponemos la red de la red IPSEC
  • Selecciona la LAN IP Gateway que hemos generado anteriormente
  • Guardamos y ya lo tenemos

Recomendaciones de Seguridad Extras:

Como siempre que instalamos un nuevo servicio en nuestro Firewall, es recomendable adaptarlo a la seguridad del mismo, por ello es importante realizar las siguientes acciones para que no tengamos un agujero de seguridad en el mismo:

  • Configura las reglas como tengas configuradas las de las demás interfaces
  • Recuerda agregar OpenVPN a pfBlocker, Squid, Snort, Suricata, etc…
  • Usa un solo usuario por persona
  • Elimina aquellos usuarios y certificados que ya no se estén usando
  • Habilitar GEOIP en la regla del puerto de OpenVPN para que solo sea accesible desde los países que deseemos
  • Utiliza contraseñas fuertes y robustas tanto para establecer el túnel IPsec como para los usuarios del OpenVPN
  • Utiliza una Pre-Shared Key en el túnel IPsec igualmente fuerte
  • Mantén una buena política de reglas en el Firewall, así como en las conexiones IPsec y OpenVPN
  • Nunca dejes reglas configuradas tipo any -> any, eso es como no tener nada de seguridad
  • Utiliza siempre las conexiones OpenVPN para conectarte a redes que no sepas quien las gestiona y quien puede estar detrás

¿Por qué confiar en DCSeguridad?

Recuerda que la utilización de un firewall en una empresa es indispensable, así como un correcto mantenimiento del mismo. Debes usar siempre una conexión VPN para conectarte tanto de sede a sede, como de fuera de la oficina a los recursos de la empresa y nunca debes de tener ningún puerto configurado al exterior.

Si estas interesado en instalar un firewall en tu empresa, y securizar el mismo puedes ponerte en contacto con nosotros a través del apartado contacto de nuestra web.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *