L2Tp настройка pfsense: 4. Настройка L2TP в pfSense — Записная книжка компьютерщика

4. Настройка L2TP в pfSense — Записная книжка компьютерщика

Сейчас будем создавать L2TP сервер для нашего pfSense. Для чего это нужно? Наша организация имеет небольшой филиал где находится 3 компьютера. Задача следующая — связать в единую сеть компьютеры организации и филиала. В идеале картина должна быть такая:

Но так как пока мы только настраиваем и тестируем наш новый pfSense, то имеем это (почему именно это — мы разбирали в предыдущих статьях):

Итак приступим. За основу я взял инструкцию отсюда: https://doc.pfsense.org/index.php/L2TP/IPsec, но тут она написана для более ранней версии pfSense поэтому есть некоторые неточности.

Нам нужно чтобы с любого рабочего компьютера сети предприятия можно было установить защищенное L2TP/IPsec соединение с внутренней сетью 192.168.2.0/24.

Замечу сразу, что в нашем случае, при таком IP адресе WAN интерфейса — 192.168.0.50 (что принадлежит диапазону частных сетей), необходимо снять галку Block private networks разделе Interfaces -> WAN -> раздел Private networks (смотри предыдущие статьи)

Настройка L2TP pfSense

Конфигурирование L2TP-сервера

1. Заходим в WEB-интерфейс, идём VPN -> L2TP
2. Включаем L2TP сервер выбрав переключатель Enable L2TP server
3. Интерфейс должен быть выбран WAN, ведь клиены будут подключаться со стороны сетевой карты смотрящей в интернет
4. Теперь нужно указать Server Address. Указываем, например, 192.168.33.252

— Выбираем не использующуюся сеть, т.е. если внутренняя сеть у нас 192.168.2.0/24 и внешняя сеть 192.168.0.0/24, то их выбирать нельзя.

— IP-адрес должен находиться в диапазоне частных сетей, т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8

— Подключенные по L2TP внешние клиенты из внутренней сети будут доступны по адресам указанной сети, например, 192.168.33.0, 192.168.33.1 и так далее

— Перед выбором этого адреса советую с рабочего компьютера сети пропинговать его, вдруг он уже занят. (у меня был случай что вроде никого под этим IP нету, а он пингуется! Оказалось что на стороне провайдера он занят и почему-то я его мог пинговать)

5. Выбираем Remote Address Range — это как раз стартовый диапазон IP-адресов с которого будут раздаваться адреса L2TP клиентам (например, 192.168.33.0, 192.168.33.1). Указываем 192.168.33.0
6. Subnet Mask указываем 24, что соответствует 255.255.255.0. Это значит что клиенты будут получать адреса от 192.168.33.0 до 192.168.33.255
7. Number of L2TP Users это максимальное количество пользователей, которые будут подключены к pfSense. Так как у нас в филиале всего три компьютера, то и указываем 3
8. Secret — не знаю что это, оставляем пустым
9. Authentication Type это протокол проверки пароля (PAP-незашифрованный пароль, CHAP-зашифрованный). Указываем CHAP
   
10. Остальное оставляем без изменений, жмём Save

Добавление L2TP пользователей

1. Переходим во вкладку Users, добавляем пользователей
2. Жмём кнопочку с плюсиком
3. Username делаем qwert
4. Password делаем qwerty
5. IP address оставляем пустым
6. Жмём Save
   

Это, как вы поняли, тестовый пользователь, потом создадите нормальных.

По идее L2TP не шифрует данные. L2TP — это просто метод инкапсуляции и он должен использоваться только на доверенных сетях, либо в сочетании с IPsec. Поэтому будем настраивать шифрование IPsec

Настройка IPsec

Конфигурирование Mobile Clients Tab

1. Идем в VPN -> IPsec -> вкладка Mobile Clients
2. Ставим флажок Enable IPsec Mobile Client Support
3. В строке User Authentication выделяем пункт Local Database
4. Проверьте что убраны флажки:
   1. Provide a virtual IP address to clients
   2. Provide a virtual IPv6 address to clients
   3. Provide a list of accessible networks to clients
5. Жмём Save, вылезит сообщение с кнопкой Create Phase1, игнорируем его.
   

