Настройка VPN Pfsense site-to-site (Peer-to-Peer)

Начнем с установки
Для корректной работы в полне достаточно 2 ядра 1 ГБ аперитивы, если планируете писать много логов - то 20 гб памяти.

Устанавливаем

Если что надо меняем, потом нажимаем Accept ... и далее quick /easy install (в 99% выбирать компоненты не надо)

После установки настроим - настройка крайне простая. Есть понятное меню.

Для начала задаем IP адреса , помните что веб-интерфейс будет доступен только по внутреннему адресу. Вам надо будет иметь машинку в этой сети.
У меня сети такие 172.17.10.0/24 и внешняя - по DHCP. (описывать не буду - все предельно просто) Так нас спросят включать или нет dhcp север и если да - задаем диапазон. В моем случае я включать отказался)  На локальный адрес - PFsens настраиваем web интервейс

Далее настраиваем через web.  http://172.17.10.1/ Логин admin пароль pfsense

Задаем имя и локальный домен (можно и по умолчанию - если нет надобности)
В следушем окне - NTP сервер и Таймзону.

В следующем окне оставляем все как есть (т к у меня DHCP ) Если WAN у вас имеет локальную сеть нужно  убрать галочки галочки с
Block private networks from entering via WAN
Block non-Internet routed networks from entering via WAN
 Следующее окно - оставляем как есть LAN у нас задан

И в конце новый пароль от админа и reload 
Заходим снова, на первом экране видим что есть обновления обновляем

После перезагрузки идем в

1. System
2. Package Manager
3. Available Packages

и ставим пакеты Open-VM-Tools (у меня стоит на ESXi) , Backup , AutoConfigBackup,  openvpn-client-export. 

тоже самое сделаем на втором ESXi  и потом настроим между ними VPN

Локальная сать на втором ESXi будет такая 172.17.11.0/24 и Ip LAN 172.17.11.1

Отроем на PF1 в Фаерволе WAN доступ всем (после первоначальной настройки - сделаем нормальные правила, а пока для всех, что б исключить ошибку) 

Идем дальше - настроим OpenVPN server

1. VPN
2. OpenVPN
3. Servers
4. ADD

Выбирает Peer-to-Peer (Shared Key) и сам ключ создастся автоматически. Потом мы его скопируем. Description - здесь ваше понятное название сервера. Если серверов у вас будет больше 3 - рекомендую подписывать.
IPv4 Tunnel Network - сеть самого VPN тунеля, завем любую локальную 30. В моем случае 10.10.10.0/30
IPv4 Remote network(s) - это удаленна сеть, в моем случае это сеть филиала 172.17.11.0/24
Это нужно что бы запросы с на IP адреса сети филиала  из моей локальной сети - роутились на сеть через данные VPN канал.


Снова заходим в редактирование сервера VPN и копируем наш Shared Key (Выделить и скопировать ВСЕ из поля)

Переходим на второй PFSense - заходим в интерфейс  и там настраиваем OpenVPN Client

1. VPN
2. OpenVPN
3. Clients

Server host or address - внешний IP нашего первого сервера

Auto generate - убираем галочку , ключ мы вставим тот что скопировали с  сервера

IPv4 Tunnel Network - аналогично OpenVPN сервера  10.10.10.0/30

IPv4 Remote network(s) - здесь локальную сеть с первого сервера - 172.17.10.0/24

Как видим клиент подклюлся. 

Далее идем в 

1. Firewall
2. Rules
3. OpenVPN

И открывает любые виды трафика на интефейсе  OpenVPN , то же самое надо сделать на Сервере и на Клиенте. 

Машины из разных сетей (филиалов и тп) видят друг друга. 

Если нам надо соеденить 3 филала - то создем на Сервер еще один OpenVPN-сервер на новый порт. Клиент на 3-м филиале настраиваем уже на него. Но что бы филиалы тоже видели друг друга - надо в 

Advanced Configuration

Custom options

route 172.17.11.0 255.255.255.0       #сеть ВТОРОГО филиала


А на ВТОРОМ филиале

Advanced Configuration

Custom options

route 172.17.12.0 255.255.255.0  #Сеть Третьего филиала