pfSense: OpenVPN Sitio a Sitio con Llave Compartida

pfSense - OpenVPN Sitio a Sitio con Llave Compartida

Este es un vídeo tutorial para configurar OpenVPN Sitio a Sitio del pfSense con una Llave Compartida con la finalidad de conectar y comunicar dos diferentes nodos internos ubicados topo-lógicamente detrás de dos diferentes firewalls y con dos diferentes dominios. Para este laboratorio fue necesario realizar las siguientes configuraciones:

  1. Crear y configurar un Servidor OpenVPN con Llave Compartida (Peer to Peer Shared Key).
  2. Configurar la Criptografía del Hardware o CPU del Servidor OpenVPN.
  3. Crear y configurar un Cliente OpenVPN con Llave Compartida del Servidor OpenVPN (Peer to Peer Shared Key).
  4. Configurar la Criptografía del Hardware o CPU del Cliente OpenVPN.
  5. Crear las Reglas OpenVPN del Firewall para ambos Servidor y Cliente.
  6. Crear una Regla WAN en el Servidor OpenVPN para permitir que el Cliente OpenVPN se conecte con el lado Servidor.
  7. Configurar las Redirecciones Condicionales DNS en los Servidores Directorio Activo para que ambos nodos se comuniquen mediante Nombres de Dominios.
  8. Realizar pruebas de conectividad mediante Direcciones IP y DNS en ambos nodos.

DIAGRAMA DE LA RED TCP/IP PARA ESTE LABORATORIO

PFSENSE_ VPN SITE TO SITE SHARED KEY - ESCENARIO LAB

Hits: 124

19 thoughts on “pfSense: OpenVPN Sitio a Sitio con Llave Compartida”

  1. Saludos señor Roberto muy bueno el video le explico mi duda yo tengo 3 servidores pfsense todos estan virtualizados en proxmox quisiera saber el metodo de la encriptacion por ejemplo si tiene 4 gigas el server de ram cual puedo usar mejor..

    Saludos y gracias

    1. Hola Jose, su pregunta con respecto “el método de encriptación” es muy ambiguo, por lo tanto, ¿podrías explicarme con detalles lo que quieres hacer?.

      Saludos.

      1. Hola roberto lo que quiero es que tengo 3 servidores pfsense y vi su video pero solo explica para 2 y vi otro video para 3 pero cuando doy ping a uno no me da el ping y la velocidad de navegacion que tiene 1 es 6 megas, 2 de 4 megas y el 3 de 1 megas como lo puedo hacer..

        Saludos

        1. Ok, en primer lugar no comprendo qué tiene que ver este problema con el “método de encriptación” que preguntabas al principio. En segundo lugar, ¿De cuáles vídeos estás hablando? ¿Puedes compartir los vídeos? y por último, cuando se trata de virtualización de pfSense en proxmox, es importante deshabilitar el hardware checksum offload y espero (se supone) que con esto mejore la velocidad de navegación.

          1. No tienes razon con lo del metodo de encriptacion me equivoque disculpa es que soy algo nuevo. El video es de Pedro Moreno el explica como hacer un Multi Sitios en el pfsense. A ver lo que me esta pasando es que la red B me funciona todo perfecto con la red A pero la red C solo me funciona los servidores, los clientes no me ven la red A. Pero yo si desde la red A si los veo y les llego. En la red A el pfsense es el 2.2.4-p3, red B 2.4.4-p3 y red C 2.4.5.

            Gracias y Saludos

          2. Hola Jose, tengo una pregunta solo por curiosidad, ¿esos servidores pfSense con versiones antiguas son servidores en producción? Para que los clientes puedan ver y comunicarse con la red A, lo que debes hacer es abrir la ruta de dicha red, es decir, esa red A tiene que ser visible en la tabla de enrutamiento. Otra pregunta, ¿los túneles vpn son gestionados con OpenVPN o con IPsec/L2TP o con WireGuard?

          3. Hola ya se lo que me pasa es que la conexion me le da un ip a cada conexion pero el problema esta ahi porque cuando hago un ifconfig al server me sale ovpns1 inet 10.35.0.1 –> (10.5.0.2) y entonces en el otro 10.5.0.3 –> 10.5.0.1 y el otro (10.5.0.2) –> 10.5.0.1 es que le esta dando el mismo ip a dos server y me esta diciendo que la ruta es 10.5.0.2.
            Saludos

          4. Hola Jose, te había preguntado antes si los túneles vpn eran con OpenVPN o con IPsec/L2TP o con WireGuard, pero ya que mencionas la interfaz ovpns1 entonces la respuesta es OpenVPN. Otras preguntas, ¿cuáles son las 3 redes de los túneles vpn? ¿cuáles son las redes locales que ocupan ser visibles mediante vpn? ¿su problema ya fue solucionado o el problema aún persiste? Saludos.

