Resumen
Desde la actualización del pfsense 2.5.X se añadió una nueva características en los protocolos de VPN llamado WireGuard. Si desea obtener información del protocolo, se puede dirigir a este link.
En este artículo se explica cómo configurar el Wireguard en el pfsense.
Detalles
Primeramente debe actualizar el pfsense a la versión 2.5.X para que le aparezca el WireGuard en la sección de VPN.
Posteriormente se ha de agregar un túnel para realizar la conexión con la VPN:
En la configuración del túnel, deberemos habilitar el túnel y brindarle los siguientes datos:
- Description: una breve descripción del túnel.
- Address: dirección IPv4 o IPv6 del servidor VPN para la interfaz del túnel. La que tendrá establecida una vez que se conecte al túnel.
- Listen Port: por defecto es el 51820 UDP, pero se puede cambiar a cualquier puerto UDP.
- Interface Keys: pfsense incorpora un generador de claves pública/privada para el servidor VPN con WireGuard, para el cliente VPN y para nuestro propio servidor VPN con Wireguard.
Ahora hay que agregar a los «peers», es decir, los clientes VPN. Para ello selecciona el botón “Add peer” y se configura:
NOTA: antes de continuar debe de tener instalado el programa Wireguard.
- Description: una descripción del peer.
- Public Key: para obtener la llave pública debe de abrir el programa wireguard y seleccionar la opción de “Add empty tunnel”.
Se le abrirá una nueva ventana con una public key, el cuál es la que va a copiar y agregarla en la public key del peer. Adicionalmente le ha de aparecer una PrivateKkey en el mismo documento, copiélo en un bloc de notas por lo que se usará más adelante.
- Allowed IPs: las IPv4 o IPv6 permitidas por este peer. Se agrega la IP que tendrá el primer equipo al conectarse.
- Peer WireGuard Address: la dirección de la interface del túnel IPv4 o IPv6 que se va a conectar las IPs de Allowed IPs. En este caso, el rango donde se encuentren los dispositivos el cuál se quiere conectar.
- Pre-shared Key: es opcional, no se ha configurado una, pero si lo hace, tanto en el pfSense como en el cliente VPN debe ser exactamente la misma, y se debe generar dicha clave con el botón azul que viene en el pfSense.
Se debe configurar dos reglas en el Firewall:
- En WAN:
Action: Pass
Interfaz: WAN
Address Family: IPv4, IPv6 o ambas
Protocol: UDP
Source: any (si vas a montar un Site-to-Site con WireGuard, aquí podrías poner la IP pública de origen para mejorar la seguridad).
Destination: WAN Address en el puerto 51820
- En WireGuard:
Action: Pass
Interfaz: WireGuard
Address Family: IPv4, IPv6 o ambas
Protocol: Any
Source: any
Destination: any
Por último se va a configurar el cliente VPN en Windows.
Para ello nos dirigimos en la pestaña que se abrió al editar un nuevo túnel en Wireguard, e ingresar los siguientes datos:
[Interface] PrivateKey = PrivateKey_guardado_en_el_bloc_de_notas
Address = Allowed_Ips [Peer] PublicKey = Public_key_from_Interface_keys
AllowedIPs = Peer_WireGuard_Address
Endpoint = IP_WAN_Pfsense:Listen_Port
Una vez configurado tendrían lo siguiente:
[Interface]
PrivateKey = aJctJrjJqhMiSWwmTce8x/d5I7e3+gLYvXIoOBRFyPU=
Address = 10.9.0.2/24
[Peer]
PublicKey = bzBsW25tahZqHL9uLF7CguiOgL4wnxXBZ8ixctjLEF0=
AllowedIPs = 10.0.20.2/24
Endpoint = 190.19.9.1:51820
Guarda los cambios del archivo de configuración y activa el túnel de la VPN.
Con ello, puede conectarse a los equipos configurados en el túnel.
Recuerde realizar las pruebas necesarias para validar su funcionamiento.
Para mayor información contactar a servicio a servicio@rolosa.com
