Настройка WireGuard на pfSense в 2023 году
Актуально на январь 2023 г.
Так часто встает задача предоставить доступ к RDP или веб серверу 1С офиса для удаленных пользователей из дома или даже из другой страны. И сделать бы это безопасно. С возможностью оперативной блокировать доступ того или иного персонажа....
Перебрал несколько англоязычных ресурсов по настройке WireGuard, творчески доработал и представляю вашему вниманию "туториал" по настройке WireGuard на pfSense.
Перебрал несколько англоязычных ресурсов по настройке WireGuard, творчески доработал и представляю вашему вниманию "туториал" по настройке WireGuard на pfSense.
Попробую изложить максимально подробно процесс настройки для людей слабо владеющих сетевыми технологиями (к которым я отношу и себя)
Источники, из которых черпал информацию
1. wundertech.net - How to Set Up WireGuard on pfSense
2. itigic.com - Как настроить сервер WireGuard VPN в pfSense
3. docs.netgate.com - Official Documentation on Netgate Docs
4. coygeek.com - Setup WireGuard VPN Server on Pfsense
Первое что хочу отметить - почему именно на pfSense. Во-первых, потому что pfSense предоставляет возможность гибкой настройки нескольких сетей, включая их объединение, проброс портов, раздачу адресов DHCP, раздачу интернета и фильтрация трафика.
Во вторых - благодаря pfSense я получаю web UI для WireGuard, то есть настройка VPN, добавление и удаление пользователей и мониторинг будет в удобной веб консоли.
Источники, из которых черпал информацию
1. wundertech.net - How to Set Up WireGuard on pfSense
2. itigic.com - Как настроить сервер WireGuard VPN в pfSense
3. docs.netgate.com - Official Documentation on Netgate Docs
4. coygeek.com - Setup WireGuard VPN Server on Pfsense
Первое что хочу отметить - почему именно на pfSense. Во-первых, потому что pfSense предоставляет возможность гибкой настройки нескольких сетей, включая их объединение, проброс портов, раздачу адресов DHCP, раздачу интернета и фильтрация трафика.
Во вторых - благодаря pfSense я получаю web UI для WireGuard, то есть настройка VPN, добавление и удаление пользователей и мониторинг будет в удобной веб консоли.
Тестовая инфраструктура.
- Windows 11 Hyper-V хостовая машина в подсети 192.168.88.xxx, построенной на роутере Keenetic с WiFi
- Одна виртуальная машина Hyper-V с установленной PFSense версии 2.6, WAN интерфейс которой подключен к нашей сети роутера с адресом 192.168.88.201.
- Мобильный телефон на андроид, подключенный к роутеру по WiFi с адресом 192.168.88.50
- Несколько виртуальных машин в общей сети роутера или физические компьютеры в той же сети. В том числе Windows 11 машина с адресом 192.168.88.51
- Роутер выходит в интернет, используя публичный (и желательно статический) IP
- VPN должен работать в сети 10.10.0.XXX
Версия pfSense не ниже 2.6
Решаемая задача
Основная цель - предоставить безопасный канал для доступа к RDP и веб-серверу с 1С...., может еще сетевого каталога с документами.
То есть нам необходимо объединить несколько компьютеров находящихся внутри локальной сети, а также внешних машин в единую VPN.
Задачу передавать интернет через наш VPN пока не ставим. Это можно реализовать дополнительной настройкой, про которую лучше написать отдельно... Рекомендации по такой настройке можно найти на сайте mullvad.net - pfSense with WireGuard
То есть нам необходимо объединить несколько компьютеров находящихся внутри локальной сети, а также внешних машин в единую VPN.
Задачу передавать интернет через наш VPN пока не ставим. Это можно реализовать дополнительной настройкой, про которую лучше написать отдельно... Рекомендации по такой настройке можно найти на сайте mullvad.net - pfSense with WireGuard
Считаю важным в процессе указания настроек излагать и некоторые теоретические моменты... Потому как слепая настройка хоть и приводит к видимому успеху, но тем не менее все равно вас зрячим не сделает....
И первое - давайте определимся со способом обозначения диапазонов адресов сети IP, используя маску
адрес 192.168.88.0/24 означает диапазон с 192.168.88.1 по 255
Если в качестве последнего числа стоит не ноль, а другое число, например 50, то диапазон будет начинаться с этого числа.
адрес 192.168.88.50/24 означает диапазон с 192.168.88.50....255
если используется маска /32 - то диапазон будет из единого адреса...
