Пункт 1. Обновляем ПО до актуальных версий
Версию pfSense можно посмотреть на главной странице, там же обновить буквально в 3 клика + 1 перезагрузка.
Версию кассы можно обновить в автоматическом режиме через меню «настройки» на самой кассе. Есть ещё куча вариантов обновления, они перечислены на сайте производителя.
В основном обновлять ПО нужно для минимизации проблем с OpenVPN. У меня были «нюансы» для работы с openVPN на разных версиях pfSense. Оградите себя от излишних проблем. Так же и пакет OpenVPN появился в кассах относительно недавно.
PfSense — это дистрибутив межсетевого экрана основанный на операционной системе FreeBSD. Дистрибутив позволяет реализовать такие механизмы, как NAT, CARP, VPN (в т.ч. PPTP, IPsec, OpenVPN), Captive portal. Кроме этого выполняет функционал классического файрволла, динамического DNS, DHCP и прокси сервера. Прост в развертывании.
Почему Site-to-Site?
Site-to-Site позволяет сконфигурировать только шлюзы в удаленных подсетях, при этом отпадает необходимость конфигурирования самих узлов сети. Говоря простым языком, способ Site-to-Site соединяет два офиса в единую сеть, а Point-to-Site — удаленных сотрудников с офисом. В статье рассмотрим пример соединения двух уже существующих сетей — физической и виртуальной.
Процесс настройки условно разделим на два этапа:
1. Настройка pfSense и конфигурирование частных сетей;
2. Реализация Site-to-Site.
В данном руководстве мы рассмотрим процесс создания виртуальной частной сети с помощью свободной реализации технологии VPN - OpenVPN, поддерживаемой едва ли не всеми современными операционными системами (Windows, Mac OS, Linux, Android, iOS, ChromeOS). Настройка будет осуществляться на сервере, работающем под управлением pfSense 2.4.5
PfSense представляет собой дистрибутив на базе ОС FreeBSD, предназначенный для создания межсетевых экранов/маршрутизаторов. При весьма широких возможностях, он бесплатный, нуждается лишь в минимальных аппаратных ресурсах, и имеет предустановленный понятный web-интерфейс управления.
В статье будет рассмотрен пример настроек касс вендора Dreamkas и маршрутизатора pfSense для работы с сервером 1С через OpenVPN быстро и зашифровано (с использованием TLS/SSL), по любым публичным каналам.
Задача: есть много касс во многих магазинах, есть сервер 1С в офисе. Нужно настроить взаимодействие. Вдаваться в настройку 1С не буду, акцент сделан на OpenVPN в маршрутизаторе pfSense и построении сети. Подробное описание касс в моей статье отсутствует.
pfSense OpenVPN Client:
В этом примере локальная сеть "192.168.1.0/24" разбита на подсети:
LAN - "192.168.1.0/25" - ( 192.168.1.1 - 192.168.1.126 )
WLAN - "192.168.1.128/25" - ( 192.168.1.129 - 192.168.1.254 )
OVPN - "10.8.0.0/24" - ( 10.8.0.1 - 10.8.0.254 )
Разновидности настройки:
- Маршрутизируем через тунель:
- Весь трафик;
- Определенную подсеть;
- Конкретного клиента;
- Конкретный сайт;
Подготовка:
Чтобы у pfSense была возможность выбирать, через какой шлюз маршрутизировать трафик, отключим на стороне OpenVPN сервера "redirect-gateway" и "dhcp-option". С этими настройками, весь трафик будет проходить через OpenVPN сервер. А нам это не нужно!
# /etc/openvpn/server.conf
- Комментируем строчки;
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 77.88.8.88"
;push "dhcp-option DNS 77.88.8.2"
- Перезапускаем демон;
# /etc/init.d/openvpn restartТеперь перейдем к настройке роутера:
Она будет состоять из следующих шагов:
* Импорт клиентских ключей и сертификатов;
* Добавление клиента;
* Cоздание OpenVPN интерфейса;
* Выбор шлюза по умолчанию;
* Настройка правил для NAT и Firewall ;