NAT Gateway and SSL VPN with Pfsense-2.6.0

Network Diagram

Requirement

Pfsense image บน project ของคุณ
2 VPC network
- 1 private subnet for assosiate with external IP สำหรับทำเป็น WAN interface
- 1 private subnet ของลูกค้าที่ต้องการจะใช้ NAT gateway (มีได้มากกว่า 1 subnet) สำหรับทำเป็น LAN interface
1 external IP สำหรับใช้ทำ NAT ออกไปยัง Internet และสำหรับ VPN client (OpenVPN)

Implementation guide

OS ในการทดสอบจะใช้ Pfsense-2.6.0 ทำ NAT gateway และ OpenVPN

***ในคู่มือนี้จะไม่มีขั้นตอนในการนำ image Pfsense เข้า NCS ผู้ใช้งานสามารถ import image Pfsense-2.6.0 ได้เอง ตามอ้างอิงในเอกสาร https://docs-epc.gitbook.io/ncs-documents/image/importing-your-own-image

1. Basic Configuration

2.1. Create Pfsense Instance

Launch instance ด้วย Pfsense-2.6.0 image

เลือก virtual network ที่จะผูก External IP เพื่อให้สามารถเข้าถึง WebUI ได้

2.2. Basic Config Pfsense

หลังจาก launch instance แล้ว เข้า WebUI ของ Pfsense ด้วย external IP โดยกรอกรายละเอียดล็อกอินต่อไปนี้

Username: admin

Password: pfsense

OS Note : หากเข้าไม่ได้แล้วมี error ขึ้นมา ให้ทำการ console แล้วใส่ command line นี้ “pfSsh.php playback disablereferercheck“

เมื่อเข้าได้แล้ว ให้ตั้งค่าพื้นฐาน เช่น hostname, dns, ntp, password

จากนั้น เข้าไปที่เมนู Firewall ➝ Rule ➝ WAN

เพิ่ม rule allow any IP

โดยต้องทำก่อนการเพิ่ม network interface ที่ 2 เท่านั้น เนื่องจาก default rule ของ WAN ที่ allow HTTP จะถูกย้ายไปอยู่ขา LAN เมื่อเพิ่ม interface ใหม่ จะส่งผลให้ขา WAN ไม่มี rule firewall ที่ allow HTTP ซึ่งทำให้เราไม่สามารถเข้าใช้งาน Pfsense ได้

2.3. Add Network Interface ของ Pfsense สำหรับ LAN Interface

หลังจากตั้งค่าพื้นฐานของ Pfsense แล้ว ให้เพิ่ม network interface สำหรับ subnet (LAN) เพื่อใช้งาน NAT gateway โดยสามารถมีได้มากกว่า 1 subnet

ตัวอย่างคือ หากมี 2 subnet ที่ต้องการใช้งาน NAT gateway เราจำเป็นที่จะต้อง add interface ของ 2 subnet นี้เข้าที่ pfsense ด้วย

เมื่อเพิ่ม network interface ต้องแก้ security group ของ port นั้น ๆ ด้วย โดยต้องกำหนดให้เป็น allow all เพราะต้องกำหนด policy rule บน Pfsense อีกครั้ง

จากนั้น กลับมาที่ Pfsense ที่เมนู Interfaces ➝ Assignments

และ add interface เข้าไป

Allow Firewall ที่ขา LAN

หลังจากเพิ่ม Interface LAN แล้ว ให้ทำ fix default route ของ Pfsense ให้ออกทางขา WAN เท่านั้น

ที่เมนู System ➝ Routing ➝ Gateways

2. NAT Configuration

2.1. NAT Configuration

ตั้งค่า NAT โดยไปที่เมนู Firewall ➝ NAT ➝ Outbound

เปลี่ยน mode จาก automatic ไปยัง manual

จากนั้น ลบ rule NAT ออกให้หมด

เพิ่ม rule NAT สำหรับ private IP ที่จะ NAT ผ่าน Interface WAN ที่มี External IP อยู่