          5. hola a ver mira la red de la A es 172.17.9.0 internas 10.35.0.0 y 192.41.35.0. Red B 172.17.45.0 y interno 10.36.0.0, 10.37.0.0, 10.38.0.0, 192.41.36.0 y red C 172.17.19.0 y la interno 192.41.37.0 todo por vlan diferentes. La red de la vpn es 10.35.0.0. Sigue es como si me estuviera dando el mismo ip para los dos server en la vpn. Como se pidiera dar ip fijos en ves de que sea dhcp para la vpn.
            Saludos

          6. ¿Estas redes son las externas (interfaces wan) 172.17.9.0 172.17.45.0 172.17.19.0? OJO: toda red debe ser detallado con el formato CIDR, por ejemplo: 172.17.19.0/24, te digo esto para que lo sepa por si no lo sabías. Honestamente no logro aclarar cuál es el problema principal de las vpns. Me dices que el problema es que, según tus palabras: “la conexion vpn me le da un ip a cada conexion”, pero la verdad que es obvio que cada conexión vpn el servidor debe entregar y dar al cliente vpn una ip perteneciente dentro del rango del túnel. Así que vuelvo y repito, no logro comprender cuál es el problema principal de las vpns, así que te pido por favor que vuelva aclararme cuál es el problema. Si quiere escribame por correo electrónico [email protected] y por correo me manda la topología completa (bien detallado) de todas las redes externas, internas y de las vpn de cada servidor.

          7. Hola roberto le escribi a su correo pero no se si le llego ya que no me ha contestado. Si esas redes son mis WAN y estan con sus CIDR. A ver lo que me pasa es que al server le da la 10.5.0.1, al cliente B la 10.5.0.2 y al C la 10.5.0.3. Hasta ahi perfecto pero cuando vas a Diagnosticos/Rutas te dice que la ruta sale por 10.5.0.2 que no debe ser ya que el server es la 10.5.0.1. Pero cuando revisas en el server por la consola la openvs1 te dice asi en el server 10.5.0.1 –> 10.5.0.2. Entonces mi pregunta es porque me pone que la ruta es la de un cliente.

            Saludos

          8. Hola, ya revisé mis correos electrónicos de mi cuenta (e-mail) que te compartí, lo que sucedió es que su correo me cayó como SPAM y por esa razón no me había percatado de su mensaje por correo. Para responderle a su pregunta habría que evaluar las conexiones y las tablas de enrutamiento del servidor VPN y de los clientes VPN. No te puedo dar una respuesta concreta así no más sin ninguna debida evaluación o revisión correspondiente.

          9. Hola bueno a ver el problema es que no encuentro otro video de multisitios para ver si lo hacen igual solo encuentro site to site.

            Saludos

          10. Hola Jose, si lo que usted está buscando es otro vídeo en youtube, cuyo tema (en específico) de vídeo yo no tengo en mis canales, te puedo recomendar o sugerir revisar y buscar los contenidos y/o vídeos del estimado Pedro “El Pheriko” Moreno, ya sea en sus blogs y/o en su canal de youtube. Por aquí te comparto sus enlaces:

            Primer Blog: http://pedropericomoreno.blogspot.com/
            Blog Actual: https://pmorenoit.blog/
            Canal Youtube: https://www.youtube.com/c/PedroMorenoBOS

            Espero que estos enlaces te ayude encontrar lo que usted necesita y le pido disculpa que usted no logre encontrar lo que busca en mi blog y/o en mi canal.

            Saludos y suerte con su búsqueda.

  2. Buenas Noches Señor Murillo, gracias por el material publicado, no he efectuado nada con vpn solo soy un usuario que ingresa mediante acceso remto de windows 10 , quisera preguntar si con openvpn yo pdria ver los los archivos del computador remoto y modificarlos desde el computador local, como sea haria en una intranet Gracias

    1. Hola Carlos, muchas gracias por su comentario. Respondiendo a su pregunta, si se puede mediante NetBIOS pero el procedimiento para habilitar el NetBIOS para acceder y compartir recursos de archivos en las computadoras remotos puede ser algo riesgoso por términos de seguridad. Por aquí te recomiendo ver este vídeo, espero le sirva. https://www.youtube.com/watch?v=KIdjbIqeOcU

      Saludos.

