开源防火墙OPNsense和pFsense部署点到点IPSEC--- By年糕泰迪

    本文主要初步了解了下开源防火墙中的2兄弟pFsense和OPNsense差异，闲来无事顺便用它俩撸了一把site to site  IPsec 。

一，oFsense(v2.3.3)和OPNsense（V20.1）通俗对比
    这2兄弟前面的是大哥，差不多15岁了，后面的是弟弟也就4/5岁，因为都是一个爹妈（FreeBSD/m0n0wall）生的，虽然外表有所差异，但是骨子里的东西99%都一样。首先，哥哥长的丑一点（GUI中规中矩），弟弟长的就帅很多了，也比较时髦（2个系统的前端框架不一样，前者是Bootstrap后者是基于Phalcon PHP框架的Bootstrap）；其次，哥哥长大了想法也多了，感觉自己有些某些方面能力不足但自己有无能为力，所以需要第三方的力量来弥补（支持插件），而弟弟想法是引入第三方会影响到自身某些方面的发展，所以不想接入外来（不支持插件）；最后，他俩对周围环境的安全意识也发生了一些分歧（前者是IDS大佬Snort，这个已经被cisco撸到FTD中了，后者是Suricata），其他的2兄弟可以说基本都一样，最后他俩现在都出名了（主要国外名气大），哥哥开发布会比较随意，弟弟则是每周开发布会（安全更新周期不同）。
    先来张他俩的自拍，大家体会下，上面的是哥哥，下面的是弟弟。

简要拓扑

目标：10.10.10.11和10.10.11.11之间通过 IPSEC 互通。
二，点到点IPSEC部署
这2套系统部署非常简单，下载各自的镜像开机按照向导部署即可，主要是管理信息的部署（如选择wan/lan和硬件网卡的对应关系，接口IP,DHCP等选择部署）几分钟就完了，完事之后通过lan口IP地址Web登录之后还有web版的向导配置也是一些管理信息的部署，部署完之后内网是直接可以访问外网的，有默认的内到外访问策略和NAT，详细的配置可以参照官方文档或者百度，Google很多。这里主要是梳理下他们IPSEC（site to site）的部署，和一些注意点。
1，WAN模拟环境注意，生产环境忽略
由于我们模拟环境下FW的WAN是不会有public IP(指的是RFC1918保留除外的地址)，这2个墙在WAN接口配置的时候默认会有2个选项阻止掉RFC1918文档中规定的私有地址，所有我们现有这2个选项去掉。
pFsense中 定位到Interface->wan

然后将下面2个默认勾选的选项去掉，保存，然后再配置右上角再次确认变更，后面所有变更操作都一样。

在OPNsense中就比较操蛋了，需要再进入到向导配置中，其他不动一路下一步一直到WAN配置页面，同样拉到底取消下面2项勾选，然后一路下一步直至完成向导（其他既有配置不动）


2/防火墙放行WAN口IPSEC阶段一和阶段二的协议以及NAT-T端口。


以上2步是一个准备工作，下就就是 site to site IPSEC 部署的常规阶段一和阶段二2步走了（关于IPSEC对应参数设置不在此解释说明，请另参考，原则就是除了对端WAN口地址互指外，其他任何参数保持一致即可）。
3/pFsenseIPSEC 部署
不管是阶段一还是阶段二，实例当中部署所选择的加密协议以及参数并不是唯一，可以根据自己对安全及硬件资源的衡量选择，双方一致即可。
3.1阶段一



部署完毕保存，应用以后会有下面一条策略，这几是阶段一的策略

在策略下发有“Show Phase 2 Entries”的按钮，在没有部署阶段二策略的时候显示的是0，我们点击进去开始进入阶段二部署。
3.2阶段二


部署配置完毕后会有如下策略出现，

4，OPNsense IPSEC部署
4.1阶段一





配置保存，应用后会有如下策略，绿色图标就表示策略是在运行的，在该策略最右侧的操作按钮栏中有一个“+”,这就就是添加阶段二策略，点击进入我们开始添加阶段二策略

4.2阶段二




保存应用后会出现如下策略，记得勾选 enable IPSEC

简单部署过程就到这儿结束了，下面是查看IPSEC连接状态，以及验证。
5，IPSEC状态检测及验证
5.1 pFsense IPSEC 状态查看，我们会看到2个阶段的建立状态，以及通信交互基本情况。

若阶段一的错误，首先查看前面的2个准备工作是否双方都有部署，之后再查看双方阶段一的配置参数是否正确以及必要参数是否一致，最后再重新连接尝试。
若是阶段二无法建立，那基本就是阶段二的配置参数有问题，再回过头仔细核对。
5.2OPNsense IPSEC 状态查看，在进入到Status Overview 后看到了阶段一的基本配置，但是需要在这个策略的右下角找到哪个灰黑色的“！”再能看到后面阶段的建立状态和情况。说实话多此一举，前面猛夸OPNsense，但在实际操作中的某些细小操作，设计反人类，玩捉迷藏游戏，这个要吐槽一波。

5.3 网络互通验证
pFsense端客户端（10.10.10.11）验证


OPNsense端客户端（10.10.11.11）验证


site to site 的基本配置和验证到这就结束了，达到预期目标。举一反三，他们之间的 IPSEC部署基本都大同小异，和任何设备之间建立 site to site IPSEC 不外乎就那2步，可能不同设备一些可选参数略有差异而已。
6.小总结
初识这2套开源软墙，确实在开源领域他们真的已经很良心很不错了，从扩展性来说也很赞，物理是部署在X86的硬件中还是部署在云上等虚拟环境都很方便，操作也很清晰逻辑明了简单。除了防火墙基本的功能外，对于流量的负载，整形也很到位。再加上这2套系统都自带IDS模块也是如虎添翼吧，而且还支持无线和蜂窝网络模块的接入。
虽然他们都是开源免费的，不过在维护和支持方面同样提供商业化有偿支持，所以对于中大型应用场景的部署维护也算是有了后盾保障。话说谁家的商业墙不都是在Linux/unix底层封装以下再拿出来卖的嘛，各有所长吧。