1. Зарезервировать постоянный адрес для компьютера в DHCP. 2. Разрешить удаленный рабочий стол для пользователя, если он не администратор рабочего компьютера. 3. Добавить пользователя в группу “VPNusers”, располагающуюся в OU pfsense. 4. Издать сертификат пользователя в pfsense с common name, соответствующим имени пользователя в AD. 5. Назначить пользователю свободный IP-адрес из пула адресов VPN (172.16.20.0/25) и прописать его в client specific overrides в pfsense командой

ifconfig-push 172.16.20.X 255.255.255.128

6. Создать разрешающее правило от адреса клиента VPN до рабочего места. 7. Выгрузить пакет клиента VPN со встроенным сертификатом из раздела client export pfsense и установить пользователю.

При создании пользователя, сертификата и в подключении - учитывать регистр букв, это важно!

Для работы site-to-site VPN требуется (кроме настройки VPN-клиента):

* В секции “custom options” VPN-сервера добавить маршрут, который ведет в удаленную сеть:

route 172.16.24.0 255.255.255.0;

* В client specific overrides заполнить секцию “IPv4 Remote Network/s”, в которой указать адрес удаленной сети, куда ведет ранее указанный маршрут:

172.16.24.0/24

* Чтобы устройства основной сети могли видеть удалённую сеть требуется, чтобы локальный адрес VPN-сервера был шлюзом у устройств. Либо прописывать отдельный маршрут.