Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

pfSense - Настройка Site-to-Site IPsec VPN

MTv

Объединяем две сети посредством IPsec VPN. Этот способ подойдет когда оба роутера имеют белые IP-адреса.

Будут использоваться:

pfSense - 2.4.3-RELEASE-p1 (amd64);
Keenetic Start II / 4G - 2.13.C.0.0-1.

Netgate Wiki - Configuring a Site-to-Site IPsec VPN / Routing Internet Traffic Through a Site-to-Site IPsec VPN

Сети:
pfSense - [internal] - 192.168.1.0/24, [external] - 1.1.1.1/32;
Keenetic - [internal] - 192.168.2.0/24, [external] - 2.2.2.2/32;

pfSense:

Phase 1:
Определяет удаленный одноранговый узел и как туннель аутентифицируется.

VPN -> IPsec -> Tunnels - Add P1
# - General Information
Disabled - -
Key Exchange version - IKEv2
Internet Protocol - IPv4
Interface - WAN
Remote Gateway - 2.2.2.2
Description - pfSense < - > Keenetic Start II
# - Phase 1 Proposal (Authentication)
Authentication Method - Mutual PSK
My identifier - My IP addres
Peer identifier - Peer IP addres
Pre-Shared Key - *key
# - Phase 1 Proposal (Encryption Algorithm)
Encryption Algorithm - AES - 128 bits - SHA1 - 2 (1024 bit)
Lifetime (Seconds) - 28800
# - Advanced Options
Disable rekey - *
Margintime (Seconds) - -
Disable Reauth - -
Responder Only - -
MOBIKE - Disable
Split connections - -
Dead Peer Detection - *
Delay - 10
Max failures - 5
 - Save, Apply Changes.

Phase 2:
Определяет, как трафик переносится через туннель.

Show Phase 2 Entries
# - General Information
Disabled - -
Mode - Tunel IPv4
Local Network - LAN Subnet (определяет, к какой подсети или хосту можно получить доступ с другой стороны туннеля VPN)
NAT/BINAT translation - None
Remote Network - Network - 192.168.2.0/24 (какая подсеть или хост должны быть доступны на другом конце туннеля)
Description - Keenetic Start II
# - Phase 2 Proposal (SA/Key Exchange)
Protocol - ESP
Encryption Algorithms - AES - 128 bits
Hash Algorithms - SHA1
PFS key group - 2 (1024 bit)
Lifetime - 3600

Firewall:

Firewall -> Rules -> IPsec
# - Edit Firewall Rule
Action - Pass
Disabled - -
Interface - IPsec
Address Family - IPv4
Protocol - Any
# - Source
Source - Any
# - Destination
Destination - Any

Keenetic:

Переходим в раздл "Интернет" - > "Другие подключения" и добавляем "IPsec-подключение".

Настройка IPsec-подключения:

Ждать подключения удаленного пира: - -
Автоподключение: - pfSense
Nailed-up: - *
Удаленный шлюз: - 1.1.1.1
Обнаружение неработающего пира (DPD): - *
Интервал проверки: - 30 секунд
 - Фаза 1
Идентификатор локального шлюза: - 2.2.2.2 - IP-адрес
Идентификатор удаленного шлюза: - 1.1.1.1 - IP-адрес
Ключ PSK: - *key
Протокол IKE: - IKE v2
Время жизни IKE: - 3600
Шифрование IKE: - AES-128
Проверка целостности IKE: - SHA1
Группа Диффи-Хеллмана (DH): - 2
 - Фаза 2
Режим - Tunnel
Время жизни SA - 3600 секунд
Шифрование SA - AES-128
Проверка целостности SA - SHA1
Группа Диффи-Хеллмана (DH): - 2
IP-адрес локальной сети: - 192.168.2.0 - 255.255.255.0
IP-адрес удаленной сети: - 192.168.1.0 - 255.255.255.0

На этом все.