Настроить pfSense
Пользователи подключаются к внутресетевым ресурсам (например, RDP-хосту) за pfSense cо статических Shared IP-адресов публичного VPN-провайдера — иной трафик к pfSense блокируется.
Трафик изнутри сети и от сервера pfSense выходит через OpenVPN-подключения и Shared IP-адреса другого публичного VPN-провайдера — трафик в обход OpenVPN блокируется.
# Целевая конфигурация
- Сервер pfSense является единственным ресурсом корпоративной сети с публичным IP-адресом.
- Сервер pfSense принимает входящие подключения только от IP-адресов, заданных списком FQDN и только на заданные порты. Прочий трафик блокируется.
- Используется сенерированный через Let's Encrypt SSL-сертификат для доступа к WebUI.
- WebUI доступен только для IP-адресов, заданных списком FQDN, только по HTTPS и по нестандартному порту.
- WebUI доступен только для WAN-интерфейса. Сервер pfSense доступен внутри приватной сети только в роли роутера, DNS и DHCP сервера.
- Авторизация возможна только с пользовательским сертификатом.
- Используется нестандартное имя администратора.
- Никакие входящие подклчючения к интерфейсам OpenVPN не доступны.
- Логирование трафика отключено.
- Пользователи публичной сети подключаются по протоколу RDP к виртуальной машине в приватной сети.
- Весь трафик исходящих подключений маршрутизируется в клиент OpenVPN интерфейс pfSense.
- Резолвинг DNS производится через OpenVPN интерфейс pfSense.
- При неустановленном OpenVPN-подключении или обрыве исходящий трафик невозможен, при этом WebUI и RDP остаются доступны извне.
- Исходящий трафик с дефолтного WAN-интерфейса возможен только до FQDN серверов OpenVPN и DNS-сервера для резолвинга этих FQDN.
- Нагрузка исходящего трафика балансируется между несколькими параллельными OpenVPN-подключениями.
- Для OpenVPN подключений используется Mullvad.