2.2. Add Host Route บน VPC Network

กลับไปที่หน้า NCS ของ project ของคุณเพื่อทำ host route บน virtual network เพื่อให้ instance ที่อยู่ภายใต้ virtual network นั้น ได้รับ DHCP default route ไปยัง Pfsense แทนที่จะเป็น vRouter

การทำ host route เป็นการบอกให้ DHCP server ของ Tungsten Fabric แจก route ที่ระบุลงไปเมื่อ Client รับ DHCP

ถ้า instance เกิดขึ้นมาก่อนจะใส่ host route จำเป็นต้อง release DHCP เพื่อให้ได้รับ route ดังกล่าว "dhclient -r"
ถ้า instance เกิดมาหลังใส่ Host Route จะได้รับ route ดังกล่าวทันที

ทำการเพิ่ม Default Route ไปยังขาของ Pfsense

2.3. Disable RPF บน Virtual Network

เมื่อทำ host route แล้ว จะต้อง disable "Reverse Path Forwarding" บน virtual network ที่ต้องการใช้ NAT gateway ด้วย โดยสามารถดำเนินการบน virtaul network ได้โดยเลือกที่ Network & Security > VPC Network > เลือก virtual network ที่ใช้งานสำหรับ WAN (external IPs) และ virtual network ต้องการใช้งาน NAT gateway ตามรูปด้านล่างครับ

Launch instance ขึ้นมาเพื่อทดสอบ NAT gateway โดยใช้ private network

จะเห็นว่า default route จะชี้ไปทาง Pfsense แทน และเมื่อออก Internet จะเห็นว่าสามารถออกไปได้ด้วย external IP ที่ assosiate บน Pfsense ขา WAN อยู่

Note : หากมีเครื่อง instance ที่สร้างก่อนที่จะทำการกำหนด host route ใน VPC network จะไม่ได้รับ host route ซึ่งจะทำให้ไม่สามารถใช้งาน NAT gateway (internet) ได้ จึงจำเป็นต้อง reboot instance (VM) เครื่องดังกล่าวก่อน

3. SSL VPN Configuration

3.1. Install Essential Package

ไปที่เมนู System ➝ Package Manager ➝ Available Packages

Search "openvpn" และลง package "openvpn-client-export" เพื่อใช้สำหรับ export file opvn สำหรับผู้ใช้งาน

3.2. Create new CA

ไปที่เมนู System ➝ Cert Manager ➝ CA

Method : Create an internal Certificate Authority

Key Type : RSA 4096

Digest Algorithm : SHA256

Lifetime : 3650 (10 years)

Note : การสร้าง SSL-VPN นี้ เป็นการใช้ certificate แบบ self signed แต่หากคุณมี CA แล้ว สามารถนำมาใช้ได้เช่นกัน

3.3. Create Server Certificates for OpenVPN

ไปที่เมนู System ➝ Cert Manager ➝ Certificates

Method : Create an internal Certificates

Key Type : RSA 4096

Digest Algorithm : SHA256

Lifetime : 3650 (10 years)

Certificate Type : Server Certificate

3.4. Create OpenVPN Server

เข้าไปที่เมนู VPN ➝ OpenVPN ➝ Servers

ตั้งค่า OpenVPN Server ดังนี้

Server Mode : Remote Access (User Auth)

Device Mode : Tun - Layer 3 Tunnel Mode

Protocol : UDP on IPv4 Only

Interface : WAN

Peer Certificate Authority : NCS (ชื่อตามตอนที่สร้าง CA)

Server Certificate : NCS-Server (ชื่อตามตอนที่สร้าง Certificate Server)

IPv4 Tunnel Network : 10.147.0.0/24 (Subnet สำหรับแจก client เวลา VPN เข้ามา พยายามตั้งค่าให้ไม่ชนกับ subnet ที่ผู้ใช้ใช้งานอยู่)