адрес 192.168.88.50/32 означает только единый адрес 192.168.88.50
И наконец максимально широкий диапазон
0.0.0.0/0 - означает любой IP адрес.
И первое - давайте определимся со способом обозначения диапазонов адресов сети IP, используя маску
адрес 192.168.88.0/24 означает диапазон с 192.168.88.1 по 255
Если в качестве последнего числа стоит не ноль, а другое число, например 50, то диапазон будет начинаться с этого числа.
адрес 192.168.88.50/24 означает диапазон с 192.168.88.50....255
если используется маска /32 - то диапазон будет из единого адреса...
адрес 192.168.88.50/32 означает только единый адрес 192.168.88.50
И наконец максимально широкий диапазон
0.0.0.0/0 - означает любой IP адрес.
Шаг 1. Устанавливаем пакет WireGuard
System -> Package Manager -> Available Packages
Находим: WireGuard (у меня версия 0.1.6_2) и устанавливаем.
Находим: WireGuard (у меня версия 0.1.6_2) и устанавливаем.
- Роутер выходит в интернет, используя публичный (и желательно статический) IP
Шаг 2. Добавляем туннель WireGuard
VPN -> WireGuard -> Add Tunnel
Enable: Да (оставляем)
Description: wg_testVPN_10_10_0 (Заполняем по своему усмотрению)
Listen Port: 51820 (можно любой не занятый порт).
Interface keys: Заполнить кнопкой generate.
Назначенный порт 51820 позже потребуется пробросить в роутере на IP адрес нашего pfSense 192.168.88.201, что бы VPN был доступен из внешнего интернета. Обращаю внимание используется протокол UDP
Для настройки туннеля и пиров может быть удобно использовать сервис
https://www.wireguardconfig.com/ Этот путь кажется очень простым при начальной настройке, но в простоте кроется опасность пропустить логику работы, потому не буду его рекомендовать на начальном этапе.
Подробное описание поле можно найти на странице официальной документации Подробное описание полей docs.netgate.com - WireGuard Package Settings
Для настройки туннеля и пиров может быть удобно использовать сервис
https://www.wireguardconfig.com/ Этот путь кажется очень простым при начальной настройке, но в простоте кроется опасность пропустить логику работы, потому не буду его рекомендовать на начальном этапе.
Подробное описание поле можно найти на странице официальной документации Подробное описание полей docs.netgate.com - WireGuard Package Settings
Шаг 3. Добавление Peer
Подготовим Android телефон. Скачаем официальное приложение WireGuard и создадим в приложении новый туннель, для которого сгенерируем пару ключей. Публичный ключ с ТУННЕЛЯ клиента нам потребуется для заполнения в ПИРЕ админки - передадим его на компьютер через какой-нибудь мессенджер или почту.
Вернемся в Админку pfSense, нажмем карандаш для редактирования ранее созданного в туннеля и добавим peer.
Add Peer
Вернемся в Админку pfSense, нажмем карандаш для редактирования ранее созданного в туннеля и добавим peer.
Add Peer
Enable: Да (оставляем)
Tunnel: tun_wg0 (wg_testVPN_10_10_0) - оставляем только что созданный туннель
Description: my Phone IP 2 - Указываем произвольную подсказку о клиенте
Dynamic EndPoint: Да - оставляем включенным
Public key: ключ сгенерированный для ТУННЕЛЯ (!!!) на клиентском (!!!) устройстве
Pre-shared Key - оставим пустым
Allowed IP - 10.10.0.2/32
Важно понимать несколько важных моментов
1) Пара private/public ключей генерируется как для туннеля, так и для каждого пира.
2) Приватный ключ хранится только в том месте, где сгенерирован и никуда не передается. Публичный ключ передается на встречное устройство (или несколько устройств).
3) Важный нюанс.
Публичный ключ ТУННЕЛЯ админки будет использован в ПИРАХ клиентов.
Публичный ключ ТУННЕЛЯ клиентов будет использован в ПИРАХ админки
Получается что для заполнения Public Key пиров в админке нам потребуется создать ТУННЕЛЬ (!!!) в клиенте Android и там сгенерировав пару ключей - передать его ПИР (!!!) админки.
А при создании ПИРОВ (!!!) в клиентских устройствах - мы должны будем указывать публичный ключ ТУННЕЛЯ (!!!) админки.
Эта "шахматка", на мой взгляд, самое сложное в понимании....
Еще раз это можно увидеть, воспользовавшись сервисом генерации ключей https://www.wireguardconfig.com/. Зайдите на этот сайт, оставьте все настройки по умолчанию и нажмите Generate Config. Сначала там будет отрисованы настройки админки сервера, где, обратите внимание общий публичный ключ (Туннеля - белый фон) попадет в настройках клиента в ПИРЫ (серый фон).
