開源防火牆OPNsense和pFsense部署點到點IPSEC--- By年糕泰迪

本文主要初步瞭解了下開源防火牆中的2兄弟pFsense和OPNsense差別，閒來無事順便用它倆擼了一把site to site  IPsec 。

一，oFsense(v2.3.3)和OPNsense（V20.1）通俗對比
    這2兄弟前面的是大哥，差很少15歲了，後面的是弟弟也就4/5歲，由於都是一個爹媽（FreeBSD/m0n0wall）生的，雖然外表有所差別，可是骨子裏的東西99%都同樣。首先，哥哥長的醜一點（GUI中規中矩），弟弟長的就帥不少了，也比較時髦（2個系統的前端框架不同，前者是Bootstrap後者是基於Phalcon PHP框架的Bootstrap）；其次，哥哥長大了想法也多了，感受本身有些某些方面能力不足但本身有無能爲力，因此須要第三方的力量來彌補（支持插件），而弟弟想法是引入第三方會影響到自身某些方面的發展，因此不想接入外來（不支持插件）；最後，他倆對周圍環境的安全意識也發生了一些分歧（前者是IDS大佬Snort，這個已經被cisco擼到FTD中了，後者是Suricata），其餘的2兄弟能夠說基本都同樣，最後他倆如今都出名了（主要國外名氣大），哥哥開發佈會比較隨意，弟弟則是每週開發佈會（安全更新週期不一樣）。
    先來張他倆的自拍，你們體會下，上面的是哥哥，下面的是弟弟。

簡要拓撲

目標：10.10.10.11和10.10.11.11之間經過 IPSEC 互通。
二，點到點IPSEC部署
這2套系統部署很是簡單，下載各自的鏡像開機按照嚮導部署便可，主要是管理信息的部署（如選擇wan/lan和硬件網卡的對應關係，接口IP,DHCP等選擇部署）幾分鐘就完了，完事以後經過lan口IP地址Web登陸以後還有web版的嚮導配置也是一些管理信息的部署，部署完以後內網是直接能夠訪問外網的，有默認的內到外訪問策略和NAT，詳細的配置能夠參照官方文檔或者百度，Google不少。這裏主要是梳理下他們IPSEC（site to site）的部署，和一些注意點。
1，WAN模擬環境注意，生產環境忽略
因爲咱們模擬環境下FW的WAN是不會有public IP(指的是RFC1918保留除外的地址)，這2個牆在WAN接口配置的時候默認會有2個選項阻止掉RFC1918文檔中規定的私有地址，全部咱們現有這2個選項去掉。
pFsense中 定位到Interface->wan

而後將下面2個默認勾選的選項去掉，保存，而後再配置右上角再次確認變動，後面全部變動操做都同樣。

在OPNsense中就比較操蛋了，須要再進入到嚮導配置中，其餘不動一路下一步一直到WAN配置頁面，一樣拉到底取消下面2項勾選，而後一路下一步直至完成嚮導（其餘既有配置不動）


2/防火牆放行WAN口IPSEC階段一和階段二的協議以及NAT-T端口。


以上2步是一個準備工做，下就就是 site to site IPSEC 部署的常規階段一和階段二2步走了（關於IPSEC對應參數設置不在此解釋說明，請另參考，原則就是除了對端WAN口地址互指外，其餘任何參數保持一致便可）。
3/pFsenseIPSEC 部署
不論是階段一仍是階段二，實例當中部署所選擇的加密協議以及參數並非惟一，能夠根據本身對安全及硬件資源的衡量選擇，雙方一致便可。
3.1階段一



部署完畢保存，應用之後會有下面一條策略，這幾是階段一的策略

在策略下發有「Show Phase 2 Entries」的按鈕，在沒有部署階段二策略的時候顯示的是0，咱們點擊進去開始進入階段二部署。
3.2階段二


部署配置完畢後會有以下策略出現，

4，OPNsense IPSEC部署
4.1階段一





配置保存，應用後會有以下策略，綠色圖標就表示策略是在運行的，在該策略最右側的操做按鈕欄中有一個「+」,這就就是添加階段二策略，點擊進入咱們開始添加階段二策略

4.2階段二




保存應用後會出現以下策略，記得勾選 enable IPSEC

簡單部署過程就到這兒結束了，下面是查看IPSEC鏈接狀態，以及驗證。
5，IPSEC狀態檢測及驗證
5.1 pFsense IPSEC 狀態查看，咱們會看到2個階段的創建狀態，以及通訊交互基本狀況。

若階段一的錯誤，首先查看前面的2個準備工做是否雙方都有部署，以後再查看雙方階段一的配置參數是否正確以及必要參數是否一致，最後再從新鏈接嘗試。
如果階段二沒法創建，那基本就是階段二的配置參數有問題，再回過頭仔細覈對。
5.2OPNsense IPSEC 狀態查看，在進入到Status Overview 後看到了階段一的基本配置，可是須要在這個策略的右下角找到哪一個灰黑色的「！」再能看到後面階段的創建狀態和狀況。說實話畫蛇添足，前面猛誇OPNsense，但在實際操做中的某些細小操做，設計反人類，玩捉迷藏遊戲，這個要吐槽一波。

5.3 網絡互通驗證
pFsense端客戶端（10.10.10.11）驗證


OPNsense端客戶端（10.10.11.11）驗證


site to site 的基本配置和驗證到這就結束了，達到預期目標。觸類旁通，他們之間的 IPSEC部署基本都大同小異，和任何設備之間創建 site to site IPSEC 不外乎就那2步，可能不一樣設備一些可選參數略有差別而已。
6.小總結
初識這2套開源軟牆，確實在開源領域他們真的已經很良心很不錯了，從擴展性來講也很贊，物理是部署在X86的硬件中仍是部署在雲上等虛擬環境都很方便，操做也很清晰邏輯明瞭簡單。除了防火牆基本的功能外，對於流量的負載，整形也很到位。再加上這2套系統都自帶IDS模塊也是如虎添翼吧，並且還支持無線和蜂窩網絡模塊的接入。
雖然他們都是開源免費的，不過在維護和支持方面一樣提供商業化有償支持，因此對於中大型應用場景的部署維護也算是有了後盾保障。話說誰家的商業牆不都是在Linux/unix底層封裝如下再拿出來賣的嘛，各有所長吧。