Menghubungkan pfSense ke TKMTRM NGFW melalui IPsec

Dengan menggunakan artikel ini, Anda dapat menggabungkan jaringan pfSense dan TKMT Risk Management NGFW melalui IPsec menggunakan PSK.

Jaringan lokal yang terhubung tidak boleh berpotongan!

Menyiapkan koneksi masuk

Untuk mengonfigurasi TKMT Risk Management NGFW, ikuti langkah-langkahnya:

1. Pada interface web TKMT Risk Management NGFW, buka tab Layanan -> IPsec -> Koneksi masuk.

2. Tambahkan koneksi baru:

  • Nama koneksi - apa saja;

  • Zona - tentukan zona untuk menambahkan koneksi IPSec;

  • Jenis autentikasi - PSK;

  • PSK - tentukan kunci PSK yang akan digunakan untuk koneksi;

  • ID pihak jarak jauh - apa saja;

  • Home LAN - tentukan jaringan lokal TKMT Risk Management NGFW, yang akan terlihat dari subnet pfSense;

  • Jaringan lokal jarak jauh - tentukan jaringan lokal pfSense, yang akan terlihat dari subnet TKMT Risk Management NGFW.

3. Simpan koneksi yang dibuat, klik tombol Aktifkan.

4. Salin nilai ID pihak jarak jauh menggunakan salah satu metode berikut:

ke interface NGFW

Di tab Layanan -> IPsec -> Koneksi masuk di baris ID pihak jarak jauh.

Melalui terminal

Pada TKMT Risk Management NGFW, file konfigurasi akan dibuat di folder /run/ideco-ipsec-backend/strongswan/swanctl/conf.d/. Anda perlu membuka konsol dan membuka file seperti device_<number>.conf untuk diedit. Dari file ini Anda perlu menyalin nilai string id (pengidentifikasi pihak jarak jauh).

5. Lanjutkan untuk mengonfigurasi pfSense, setelah mencatat nilai string id (pengidentifikasi pihak jarak jauh).

Mengonfigurasi pfSense

Untuk mengonfigurasi, ikuti langkah-langkahnya:

1. Pada interface web pfSense, buka tab VPN -> IPsec -> Tunnels.

2. Tambahkan koneksi baru:

  • Description - setiap;

  • Key Exchange version - IKEv2;

  • Internet Protocol - IPv4;

  • Interface - pilih interface eksternal pfSense yang akan digunakan untuk terhubung ke TKMT Risk Management NGFW;

  • Remote Gateway - IP interface eksternal TKMT Risk Management NGFW;

  • Pengidentifikasi Saya dan Pengidentifikasi Rekan - di sini masukkan nilai string id pada TKMT Risk Management NGFW (lihat langkah 4 dalam menyiapkan TKMT Risk Management NGFW);

  • Pre-Shared Key - masukkan kunci PSK yang sebelumnya terdaftar di TKMT Risk Management NGFW;

  • Algoritma Enkripsi - gunakan parameter berikut: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256.

Semua nilai lainnya dapat dibiarkan sebagai default.

3. Simpan koneksi Anda.

4. Klik tombol Tampilkan Entri Tahap 2 dan tambahkan Tahap 2 baru. Di sini tentukan:

  • Encryption Algorithm - gunakan parameter berikut: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256.

  • Local Network - jaringan lokal pfSense, yang dapat diakses dari subnet TKMT Risk Management NGFW;

  • Remote Network - jaringan lokal pfSense, yang dapat diakses dari subnet TKMT Risk Management NGFW.

Semua nilai lainnya dapat dibiarkan sebagai default.

5. Simpan koneksi Anda.

6. Izinkan lalu lintas antara jaringan lokal pfSense dan TKMT Risk Management NGFW di pengaturan firewall pfSense (buka tab Firewall -> Rules -> IPsec dan buat dua aturan yang mengizinkan lalu lintas antara jaringan lokal TKMT Risk Management NGFW dan pfSense).

Perhatikan bagian firewall WAN - secara default melarang lalu lintas masuk dari subnet “abu-abu” yang perlu diizinkan.

7. Sekarang buka tab Status -> IPsec (koneksi yang dibuat akan muncul di sana), klik tombol Hubungkan VPN.

Jika koneksi tidak dapat dibuat, Anda harus membuat ulang koneksi di NGFW, tentukan di bidang Key Identifier nilai yang kami tentukan di Pengidentifikasi saya dan Pengidentifikasi rekan untuk pfSense, dan coba sambungkan lagi . Tidak ada perubahan yang diperlukan di sisi pfSense.