А публичный ключ ПИРов сервера (серый) заполнен из белой зоны (пары ключей ТУННЕЛЯ) каждого клиентского устройства.
1) Пара private/public ключей генерируется как для туннеля, так и для каждого пира.
2) Приватный ключ хранится только в том месте, где сгенерирован и никуда не передается. Публичный ключ передается на встречное устройство (или несколько устройств).
3) Важный нюанс.
Публичный ключ ТУННЕЛЯ админки будет использован в ПИРАХ клиентов.
Публичный ключ ТУННЕЛЯ клиентов будет использован в ПИРАХ админки
Получается что для заполнения Public Key пиров в админке нам потребуется создать ТУННЕЛЬ (!!!) в клиенте Android и там сгенерировав пару ключей - передать его ПИР (!!!) админки.
А при создании ПИРОВ (!!!) в клиентских устройствах - мы должны будем указывать публичный ключ ТУННЕЛЯ (!!!) админки.
Эта "шахматка", на мой взгляд, самое сложное в понимании....
Еще раз это можно увидеть, воспользовавшись сервисом генерации ключей https://www.wireguardconfig.com/. Зайдите на этот сайт, оставьте все настройки по умолчанию и нажмите Generate Config. Сначала там будет отрисованы настройки админки сервера, где, обратите внимание общий публичный ключ (Туннеля - белый фон) попадет в настройках клиента в ПИРЫ (серый фон).
А публичный ключ ПИРов сервера (серый) заполнен из белой зоны (пары ключей ТУННЕЛЯ) каждого клиентского устройства.
Не очевидный момент про Allowed IP. В данном случае это не фильтр, а некоторый маркер, в котором должен быть указан точный ip адрес с маской /32. Если указать что-то другое вы либо не сможете вообще видеть соседние устройства, либо только последний созданный пир будет видеть соседей, а остальные будут слепыми.
Теперь об EndPoint. WireGuard позволяет устанавливать соединение не только с клиентов к серверу, но и в обратном направлении от сервера к клиентам. Для этого потребовалось бы указать адрес EndPoint клиента (конечно же белый, статический).
Pre-shared Key - оставим пустым. Его можно сгенерировать и тогда придется указывать на всех клиентах. Он не обязателен и требуется для дополнительной безопасности…
Теперь об EndPoint. WireGuard позволяет устанавливать соединение не только с клиентов к серверу, но и в обратном направлении от сервера к клиентам. Для этого потребовалось бы указать адрес EndPoint клиента (конечно же белый, статический).
Pre-shared Key - оставим пустым. Его можно сгенерировать и тогда придется указывать на всех клиентах. Он не обязателен и требуется для дополнительной безопасности…
Шаг 4. Конфигурация Firewall
4.1 Firewall -> Rules -> WAN
Добавляем правило, позволяющее из внешей сети UDP трафик на порт 51820
Добавляем правило, позволяющее из внешей сети UDP трафик на порт 51820
Add
Action: pass (оставляем)
Interface WAN (оставляем)
Address Family: IPv4 (оставляем)
Protocol UDP (вместо TCP)
Источник: Any
Destination: WAN adddress
Destination Port: from 51820 to 51820
Description: Allow 51820 for testVPN
4.2 Firewall -> Rules -> WireGuard
Добавляем правило, позволяющее внутри VPN ходить любым пакетам без ограничений
Добавляем правило, позволяющее внутри VPN ходить любым пакетам без ограничений
Add
Добавляем Add
Action: Pass (оставляем)
Interface: WireGuard
Protocol Any (вместо TCP)
Source Any
Destination Any
Description: Allow all in testVPN
Шаг 5. Активируем WireGuard
Админка PFSense -> VPN -> WireGuard -> вкладка Settings
включаем Enable WireGuard - Да
Сохраняем, Save
включаем Enable WireGuard - Да
Сохраняем, Save
Шаг 6. Настройка интерфейсов
Админка PFSense -> Interfaces -> Assignments
Находим Available networt ports (tun_wg0) и кликаем зеленую Add
Новому интерфейсу назначилось имя OPT1
Находим Available networt ports (tun_wg0) и кликаем зеленую Add
Новому интерфейсу назначилось имя OPT1
Далее кликаем на полученном имени OPT1 (рядом с кнопкой Save)
И делаем некоторые настройки:
И делаем некоторые настройки:
Enable Да
MTU укажите 1420 (важно, подробнее здесь)
IPv4 Configuration type: Static IPv4
IPv4 Adress 10.10.0.1 / 24
Автор одной из статей посчитал важным заполнить MTU, подробнее можно прочитать здесь. https://www.reddit.com/r/PFSENSE/comments/u3hcc4/comment/i4q4qfs/?utm_source=share&utm_medium=web2x&context=3
Вероятно было бы уместно поставить не Static IP, а DHCP и попробовать добиться автоматического назначения IP адресов клиентам VPN. Ведь wireGuard сам не умеет назначать IP адреса… Но это мечты. Предлагаю самостоятельно прокачать этот вопрос.
