===== VPN доступ =====

=== Настройка VPN-доступа до компьютера пользователя ===

 1. Зарезервировать постоянный адрес для компьютера в DHCP. 
 2. Разрешить удаленный рабочий стол для пользователя, если он не администратор рабочего компьютера. 
 3. Добавить пользователя в группу ''"VPNusers"'', располагающуюся в OU ''pfsense''. 
 4. Издать сертификат пользователя в [[pfsense]] с common name, соответствующим имени пользователя в AD. 
 5. Назначить пользователю свободный IP-адрес из пула адресов VPN (172.16.20.0/25) и прописать его в ''client specific overrides'' в [[pfsense]] командой 
<code>
ifconfig-push 172.16.20.X 255.255.255.128
</code>
 6. Создать разрешающее правило от адреса клиента VPN до рабочего места.
 7. Выгрузить пакет клиента VPN со встроенным сертификатом из раздела ''client export'' [[pfsense]] и установить пользователю.

''При создании пользователя, сертификата и в подключении - учитывать регистр букв, это важно!''

=== Особенности настройки Site to Site VPN в OpenVPN сервере PFSense ===

Для работы site-to-site VPN требуется (кроме настройки VPN-клиента):

 * В секции "custom options" VPN-сервера добавить маршрут, который ведет в удаленную сеть:

<code>
route 172.16.24.0 255.255.255.0;
</code>

 * В client specific overrides заполнить секцию "IPv4 Remote Network/s", в которой указать адрес удаленной сети, куда ведет ранее указанный маршрут:

<code>
172.16.24.0/24
</code>

 * Чтобы устройства основной сети могли видеть удалённую сеть требуется, чтобы локальный адрес VPN-сервера был шлюзом у устройств.
Либо прописывать отдельный маршрут.

{{tag>PfSense VPN Tutorial Networking OpenVPN}}