Tutoriales VPN / febrero 19, 2024

Configurar una VPN Site-to-Site con IPsec - Parte I

No estás usando esta distribución?

Selecciona una versión o distribución diferente

Normalmente cuando tenemos que configurar un túnel IPsec solamente tenemos que configurar uno de los lados. En este tutorial veremos como configurar uno de los lados pero habrá una segunda parte para configurar los dos extremos utilizando métodos diferentes.

Por un lado tendremos la Zona Norte que la configuraremos utilizando pfSense para configurar IPsec. Y el otro extremo, tendremos la Zona Sur donde la configuraremos utilizando Strongswan en un Debian 12.

De esta manera veremos como configurar dos extremos usando diferentes tecnologías. Para que se entienda correctamente que configuración de red vamos a utilizar he creado este diagrama de red para que quede claro que redes tiene cada zona.

Como podemos observar, en la Zona Norte configuraremos una red WAN que será la IP pública del servidor y luego una LAN que será la red local. Para ello usaremos una red del rango 192.168.1.0/24. Y en la Zona Sur, configuraremos una red WAN que será la IP pública del servidor y la LAN que será del rango 10.20.10.0/24.

Habilitar puertos en el Firewall

Para que este entorno funcione correctamente es necesario habilitar los siguientes puertos:

  • Puerto 500 (TCP/UDP) - IPSec
  • Puerto 4500 (TCP/UDP) - IPSec2
  • Puerto 5500 (TCP/UDP) - IPSec NAT
  • Habilitar ICMP
  • Protocolo 50
  • Protocolo 51

Configuración para pfSense

Lo primero que haremos será acceder a pfSense para configurar la LAN de la Zona Norte. Deberemos de revisar que pfSense tenga configurada tanto la WAN como la LAN, para ello iremos a Interfaces - Assignments y revisaremos que tenemos las dos redes configuradas:

Configurar LAN

Para configurar la LAN deberemos de ir a Interfaces - LAN y habilitaremos la interfaz marcando la opción Enable Interface.

Luego en la opción IPv4 Configuration Type seleccionaremos la opción Static IPv4 y en el apartado nuevo que aparece para IPv4 Configuration Type y configuramos la IP:

Para guardar cambios abajo del todo le damos a Save y luego le damos a Apply Changes:

Configuración de IPsec

El siguiente paso es configurar el túnel IPSec para configurar la VPN. Primero configuramos la Phase 1 y luego la Phase 2.

Phase 1

Tendremos que ir a VPN - IPsec y hacer clic sobre el botón Add P1.

En las opciones que nos aparece deberemos de añadir lo siguiente. En Remote Gateway deberemos de poner la IP pública de la Zona Sur.

En el apartado Phase 1 Proposal generaremos una Pre-Shared Key haciendo clic sobre el botón amarillo.

Luego configuraremos el apartado Encryption Algorithm de la siguiente forma:

El Life Time lo configuraremos con 7200 segundos. Añadimos una descripción al principio de todo para identificarla y le damos a Save y luego a Apply Changes.

Phase 2

Ahora que tenemos configurada la Phase 1 configuraremos la segunda fase. Para ello deberemos de hacer clic sobre Show Phase 2 Entries y luego a Add P2.

En Remote Gateway deberemos de poner la IP privada de la Zona Sur. Según nuestro esquema de más arriba la IP Privada es 10.20.10.0/24.

En el siguiente apartado, el de cifrado, deberemos de marcar los algoritmos de AES con 265 bits y en Hash Algorithm marcamos la opción SHA1.

En Life Time deberemos de configurar 7200 segundos. Para guardar los cambios le damos a Save y luego a Apply Changes.

Comprobación de la conexión

En este tutorial aún tenemos que configurar el otro lado al que hemos llamado como Zona Sur, pero si estuviera configurada correctamente, podemos revisar si las dos fases se han conectado correctamente.

Esto desde pfSense se puede revisar Status - IPsec. En este apartado podremos observar que la Fase I se ha establecido correctamente y vemos que en el apartado de Status aparece un Established en verde. Por otro lado, en la Fase II podemos ver que el Status aparece como Installed.

Con las fases de esta forma, podemos decir que la conexión se ha realizado correctamente.

💡
Esta comprobación suele se puede hacer si el otro lado del túnel está instalado, por lo que es posible que debas de seguir con la parte II para poder hacer este paso.

Conclusión

Ya tenemos por un lado configurado correctamente la Zona Sur de nuestra Site To Site, en el siguiente tutorial veremos como configurar la Zona Norte utilizando directamente un Debian y los paquetes correspondientes para IPSec.

Más sobre ./voidNull

Haz que cada palabra cuente: tu donación nos inspira a seguir creando contenido. Accede al apartado de Donación para hacer tu aportación