Вероятно было бы уместно поставить не Static IP, а DHCP и попробовать добиться автоматического назначения IP адресов клиентам VPN. Ведь wireGuard сам не умеет назначать IP адреса… Но это мечты. Предлагаю самостоятельно прокачать этот вопрос.
Сохраняем и применяем настройки. Save, Apply changes
Шаг 7. Выносим на Dashboard мониторинг VPN
и перезапускаем WireGuard
Админка PFSense Status -> DashBoard
В верхнем правом углу нажимаем + и добавляем панель Services Status
Аналогично, через + добавляем панель WireGuard
Перетаскиваем панели на верх.
Сохраняем настройки панелей дискеткой в верхнем правом углу.
В верхнем правом углу нажимаем + и добавляем панель Services Status
Аналогично, через + добавляем панель WireGuard
Перетаскиваем панели на верх.
Сохраняем настройки панелей дискеткой в верхнем правом углу.
Здесь же на панели перезапускаем службу WireGuard
Services Status -> WireGuard -> перезапускаем службу WireGuard
Services Status -> WireGuard -> перезапускаем службу WireGuard
Шаг 8. Настройка клиента VPN на Android
Настройка на Android заключается в скачивании официального приложения.
Мы это уже ранее сделали….Также мы уже создали туннель, сгенерировали для него ключи и занести их в админке при создании peer.
Теперь вносим еще некоторые данные
Мы это уже ранее сделали….Также мы уже создали туннель, сгенерировали для него ключи и занести их в админке при создании peer.
Теперь вносим еще некоторые данные
Адреса: 10.10.0.2/32
Порт: 51820
DNS-серверы: пусто
MTU: пусто
В поле Адреса мы указываем, какой IP адрес(а) будут назначаться данному клиенту.
WireGuard разрешает по одной настройке пира подключать несколько устройств (что конечно очень не красиво), потому адрес можно указывать не один, либо давать диапазон адресов. Мы же полагаем, что для каждого устройства мы будем создавать отдельную настройку, потому указываем диапазон из одного адреса 10.10.0.2/32 , где вместо 2ки на конце адреса указываем какой-то уникальный номер.
DNS можно указать 8.8.8.8 (Не обязателен), но я не планирую передавать интернет через данный тоннель, потому оставляю пустым.
WireGuard разрешает по одной настройке пира подключать несколько устройств (что конечно очень не красиво), потому адрес можно указывать не один, либо давать диапазон адресов. Мы же полагаем, что для каждого устройства мы будем создавать отдельную настройку, потому указываем диапазон из одного адреса 10.10.0.2/32 , где вместо 2ки на конце адреса указываем какой-то уникальный номер.
DNS можно указать 8.8.8.8 (Не обязателен), но я не планирую передавать интернет через данный тоннель, потому оставляю пустым.
Теперь добавляем peer и, как говорилось ранее, вносим в него публичный ключ тоннеля (!!!) админки
Публичный ключ (Public key): С/oyr.... (из тоннеля админки pfSense)
Общий ключ (Pre-shared key): оставляем пустым
Конечная точка (endpoint): 192.168.88.201:51820
Разрешенные IP (Allowed IP): 10.10.0.0/24
Публичный ключ: берем из Админки PFSense - настроек туннеля (не пира) на шаге 2.
Общий ключ (Pre-Shared key): Оставим пустым, потому как мы его не заполняли при создании туннеля на шаге 2.
Постоянное соединение: пусто
Конечная точка (EndPoint): Адрес нашего VPN сервера. Для телефона, подключенного к WiFi укажем адрес в локальной сети 192.168.0.201:51820 и через двоеточие порт.
Позже, этот адрес бы исправить на публичный IP роутера, но только после настройки проброса портов в этом роутере....
