PfSense: WireGuard Intercomunicacion VPN Punto a Punto con VPN Usuarios Moviles.

Posted in PfSense

Hola, pues para darle continuacion a esta seria de temas sobre WireGuard me gustaria agregar este pequeño truco que tarde o temprano se les presentara la situacion o a lo mejor ya la tienes presente y tienes dudas de como hacerlo.

Figura 1.

Si no has configurado una VPN Punto a Punto con PfSense 2.5 y WireGuard aqui te dejo el link del y mi post al respecto.

Video de como configurar VPN P2P PfSense-WireGuard Aqui

Post de como Configurar VPN P2P Pfsese-WireGuard Aqui

Si no has configurado una VPN Para Usuarios Moviles con PfSense 2.5 y WireGuard aqui te dejo el link del y mi post al respecto.

Video de como configurar VPN Usuarios Moviles Pfsense-WireGuard Aqui.

Post de como configurar VPN Para Usuarios Moviles Pfsense-WireGuard Aqui.

Este post un complemento de ambos ya que si observas la figura 1 la idea es como un usuario movil que accede a la red Tijuana puede acceder a la red de Ensenada usando la misma conexion sin tener que desconectarse de uno para ir a el otro ya que cliente WireGuard no te permite mas de un tunel a la vez.

Por ello es importante tengas una situacion como tal, si ya tienes esta problematica aqui te presento la solución con WireGuard.

Si tienes OpenVPN con la misma problematica, aqui te dejo el link del video en mi canal de como se soluciona pero con OpenVPN.

Video como Intercomunicar OpenVPN Usuarios Moviles y tuneles P2P Aqui.

Es bien sencillo, una de las grandes ventajas de WireGuard es que es muy claro en lo que respecta a las rutas, este la presenta de igual manera como lo hace OpenVPN por ello uno puede manipularlas y poder jugar con ellas para llevar a cabo intercomunicaciones mas avanzadas.

IPSEC mmm solo cuando se usa VTI o modo router lo permite, pero de fabrica IPSEC clasico no lo permite.

Entonces vamos iniciando con la pregunta basada en la figura 1.

Como el cliente movil ubicado en Mulege, BCS, que accede a la red de Tijuana a traves de WireGuard puede acceder de manera simultanea a la red Ensenada, si el cliente WireGuard solo permite tener comunicacion aun solo firewall?

Una vez terminada la configuracion podremos acceder a los clientes Windows de ambas redes de manera simultanea usando Remote Desktop desde el cliente movil.

Pasos.

  1. En el PfSense de Ensenada vamos abrir WireGuard el Peer de Tijuana y agregamos la red del cliente Movil(10.10.90.0./24) asi:
Figura 2.
Figura 3.
Figura 4.
Figura 5.
Figura 6.
Figura 7.

Hasta aqui ya configuramos la parte del nodo que deseamos acceder desde el usuario movil, ahora debemos trabajar las reglas del Firewall para permitir el trafico que llegue por el tunel punto a punto fluya.

2; Abrir trafico en el firewall del pfsense que acabamos de configurar, una vez establecido de nuevo el tunel, debemos permitir que los paquetes de la red movil pueda llegar a la red de este PfSense, como ya tengoreglas solo abrire 1 regla que permita a la red de los usuarios moviles acceder a la red de Ensenada que protege este PfSense, quedando asi.

Figura 8.

Yo en mi caso ya tengo reglas para el tunel punto a punto, solo agregue la ultima la cual permite todo el trafico que venga de los usuarios moviles pueda comunicarse con la red LAN detras del PfSense de Ensenada, es un ejemplo, ya en produccion como siempre les menciono, solo permitan el trafico necesario por seguridad.

No se les olvide que la regla va en la pestaña “WireGuard”.

Aqui es todo lo que tenemos que hacer en el PfSense de Ensenada, ahora nos vamos a el de Tijuana para trabajar el Firewall.

3; Abrir trafico en el Firewall PfSense de Tijuana para que cruce por este nodo y pueda llegar a el PfSense de Ensenada.

Figura 9.

Recuerden que ya tenemos un tunel movil entre los usuarios moviles y la red de Tijuana, ahora como vamos a acceder a la red de Ensenada por este tunel llegara a el PfSende de Tijuana y ahi debemos permitir que esos paquetes fluyan a su destino, es un brinco, el P2P de Tijuana a Ensenada ya funciona recuerden esto.

Yo ya tenia reglas solo agregue la ultima la cual es muy abierta, esto es solo un ejemplo, ya en produccion de nuevo solo abrir el trafico necesario.

Y no se les olvide que la regla va en la pestaña WireGuard y “Source” es la red movil, al final salvamos la regla.

4; Modificar cliente WireGuard en equipo movil para permitir que la red de Ensenada pueda tener comunicacion con este tunel y con esto cerramos el ciclo.

Figura 10.
Figura 11.

Cruzamos los dedos y activamos el tunel.

Figura 12.

5; Pruebas de Fuego.

5.1 Ping desde cliente movil en Mulege, BCS, a equipo windows 10(192.168.5.49) detras de la red de Ensenada.

Figura 13.

5.2 Acceso a RD a equipo de Windows 10 tanto de Tijuana(192.168.15.99) como de Ensenada(192.168.5.49) de manera simultanea desde equipo movil.

Figura 14.

Listo prueba superada!!!.

Resumen.

Como pueden ver es bien sencillo llevar a cabo esto con PfSense y WireGuard, ya pueden darse una idea como hacerlo, eso si tendran que hacerlo en cada cliente movil, nada es perfecto pero funciona.

Si les gusta el post compartanlo y cualquier duda quedamos a la espera de sus comentarios en este post, nos vemos pronto!!!

Published by Pedro Moreno

Informatica mi profesion, emprendedor mi nuevo hobbie. Con una familia bendecida con mi esposa y 13 mascotas entre gatos y perros. Amo mi querido Mexico y sobre todo mi Baja, sus playas y desiertos no hay nada igual en todo el cosmos. Si puedo ayudar lo hago sin esperar nada de regreso, siempre tratando de ser una buena persona con este mundo que tanto nos da.

One thought on “PfSense: WireGuard Intercomunicacion VPN Punto a Punto con VPN Usuarios Moviles.

  1. Pingback: Video 45: 2021 PfSense WireGuard Intercomunicación entre VPN Punto a Punto y VPN Usuarios Moviles. | VPS, Servers and Security

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s