Как настроить Site-to-site VPN между старой и новой версиями pfSense?

tag-icon tag-icon openvpn pfsense
Как настроить Site-to-site VPN между старой и новой версиями pfSense?

pfSense позволяет довольно легко настроить VPN-соединение типа «сайт-сайт» с использованием конфигурации сервера/клиента OpenVPN, при условии, что версии pfSense в целом одинаковы.

Но в какой-то момент недавней истории pfSense (около 2.4?) набор опций и некоторые значения по умолчанию изменились. Многие из них легко сопоставить, но настройки сжатия, похоже, были перефразированы, и было добавлено больше опций.

Старый pfSense (например, 2.3.5)

  • Нет предпочтений
  • Нет предпочтений и отключено адаптивное сжатие
  • Отключено — без сжатия
  • Включено с адаптивным сжатием
  • Включено без адаптивного сжатия Сжатие OpenVPN pfSense 2.2.6

Новый pfSense (например, 2.4.5)

  • Отключить сжатие, сохранить кадрирование пакетов сжатия [compress]
  • Сжатие LZ4 [сжатие lz4]
  • Сжатие LZ4 v2 [сжатие lz4-v2]
  • Сжатие LZO [compress lzo, эквивалентно comp-lzo yes для совместимости]
  • Включить сжатие (заглушка) [compress stub]
  • Включить сжатие (stub v2) [compress stub-v2]
  • Пропустить предпочтение (использовать OpenVPN по умолчанию)
  • Пропустить предпочтение, + Отключить адаптивное сжатие LZO [Устаревший стиль, comp-noadapt]
  • Адаптивное сжатие LZO [Устаревший стиль, адаптивное comp-lzo]
  • Сжатие LZO [Устаревший стиль, comp-lzo да]
  • Без сжатия LZO [Устаревший стиль, comp-lzo no]

Сжатие OpenVPN pfSense 2.4.0 Как мне объединить эти опции, чтобы получить совместимые настройки сжатия?

решение1

Проверка элементов «Выбрать параметр» на странице конфигурации показывает, что имена по-прежнему соответствуют друг другу, поэтому, вероятно, приведут к совместимым параметрам сжатия.

Type      Old pfSense                           New pfSense                                            Config syntax (as described by new pfSense)
none                                            Disable Compression, retain compression packet framing [compress]
lz4                                             LZ4 Compression                                        [compress lz4]
lz4-v2                                          LZ4 Compression v2                                     [compress lz4-v2]
lzo                                             LZO Compression                                        [compress lzo, equivalent to comp-lzo yes for compatibility]
stub                                            Enable Compression (stub)                              [compress stub]
stub-v2                                         Enable Compression (stub v2)                           [compress stub-v2]
(blank)   No Preference                         Omit Preference (Use OpenVPN Default)
noadapt                                         Omit Preference, + Disable Adaptive LZO Compression    [Legacy style, comp-noadapt]
adaptive  Enabled with Adaptive Compression     Adaptive LZO Compression                               [Legacy style, comp-lzo adaptive]
yes       Enabled without Adaptive Compression  LZO Compression                                        [Legacy style, comp-lzo yes]
no        Disabled - No Compression             No LZO Compression                                     [Legacy style, comp-lzo no]

(Значение OpenVPN по умолчанию, вероятно, изменилось, поэтому пустая запись может соответствовать разным методам в разных версиях.)

Так как OpenVPN сейчасне советуют использовать сжатие, его, вероятно, лучше всего использовать Disabled - No Compressionна старом pfSense, а также No LZO Compressionна новом pfSense, если вы беспокоитесь о безопасности.

Обратите внимание, что алгоритм аутентификации по умолчанию в последних версиях изменился с SHA1 (которыйизвестные уязвимости) в SHA256.

Связанный контент