Разрешенные IP адреса (Allowed IP): 10.10.0.0/24 - Здесь особый смысл. По указанному фильтру клиентское устройство понимает, какие адреса следует запрашивать через VPN, а какие по обычным маршрутам. В нашем случае говорим, что только подсеть 10.10.0.xxx должна запрашиваться через текущую настройку VPN.
Если вы настраиваете VPN для доступа в интернет, то в этом поле через запятую надо будет указать диапазон "все адреса" 0.0.0.0/0.
Общий ключ (Pre-Shared key): Оставим пустым, потому как мы его не заполняли при создании туннеля на шаге 2.
Постоянное соединение: пусто
Конечная точка (EndPoint): Адрес нашего VPN сервера. Для телефона, подключенного к WiFi укажем адрес в локальной сети 192.168.0.201:51820 и через двоеточие порт.
Позже, этот адрес бы исправить на публичный IP роутера, но только после настройки проброса портов в этом роутере....
Разрешенные IP адреса (Allowed IP): 10.10.0.0/24 - Здесь особый смысл. По указанному фильтру клиентское устройство понимает, какие адреса следует запрашивать через VPN, а какие по обычным маршрутам. В нашем случае говорим, что только подсеть 10.10.0.xxx должна запрашиваться через текущую настройку VPN.
Если вы настраиваете VPN для доступа в интернет, то в этом поле через запятую надо будет указать диапазон "все адреса" 0.0.0.0/0.
Шаг 8. Настройка второго клиента VPN на Windows
Скачиваем официальный клиент WireGuard и, раскрыв список в нижнем левом углу добавляем пустой туннель. В нем будут заполнены только приватный и публичный ключ.
Копируем публичный ключ для заполнения нового пира в админке pfSense.
Возвращаемся в
админка pfSense -> VPN -> WireGuard, карандаш для редактирования нашего туннеля и в разделе Peers Configuration - > Add Peer
Копируем публичный ключ для заполнения нового пира в админке pfSense.
Возвращаемся в
админка pfSense -> VPN -> WireGuard, карандаш для редактирования нашего туннеля и в разделе Peers Configuration - > Add Peer
Добавляем новый Пир
Enabled: Да
Description: WinClient IP3
Public key: Согласно полученному только что Public Key тоннеля
Allowed IPs: 10.10.0.3/32
На клиенте Windows редактируем созданное ранее подключение
[Interface]
PrivateKey = Оставляем ранее сгенерированный на клиенте ключ
Address = 10.10.0.3/32
[Peer]
PublicKey = Публичный ключ туннеля админки
AllowedIPs = 10.10.0.0/24
Endpoint = 192.168.88.201:51820
Шаг 9. Запуск и проверка
Мы сделали все необходимые настройки и осталось запустить. Рекомендую лишь перезапуск сервера WireGuard или всей pfSense виртуальной машины (не обязательно)
Хотел бы в двух словах описать, как мне было удобнее проверять работоспособность VPN
Во первых при подключении клиента через секунду две вы должны увидеть что побежал трафик, причем не только исходящий, но и входящий. А для этого надо бы трафик инициировать. Я это делал программой ping monitor для Andoroid.
Можно также на pfSense или Windows клиенте открыть консоль и запустить команду
ping 10.10.0.Х /t
Второй этап проверки - на каждом клиентском устройстве проверял доступность админки роутера в броузере по адресу http://10.10.0.1
Еще в админке pfSense в разделе vpn -> WireGuard -> Status можно развернуть тоннель и посмотреть когда подключался каждый peer и с какого адреса... Но пользоваться панелью неудобно. Она немного запаздывает плюс не обновляется автоматически. Надо перезагружать страницу через Ctrl+F5
Во первых при подключении клиента через секунду две вы должны увидеть что побежал трафик, причем не только исходящий, но и входящий. А для этого надо бы трафик инициировать. Я это делал программой ping monitor для Andoroid.
Можно также на pfSense или Windows клиенте открыть консоль и запустить команду
ping 10.10.0.Х /t
Второй этап проверки - на каждом клиентском устройстве проверял доступность админки роутера в броузере по адресу http://10.10.0.1
Еще в админке pfSense в разделе vpn -> WireGuard -> Status можно развернуть тоннель и посмотреть когда подключался каждый peer и с какого адреса... Но пользоваться панелью неудобно. Она немного запаздывает плюс не обновляется автоматически. Надо перезагружать страницу через Ctrl+F5
Шаг 10. Проброс порта на роутере...
Смею предположить, что если вы поставили pfSense, то рассказывать как делать проброс порта на роутере уже не надо...
Телеграмм: t.me/GoloseevRU
e-mail для обратной связи: Blog@Goloseev.ru
