Документация
Документация pfSense - руководства по настройке и администрированию
VPN в pfSense - IPsec, OpenVPN и WireGuard туннели

VPN в pfSense - IPsec, OpenVPN и WireGuard туннели

pfSense поддерживает три VPN-протокола: IPsec, OpenVPN и WireGuard. Каждый из них обладает собственными характеристиками по производительности, совместимости и простоте настройки. Выбор протокола определяется требованиями конкретного сценария - подключение удаленных сотрудников, объединение площадок или интеграция с оборудованием третьих сторон.

Сравнение VPN-протоколов

ХарактеристикаIPsecOpenVPNWireGuard
ПроизводительностьВысокая (аппаратное ускорение)Средняя (пространство пользователя)Высокая (уровень ядра)
СовместимостьСтандарт отрасли, совместим с любым оборудованиемТребует клиент OpenVPN на обеих сторонахОграниченная поддержка сторонних устройств
Простота настройкиСложная (множество параметров Phase 1/2)Средняя (PKI-инфраструктура)Простая (минимум параметров)
Сценарии использованияSite-to-site, мобильные клиенты IKEv2Удаленный доступ, site-to-site через NATSite-to-site, удаленный доступ
Поддержка в ОСWindows, macOS, Linux, iOS, Android (встроенная)Требует установки клиента на всех платформахWindows, macOS, Linux, iOS, Android (встроенная)
Работа через NATТребует NAT-T (UDP 4500)Работает через любой порт, включая TCP 443Работает через NAT (UDP)

Какой протокол выбрать

IPsec следует использовать при объединении площадок с оборудованием разных производителей (Cisco, Juniper, Fortinet) или при необходимости предоставить удаленный доступ через встроенный IKEv2-клиент операционных систем без установки дополнительного ПО.

OpenVPN является оптимальным выбором для организации удаленного доступа сотрудников с централизованным управлением сертификатами и интеграцией с Active Directory. Протокол стабильно работает в сетях с ограничительными политиками, так как может использовать TCP 443.

WireGuard рекомендуется для новых развертываний, где не требуется совместимость со сторонним оборудованием. Протокол обеспечивает минимальную задержку и простоту конфигурации. Встроенная поддержка в pfSense доступна начиная с версии 2.7.

Содержание раздела

  • IPsec VPN - site-to-site туннели, IKEv2 для мобильных клиентов, диагностика и подключение к оборудованию третьих сторон
  • OpenVPN - сервер удаленного доступа, site-to-site туннели, экспорт клиентских конфигураций и интеграция с Active Directory
  • WireGuard VPN - создание туннелей, настройка пиров, назначение интерфейса и подключение клиентов
Last updated on