IPv4 Local Network : 10.148.0.0/24, 10.149.0.0/24 (Subnet ที่ต้องการใช้งานเมื่อ VPN เข้ามา)

เมื่อสร้าง OpenVPN server แล้ว ให้ assign interface ใหม่

และ allow firewall สำหรับ interface OpenVPN เพื่อให้ user สามารถใช้ VPN และเข้าถึง interface อื่นภายในได้

3.5. Create Users for OpenVPN

เข้าไปที่เมนู System ➝ User Manager ➝ Users

สำหรับ VPN user ไม่จำเป็นต้องอยู่ใน Group Membership แค่สร้าง username/password สามารถใช้งานได้เลย

3.6. Client Profile Export

ไปที่เมนู VPN ➝ OpenVPN ➝ Client Export

ทำการตั้งค่า Host Name Resolution เป็น other และใส่ Host Name เป็น External IP ที่ Assosiate กับขา WAN

Export OpenVPN Profile ไปใช้

3.7. Testing OpenVPN

ทดสอบโหลด profile จาก Pfsense และใช้งานบน iPad

สร้าง instance ใหม่ใน Private Network เพื่อทำเป็น web server ไว้ทดสอบ OpenVPN

ทดสอบเข้า web ด้วย OpenVPN

สิ่งที่ควรทราบและข้อจำกัด (Consideration and Limitation) :

Bandwidth ที่ใช้งาน Internet ได้ ขึ้นอยู่กับ Instance (Pfsense) ที่เราสร้างตาม Flavor ที่เลือก โดยรายละเอียดสามารถดูเพิ่มได้ที่ https://nipa.cloud/th/pricing/nipa-space/instance
VPC Network ที่ใช้งาน NAT gateway จะไม่สามารถเชื่อมต่อกับ VPC Network อื่นๆ ที่เชื่อมต่อกับ logical router ได้ หากต้องการให้สามารถเชื่อมต่อกันได้ ต้องเพิ่ม destination route (host route) ของ VPC Network ของทั้ง 2 VPC network นั้น ซึ่งคล้ายการทำ static route
Configuration, Bug และ Issue ต่างๆ ที่เกิดจาก Pfsense ลูกค้าต้องดำเนินการตรวจสอบและแก้ไขด้วยตัวเอง
ผู้ใช้งานต้องดำเนินการตรวจสอบและแก้ไข configuration, bug และ issue ต่างๆ ที่เกิดจาก Pfsense
ผู้ใช้งานต้องดำเนินการด้าน security ต่างๆ ของ Pfsense (NAT gateway) ด้วยตนเอง
ไม่แนะนำให้ใช้งานกับ production หากต้องการใช้งานบน produciton กรุณาแจ้งติดต่อ sale เพื่อรับคำปรึกษาเพิ่มเติม

PreviousNAT Gateway with Ubuntu (VM)NextWhat is Enterprise Cloudflare?

Last updated 2 years ago

hashtagNetwork Diagram

hashtagRequirement

hashtagImplementation guide

hashtag1. Basic Configuration

hashtag2.1. Create Pfsense Instance

hashtag2.2. Basic Config Pfsense

hashtag2.3. Add Network Interface ของ Pfsense สำหรับ LAN Interface

hashtag2. NAT Configuration

hashtag2.1. NAT Configuration

hashtag2.2. Add Host Route บน VPC Network

hashtag2.3. Disable RPF บน Virtual Network

hashtag3. SSL VPN Configuration

hashtag3.1. Install Essential Package

hashtag3.2. Create new CA

hashtag3.3. Create Server Certificates for OpenVPN

hashtag3.4. Create OpenVPN Server

hashtag3.5. Create Users for OpenVPN

hashtag3.6. Client Profile Export

hashtag3.7. Testing OpenVPN

hashtagสิ่งที่ควรทราบและข้อจำกัด (Consideration and Limitation) :