Конфигурирование Tunnels

1. Переходим во вкладку Tunnels
2. Ставим флажок Enable IPsec
3. Жмём Save, затем Apple Changes

Конфигурирование Phase 1

1. Возвращаемся во вкладку Mobile Clients
2. Нажимаем кнопку Create Phase1 в сообщении вверху страницы
3. Проверяем что в строке Key Exchange version установлено значение V1
   
4. Проверяем что в строке Authentication method установлено значение Mutual PSK
5. Устанавливаем Negotiation Mode в значение Main
6. Проверяем что в строке My Identifier установлено значение My IP address
7. Проверяем что в строке Encryption algorithm установлены значения AES и 256 bits
8. Проверяем что в строке Hash algorithm установлено значение SHA1
9. Устанавливаем DH key group в значение 14 (2048 bit)
10. Проверяем что в строке Lifetime установлено значение 28800
11. Проверяем что в строке Disable Rekey снят флажок Whether a connection should be renegotiated when it is about to expire.
12. Проверяем что в строке Responder Only снят флажок Enable this option to never initiate this connection from this side, only respond to incoming requests.
    
13. Проверяем что в строке NAT Traversalустановлено значение Auto
    
14. Проверяем что в строке Dead Peer Detection установлены значения:
    1. флажок Enable DPD -> установлен
    2. Delay between requesting peer acknowledgement. -> 10 seconds
    3. Number of consecutive failures allowed before disconnect. -> 5 retries
15. Жмём Save, затем Apple Changes
    

Конфигурирование Phase 2

1. Нажимаем кнопку «+» рядом с которой написано — Show 0 Phase-2 entries

2. Нажимаем ещё одну кнопку с плюсиком

3. Устанавливаем Mode в значение Transport
4. Проверяем что в Protocol установлено значение ESP
5. В строке Encryption algorithms должен быть установлен только один флажок — напротив AES, значение измените на 128 bits
6. В строке Hash algorithms должен быть установлен только один флажок — напротив SHA1
7. Убедитесь что PFS Key Group установлен в положение off
8. Lifetime должно быть равным 3600
9. Жмём Save, затем Apple Changes

Конфигурирование Pre-Shared Key

1. Переходим во вкладку Pre-Shared Keys и жмём на кнопку с плюсиком
2. Обратите внимание на выделенную строку:

PSK for any user can be set by using an identifier of any

Это значит что для задания одинакового Pre-Shared Key для всех пользователей следует в поле Identifier указать слово any, указываем это

3. Secret type должен остаться PSK
4. Pre-Shared Key установите случайное значение, например: abcdefghi (укажите что-нибудь посложнее, так как это я назначил для удобства)
5. Жмём Save, затем Apple Changes

Настройка правил фаервола

Правила IPsec

1. Идём Firewall -> Rules -> вкладка IPsec
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action -> Pass
4. Interface -> IPsec
5. TCP/IP Version-> IPv4
6. Protocol-> UDP
7. Source -> any
8. Destination -> WAN Address
9. Destination port range -> from: L2TP (1701) to: L2TP (1701)
   
10. В Description напишите что-нибудь вроде Allow L2TP Clients
11. Жмём Save, затем Apple Changes

Правила L2TP

1. Идём во вкладку L2TP VPN
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action -> Pass
4. Interface -> L2TP VPN
   
5. TCP/IP Version -> IPv4
6. Protocol-> any
7. Source -> any
8. Destination -> any
9. Жмём Save, затем Apple Changes

Правила Floating

1. Идём во вкладку Floating
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action -> Pass
4. В строке Quick ставим галочку Apply the action immediately on match
5. Interface -> L2TP VPN
   
6. Direction -> Out
7. TCP/IP Version -> IPv4
8. Protocol-> TCP
9. Source -> LAN net
   
10. Destination -> Network -> 192.168.33.0/24 (сеть которую указывали при настройке L2TP)
    
11. TCP Flags -> Any flags
12. State Type -> Sloppy State
13. Жмём Save, затем Apple Changes

Правила WAN

1. Идём во вкладку WAN
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action -> Pass
4. Interface -> WAN
   
5. TCP/IP Version -> IPv4
6. Protocol-> UDP
7. Source -> any (либо тот внешний адрес клиента с которого будет производиться подключение к нашему pfSense через интернет)
   