  3. Hola Sr. Roberto. Saludos y mis mejores deseos.
    Es cierto, mi segundo nombre es Ricardo (José Ricardo), el comentario de Youtube lo hice yo. Muchas gracias por aclararme la duda en relación a los modos de uso de la VPN.

    He seguido viendo otros videos de su cuenta en Youtube y honestamente me ha enseñado Muchisimo sobre pfSense y en particular de las VPN gracias a sus excelentes explicaciones. Le comento que he configuraro en el pfSense(1) el Servidor OpenVPN en modo Acceso Remoto con SSL/TSL con un usuario para probar y me ha funcionado perfectamente accesando con mi teléfono Android y portátil con Windows 10, mediante la apicación de OpenVPN instalada. Aún me falta probar con el otro pfSesnse(2) en modo cliente y crear la reglas de firewall para permitir un par de equipos o especificar los destinos web que podran salir por el tunel VPN (aquí honestamente tengo mis dudas de cómo hacerlo funcionar correctamente) y que los demas se conecten de manera normal y salgan a internet por el proveedor del servicio satelital.

  4. Saludos estimado Sr. Roberto. Le quiero felicitar y agradecer por excelente explicación de como configurar OpenVPN Sitio a Sitio, honestamente vi el video y pude configurar un tunel VPN muy similar como lo explica.
    Quiero pedir su ayuda para que me aclare y ayude en lo que su tiempo y disposisión le permite con esta situacion:
    1-Tengo un Servidor(1) pfSense conectado a internet con IP dinámica de mi provedor de internet de la Empresa Nacional, modem adsl en modo puente y 2 tarjetas de red (1 WAN y 1 LAN, tal cual se llaman), y la IP dinámica se asigna directamente a mi WAN. Quiero configurar un Servidor con OpenVPN en este equipo para permitir que otro Servidor(2) pfSense configurado como cliente OpenVPN pueda redirigir peticiones de ciertas IP internas hacia el Servidor(1) y este deje salir las conexiones a internet.
    El problema radica en que el Servidor(2) Cliente posee acceso a internet con antena Satelital de un proveedor del país vecino y cuando se consulta cual es la IP Pública se muestra que se está en alguna zona del país vecino, eso conlleva a que cuando se desea ingresar a la gran mayoría de las páginas o servicios bancarios de mi país le aparece algun mensaje o no hay respuesta de estos bancos ya que pienso que los servidores de esos bancos estan rechazando peticiones extranjeras o de ese páis en particular.
    Le pido su orientación a cuál conficuracion de OpenVPN debo usar si la de Sitio a Sitio o la Acceso Remoto y cuales serías las reglas de Firewall tanto del lado del servidor como del cliente para tal fin.
    Aclaro que tengo el Servidor(1) con una cuenta de No-IP funcionando perfectamente y el Servidor de <> me funciona perfectamente y he podido ingresar a éste servidor por su IP local gracias a el VPN <>, sin embargo no se como enrutar las peticiones de internet de un dispositivo detras del Servidor(2) hacia el Servidor(1) por medio del tunel VPN y así solucionar el problema con los servicios bancarios

    1. Hola Jose, muchas gracias por su comentario. Me parece que usted es el mismo usuario llamado Ricardo Rivas que me escribió en mi canal sobre el mismo vídeo. El objetivo de un VPN Sitio a Sitio es para que ambas redes A y B se puedan comunicar a través de un túnel encriptada. Sin embargo, en una VPN Sitio a Sitio, ambos Servidores VPN siempre tendrán Internet de forma independiente con sus ISPs; entonces en base a lo que usted quiere lograr hacer vas a necesitar a configurar el OpenVPN de forma Cliente a Servidor con el método Acceso Remoto mediante SSL/TLS. De esta forma cuando el Cliente VPN se conecte al Servidor VPN, usted puede empujar mediante un enlace de salida al Cliente VPN para que la consulta de la Ip Pública se vea reflejado el de su país y no del país vecino en el lado Cliente VPN.

      Con respecto a las reglas OpenVPN del Firewall en el lado Servidor, lo que puedes hacer es permitir que la red del túnel VPN pueda acceder hacia cualquier destino mediante cualquier protocolo. Espero que con todo esto usted pueda tener una mejor idea de lo que debes configurar en ambos pfSense. Cualquier otra duda, por favor no tenga pena con escribirme.

      Saludos.

Comments are closed.