開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪

本文主要初步瞭解了下開源防火牆中的2兄弟pFsense和OPNsense差別,閒來無事順便用它倆擼了一把site to site  IPsec 。

一,oFsense(v2.3.3)和OPNsense(V20.1)通俗對比
    這2兄弟前面的是大哥,差很少15歲了,後面的是弟弟也就4/5歲,由於都是一個爹媽(FreeBSD/m0n0wall)生的,雖然外表有所差別,可是骨子裏的東西99%都同樣。首先,哥哥長的醜一點(GUI中規中矩),弟弟長的就帥不少了,也比較時髦(2個系統的前端框架不同,前者是Bootstrap後者是基於Phalcon PHP框架的Bootstrap);其次,哥哥長大了想法也多了,感受本身有些某些方面能力不足但本身有無能爲力,因此須要第三方的力量來彌補(支持插件),而弟弟想法是引入第三方會影響到自身某些方面的發展,因此不想接入外來(不支持插件);最後,他倆對周圍環境的安全意識也發生了一些分歧(前者是IDS大佬Snort,這個已經被cisco擼到FTD中了,後者是Suricata),其餘的2兄弟能夠說基本都同樣,最後他倆如今都出名了(主要國外名氣大),哥哥開發佈會比較隨意,弟弟則是每週開發佈會(安全更新週期不一樣)。
    先來張他倆的自拍,你們體會下,上面的是哥哥,下面的是弟弟。

開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
簡要拓撲
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
目標:10.10.10.11和10.10.11.11之間經過 IPSEC 互通。
二,點到點IPSEC部署
這2套系統部署很是簡單,下載各自的鏡像開機按照嚮導部署便可,主要是管理信息的部署(如選擇wan/lan和硬件網卡的對應關係,接口IP,DHCP等選擇部署)幾分鐘就完了,完事以後經過lan口IP地址Web登陸以後還有web版的嚮導配置也是一些管理信息的部署,部署完以後內網是直接能夠訪問外網的,有默認的內到外訪問策略和NAT,詳細的配置能夠參照官方文檔或者百度,Google不少。這裏主要是梳理下他們IPSEC(site to site)的部署,和一些注意點。
1,WAN模擬環境注意,生產環境忽略
因爲咱們模擬環境下FW的WAN是不會有public IP(指的是RFC1918保留除外的地址),這2個牆在WAN接口配置的時候默認會有2個選項阻止掉RFC1918文檔中規定的私有地址,全部咱們現有這2個選項去掉。
pFsense中 定位到Interface->wan
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
而後將下面2個默認勾選的選項去掉,保存,而後再配置右上角再次確認變動,後面全部變動操做都同樣。
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
在OPNsense中就比較操蛋了,須要再進入到嚮導配置中,其餘不動一路下一步一直到WAN配置頁面,一樣拉到底取消下面2項勾選,而後一路下一步直至完成嚮導(其餘既有配置不動)
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
2/防火牆放行WAN口IPSEC階段一和階段二的協議以及NAT-T端口。
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
以上2步是一個準備工做,下就就是 site to site IPSEC 部署的常規階段一和階段二2步走了(關於IPSEC對應參數設置不在此解釋說明,請另參考,原則就是除了對端WAN口地址互指外,其餘任何參數保持一致便可)。
3/pFsenseIPSEC 部署
不論是階段一仍是階段二,實例當中部署所選擇的加密協議以及參數並非惟一,能夠根據本身對安全及硬件資源的衡量選擇,雙方一致便可。
3.1階段一
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
部署完畢保存,應用之後會有下面一條策略,這幾是階段一的策略
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
在策略下發有「Show Phase 2 Entries」的按鈕,在沒有部署階段二策略的時候顯示的是0,咱們點擊進去開始進入階段二部署。
3.2階段二
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
部署配置完畢後會有以下策略出現,
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
4,OPNsense IPSEC部署
4.1階段一
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
配置保存,應用後會有以下策略,綠色圖標就表示策略是在運行的,在該策略最右側的操做按鈕欄中有一個「+」,這就就是添加階段二策略,點擊進入咱們開始添加階段二策略
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
4.2階段二
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
保存應用後會出現以下策略,記得勾選 enable IPSEC
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
簡單部署過程就到這兒結束了,下面是查看IPSEC鏈接狀態,以及驗證。
5,IPSEC狀態檢測及驗證
5.1 pFsense IPSEC 狀態查看,咱們會看到2個階段的創建狀態,以及通訊交互基本狀況。
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
若階段一的錯誤,首先查看前面的2個準備工做是否雙方都有部署,以後再查看雙方階段一的配置參數是否正確以及必要參數是否一致,最後再從新鏈接嘗試。
如果階段二沒法創建,那基本就是階段二的配置參數有問題,再回過頭仔細覈對。
5.2OPNsense IPSEC 狀態查看,在進入到Status Overview 後看到了階段一的基本配置,可是須要在這個策略的右下角找到哪一個灰黑色的「!」再能看到後面階段的創建狀態和狀況。說實話畫蛇添足,前面猛誇OPNsense,但在實際操做中的某些細小操做,設計反人類,玩捉迷藏遊戲,這個要吐槽一波。
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
5.3 網絡互通驗證
pFsense端客戶端(10.10.10.11)驗證
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
OPNsense端客戶端(10.10.11.11)驗證
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪
site to site 的基本配置和驗證到這就結束了,達到預期目標。觸類旁通,他們之間的 IPSEC部署基本都大同小異,和任何設備之間創建 site to site IPSEC 不外乎就那2步,可能不一樣設備一些可選參數略有差別而已。
6.小總結
初識這2套開源軟牆,確實在開源領域他們真的已經很良心很不錯了,從擴展性來講也很贊,物理是部署在X86的硬件中仍是部署在雲上等虛擬環境都很方便,操做也很清晰邏輯明瞭簡單。除了防火牆基本的功能外,對於流量的負載,整形也很到位。再加上這2套系統都自帶IDS模塊也是如虎添翼吧,並且還支持無線和蜂窩網絡模塊的接入。
雖然他們都是開源免費的,不過在維護和支持方面一樣提供商業化有償支持,因此對於中大型應用場景的部署維護也算是有了後盾保障。話說誰家的商業牆不都是在Linux/unix底層封裝如下再拿出來賣的嘛,各有所長吧。



































































前端

相關文章
相關標籤/搜索