8. Destination -> Single host or alias -> 192.168.0.50/31 (WAN-адрес нашего pfSense)
   
9. Destination port range -> from: 1701 to: 1701
   
10. Жмём Save, затем Apple Changes

Настройка L2TP-соединения для клиентов в Windows 7

Ну вот, с pfSense вроде закончили, теперь настраиваем соединение для Windows 7

1. Открываем Центр управления сетями и общим доступом
2. Жмём Настройка нового подключения или сети
3. Подключение к рабочему месту (если спросит использовать ли имеющееся подключение, жмите Нет, создать новое подключение)
4. Использовать моё подключение к интернету (VPN)
5. В строке Интернете-адрес укажите внешний адрес нашего pfSense (в моём случае 192.168.0.50)
6. Имя местоназначения придумайте сами
7. Данные пользователя у нас есть, мы их настраивали в разделе Добавление L2TP пользователей. Вводим их: логин — qwert; пароль — qwerty
8. Ставьте флажок Запомнить пароль, Домен оставьте пустым.
9. Жмите кнопку Подключить
10. Далее будет сбой подключения, ошибка 800 или чёта типа того — это нормально. Жмите Все равно создать это подключение.
11. Теперь идем в Центром управления сетями и общим доступом -> Изменение параметров адаптера. Находим только что созданное подключение и жмём Свойства
12. Вкладка Безопасность. Тип VPN меняем на L2TP IPsec VPN. Далее жмём кнопку Дополнительные параметры. Устанавливаем переключатель в положение Для проверки подлинности использовать предварительный ключ. В значении указываем тот Pre-Shared Key который мы придумывали ранее (в моём случае abcdefghi). Жмем OK

Вот и всё, можно подключаться. Подключение должно быть успешным.

Траблуштинг (по-нашему: устранение проблем)

1. Не устанавливается соединение с использованием WAN Miniport

Если у Вас не устанавливается подключение и зависает это окно:

то попробуйте отключить фаервол на клиентской машине, скорее всего он не даёт установить это соединение, а если у Вас на компьютере установлен Е*учий Dr.WEB со включенным брандмауэром, то будьте уверены — это он во всём виноват.

2. L2TP Исчез интернет

Если у Вас после подключения по L2TP кудато исчез интернет, то это решение для Вас. Исправляется это не трудно:

Идём в свойства созданного соединения -> вкладка Сеть. Убираем флажок напротив IPv6,жмём на свойства IPv4 -> кнопка Дополнительно… . Снимаем флажок Использовать основной шлюз удаленной сети. Жмём ОК.

Проблемы с пропажей интернета должны решиться.

3. Не пингуются ресурсы сети через L2TP

Допустим у Вы с рабочего компьютера сети предприятия (смотри выше), подключённому к WAN-порту pfSense с помощью L2TP-соединения, пытаетесь пропинговать внутреннюю сеть pfSense (к примеру LAN-порт pfSense 192.168.2.253, или клиента 192.168.2.3) и у Вас ничего не получается.

Попробуйте выполнить команду tracert 192.168.2.253:

Это значит что ваш компьютер в поисках IP-адреса 192.168.2.253 спросил у DIR-300, а он, не найдя такой адрес, начал спрашивать у провайдера интернета. Толку от этого не будет.

Нужно завернуть трафик на IP-адрес сервера pfSense 192.168.33.252. Делается это так:

• Устанавливайте L2TP-соединение
• Запускайте командную строку от имени администратора
• Выполняйте команду  Внимание, пишите руками, копипаст у меня почему-то не сработал! route -p add 192.168.2.0 mask 255.255.255.0 192.168.33.252

Список всех перенаправлений можно отобразить командой route print

Удалить созданное нами правило можно командой route delete 192.168.2.0

Подробнее почитайте здесь

Таким образом мы добавили перенаправление запросов к сети 192.168.2.0/24 к шлюзу 192.168.33.252. Если команда сработала то результат выполнения tracert 192.168.2.253 должен измениться.

