VPN доступ
Настройка VPN-доступа до компьютера пользователя
1. Зарезервировать постоянный адрес для компьютера в DHCP.
2. Разрешить удаленный рабочий стол для пользователя, если он не администратор рабочего компьютера.
3. Добавить пользователя в группу “VPNusers”, располагающуюся в OU pfsense.
4. Издать сертификат пользователя в pfsense с common name, соответствующим имени пользователя в AD.
5. Назначить пользователю свободный IP-адрес из пула адресов VPN (172.16.20.0/25) и прописать его в client specific overrides в pfsense командой
ifconfig-push 172.16.20.X 255.255.255.128
6. Создать разрешающее правило от адреса клиента VPN до рабочего места.
7. Выгрузить пакет клиента VPN со встроенным сертификатом из раздела client export pfsense и установить пользователю.
При создании пользователя, сертификата и в подключении - учитывать регистр букв, это важно!
Особенности настройки Site to Site VPN в OpenVPN сервере PFSense
Для работы site-to-site VPN требуется (кроме настройки VPN-клиента):
* В секции “custom options” VPN-сервера добавить маршрут, который ведет в удаленную сеть:
route 172.16.24.0 255.255.255.0;
* В client specific overrides заполнить секцию “IPv4 Remote Network/s”, в которой указать адрес удаленной сети, куда ведет ранее указанный маршрут:
172.16.24.0/24
* Чтобы устройства основной сети могли видеть удалённую сеть требуется, чтобы локальный адрес VPN-сервера был шлюзом у устройств. Либо прописывать отдельный маршрут.