CONFIGURACIÓN VPN - SITE TO SITE [WIREGUARD]

CONFIGURACIÓN DE PFSENSE - TERMINAL

Antes de empezar vamos a configurar la IP de la interfaz LAN, ya que una vez iniciado pfsense da una IP por defecto. Tenemos que tener encuenta la dirección IP que nos ha dado la WAN que seria nuestra IP PUBLICA.

En este caso tendria en la WAN seria la IP - 192.168.1.108/24. Y en la LAN seria la IP - 192.168.2.1/24

IP ESTATICAS EN LAN

Para ello vamos a darle una IP a la LAN, daremos a la opción 2, y señalamos la interfaz 2.

Asignaremos una IP a nuestra interfaz y añadir la mascara que tendra nuestra IP.

DHCP DENTRO DE PFSENSE

Ahora vamos a decir que si queremos un DHCP. Decimos el rango que va tener nuestro DHCP y nos dira que IP tiene ahora nuestro sitio web de pfsense, para poder configurarla mas adelante.

Ahora dentro de la interfaz de pfsense y vamos a reservar la IP a nuestro WireGuard, para ello vamos a SERVICE > DHCP SERVER > LAN y daremos a DHCP STATIC MAPPING FOR THIS INTERFACE.
Añadimos la IP que queremos en nuestro servidor WireGuard, para ello pondremos la MAC de nuestro WireGuard y la IP que vamos a poner a nuestro servidor.

GATEWAY

Vamos a irnos a SYSTEM > ROUTING > GATEWAY y vamos añadir un nuevo GATEWAYS.

Ahora vamos a SYSTEM > ROUTING > STATIC ROUTES y vamos añadir la IP de nuestro WireGuard y el rango IP del otro SERVIDOR WIREGUARD.

Y con todo esto el tráfico que vaya hacia la red contraria, que se redirija a la puerta de enlace que configuramos anteriormente.

CONFIGURAR FIREWALL

Ahora vamos a configurar el FireWall para que deje paso con los PUERTOS ASIGNADOS y sabiendo la IP PUBLICA que fue asignada.

Con todo esta configuración tenemos el FireWall y el Pfsense listo para que se pueda hacer la VPN sin problema.
Antes de terminar con el Pfsense vamos a INTERFACES > WAN y desmarcaremos lo marcado en RESERVED NETWORKS

PROGRAMAS NECESARIOS

Antes de empezar vamos a empezar a configurar debemos actualizar el sistema con el siguietes comando sudo apt update && sudo apt upgrade.
Vamos a instalar IpTables y Traceroute.

sudo apt install iptables - Esto lo introduciremos en la configuración del Wireguard para que nos permita el paso de paquetes mediante un Masquerade.
sudo apt install traceroute - Esto nos ayudará a ver las trazas de conexión en caso de fallo.
Ahora vamos a instalar WireGuard sudo apt install wireguard.
Ahora vamos a crear la carpera donde ira el WireGuard, para ello ponemos el siguiente comando mkdir -p /etc/wireguard/keys.
Con todo esto ya estaria en la parte de instalación de todo lo necesario para poder hacer la configuración del WireGuard.
CONFIGURACIÓN WIREGUARD
Ahora vamos a crear las claves privada y publica del WireGuard.
Con este comando vamos a crear la clave privada wg genkey > host-priv.key y creamos la clave publica wg pubkey < host-priv.key > host-pub.key.
Una vez creada las claves vamos a crear el archivo de configuración para el WireGuard, nano /etc/wireguard/wg0.conf.
Local settings for Localhost**

[Interface]
PrivateKey = (ClavePrivadaGeneradaEnEsteWireGuard)
Address = (Dirección IP Túnel Propio) PONER MÁSCARA
ListenPort = (Puerto de Escucha, normalmente el 51821)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o (Interfaz Wireguard que da a la LAN) -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o (Interfaz Wireguard que da a la LAN) -j MASQUERADE
SaveConfig = true
# IP Forwarding
PreUp = sysctl -w net.ipv4.ip_forward=1
# Remote settings for Host Izquierda o Derecha
[Peer]
PublicKey = (ClavePúblicaGeneradaEnElOtroWireguard)
Endpoint = (Dirección IP de la boca que da a internet del router de la red contraria):(Puerto de Escucha, normalmente el 51820)
AllowedIPs = (Dirección de red de la red contraria) PONER MÁSCARA y si quieres poner más de una dirección IP, sepárala de la anterior con una coma.

Ahora con esta configuración ya funcionaria nuestra VPN.
NOTA

Aquí puedes poner también la dirección IP de la boca contraria del túnel para ver si hacen "Ping" entre ellas.

Ahora solo falta comprobarlo.
COMANDOS

wg-quick up wg0 - Levantar la configuración
wg show wg0 - Comprobar el "Handshake"
wg-quick down wg0 - Tirar la configuración

Ahora con toda solo es hacer lo mismo pero en el otro WireGuard