Menyiapkan koneksi keluar

Untuk mengonfigurasi TKMT Risk Management NGFW, ikuti langkah-langkahnya:

1. Di web interface TKMT Risk Management NGFW, buka tab Layanan -> IPsec -> Koneksi keluar.

2. Tambahkan koneksi baru:

  • Nama - apa saja;

  • Zona - tentukan zona untuk menambahkan koneksi IPSec;

  • Alamat perangkat jarak jauh - tentukan alamat perangkat jarak jauh;

  • Jenis autentikasi - PSK;

  • PSK - tentukan kunci PSK yang akan digunakan untuk koneksi;

  • ID UTM - apa saja;

  • Home LAN - tentukan LAN TKMT Risk Management NGFW, yang akan terlihat dari subnet pfSense;

  • Jaringan lokal jarak jauh - tentukan jaringan lokal pfSense, yang akan terlihat dari subnet TKMT Risk Management NGFW;

  • Alamat IP interface tunnel - tentukan alamat IP interface tunnel untuk perutean dinamis BGP.

Mengonfigurasi pfSense

Untuk mengonfigurasi, ikuti langkah-langkahnya:

1. Di interface web pfSense, buka tab VPN > IPsec > Opsi Lanjutan dan di kolom Child SA Start Action pilih opsi None (Responder Only).

2. Tambahkan koneksi baru:

  • Key Exchange version - IKEv2;

  • Internet Protocol - IPv4;

  • Interface - pilih interface pfSense eksternal yang akan digunakan untuk terhubung ke TKMT Risk Management NGFW;

  • Remote Gateway - IP interface eksternal TKMT Risk Management NGFW;

  • Description - setiap;

  • Authentication Method - Mutual PSK;

  • My identifier - My ip address;

  • Peer identifier - Tag KeyID. Masukkan ID pihak jarak jauh yaitu TKMT Risk Management NGFW;

  • Pre-Shared Key - masukkan kunci-PSK;

  • Encryption Algorithm:

    • Untuk TKMT Risk Management NGFW UTM versi 10.0 dan TKMT Risk Management NGFW versi 16.0 dan yang lebih baru gunakan parameter berikut: 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256.

3. Simpan koneksi Anda.

4. Klik tombol Tampilkan Entri Tahap 2 dan tambahkan Tahap 2 baru dan tentukan nilai berikut:

  • Encryption Algorithm:

      • Untuk TKMT Risk Management UTM versi 10.0 dan TKMT Risk Management NGFW versi 16.0 dan yang lebih baru gunakan parameter berikut 1. Algorithm - AES256-GCM; 2. Key length - 128 bit; 3. Hash - SHA256; 4. DH Group - Elliptic Curve 25519-256.

  • Jaringan Lokal - jaringan lokal pfSense, yang dapat diakses dari subnet TKMT Risk Management NGFW;

  • Jaringan Jarak Jauh - jaringan TKMT Risk Management NGFW lokal yang dapat diakses dari subnet pfSense.

Semua nilai lainnya dapat dibiarkan sebagai default.

5. Simpan koneksi Anda.

6. Dalam pengaturan firewall pfSense, buka tab Firewall -> Rules -> IPsec dan buat dua aturan yang memungkinkan lalu lintas mengalir antara jaringan lokal TKMT Risk Management NGFW dan pfSense.

7. Perhatikan bagian WAN pada firewall - secara default, ini melarang lalu lintas masuk dari subnet “abu-abu” yang perlu diizinkan.

8. Buka tab Status -> IPsec (koneksi yang dibuat akan muncul di sana), klik tombol Hubungkan VPN.

Jika koneksi tidak dapat dibuat, Anda harus membuat ulang koneksi di NGFW, tentukan di bidang Key Identifier nilai yang kami tentukan di Pengidentifikasi saya dan Pengidentifikasi rekan untuk pfSense, dan coba sambungkan lagi . Tidak ada perubahan yang diperlukan di sisi pfSense.

PreviousMenghubungkan Cisco IOS ke TKMTRM NGFW melalui IPsecNextMenghubungkan Kerio Control ke TKMTRM NGFW melalui IPsec

Last updated