Не знаю с чем связано, но добавление этого правила маршрутизации у меня работало через раз. Я так и не разобрался после какой комбинации действий и плясок с бубном у меня пошёл пинг от 192.168.0.191 до 192.168.2.3 через pfSense и L2TP. Но менял я следующие параметры:

• Включал/выключал Брандмауэр Доктора Веба на клинете 192.168.2.3
• Включал/выключал Брандмауэр Доктора Веба на рабочем компьютере 192.168.0.191
• Устанавливал L2TP-соединение при различном включеном/выключеном Брандмауэре Доктора Веба
• Делал route add … и/или route -p add … при установленном/отключеном L2TP-соединении
• Постоянно делал tracert 192.168.2.253,   tracert 192.168.2.3 для отслеживания пути поиска,   ping 192.168.2.253,   ping 192.168.2.3 для проверки доступности

В итоге я добился:

• прохождения пингов во всех направлениях
• доступности WEB-интерфейса pfSense с рабочего компьютера сети предприятия (т.е. c IP 192.168.0.191)
• доступности содержимого расшаренных папок как в одной, так и в другой сети
• доступности интернета на обоих компьютерах (192.168.2.3 и 192.168.0.191)
• при этом брандмауэр доктора веба на обоих компьютерах оставался включенным и настраивался так

Теперь доступ к ресурсам должен проходить нормально.

Если доступ появился только к LAN-порту pfSense (192.168.2.253), но нет доступа к клиенту, то посмотрите пингуется ли в принципе клиент из сети. Я так целый день потратил на поиски проблемы. И фаервол отключил и pfSense мучил и интернет перекапывал, а совсем забыл, что на клиенте у меня стоит Доктор Веб!!! Думаю дальше не стоит объяснять…

Содержание

(Просмотрено 41 582 раз, 16 раз за сегодня)

с вашего сайта.

удалённый доступ к офисной сети через VPN (IPSec/L2TP)

Иногда сотрудникам компаний требуется возможность воспользоваться внутренними локальными ресурсами компании (базы, файловые хранилища и т.д.) в дороге (с мобильных рабочих мест) или из дома (с домашних компьютеров).

Для удалённого доступа к ресурсам офисной сети компании очень хорошим решением является создание VPN соединения. PfSense для этих задач достаточно удобен и функционален.

Исходные данные:

рабочая сеть (офис): 192.168.1.0/24

интенет шлюз (PfSense 2.4.3): 192.168.1.102(LAN), 192.168.4.232(WAN)

Настройка L2TP

В верхнем меню выбираем VPN — L2TP

после включения L2TP и сохранения настроек, переходим на вкладку Users и добавляем пользователя

Настройка IPsec

В верхнем меню выбираем VPN — IPsec — Mobile Clients

после сохранения и применения изменений нажимаем кнопку + Create Phase 1

создаём первую фазу

после сохранения и применения изменений раскрываем список второй фазы

создаём вторую фазу

сохраняем затем применяем изменения и переходим на вкладку Pre-Shared Keys и добавляем ключ с идентификатором any (этот ключ будет использоваться для любого пользователя)

Настройка правил сетевой защиты

переходим в раздел Firewall — Rules и создаём следующие правила:

IPSEC

L2TP VPN

WAN

Floating

Настройка клиента WINDOWS 7

Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать моё подключение к интернету

После сбоя подключения выбрать вариант Всё равно создать это подключение

Перейти в раздел Сетевые подключения открыть свойства созданого VPN-подключения

Чтобы удалённый компьютер не использовал VPN канал для доступа в интернет убираем галку Использовать основной шлюз в удалённой сети

На этом настройка закончена.

Для проверки подключаемся по созданому VPN-подключению и проверяем ping 192.168.1.102 (или любое другое сетевое устройство в офисной сети).

Ошибка 788 и 789

Запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters. Далее для параметра AllowL2TPWeakCrypto установите значение 1, а также создайте DWORD-параметр ProhibitIpSec и для него также установите значение 1 . После этого нужо перезагрузить компьютер. Данное решение универсальное и подходит, как для Windows 7, так и для Windows 10.

Для написания использовались следующие материалы:

https://www.xelent.ru/blog/nastroyka-vpn-pfsense/

https://knasys.ru/4-настройка-l2tp-в-pfsense/

pfSense 2 Cookbook: Глава 4

Глава 4 Виртуальные частные сети

В этой главе мы рассмотрим:
— Создание туннеля IPSec VPN
— Конфигурирование сервиса L2TP VPN
— Конфигурирование сервиса OpenVPN
— Конфигурирование сервиса PPTP VPN

Введение
Виртуальные частные сети (VPN — virtual private networking) — ключевой камень современных компьютерных систем. VPN соединения позволяют безопасное соединение удалённых пользователей с сетями и доступ к ресурсам, таким образом, словно они соединяются локально. Как и во всяких крупных делах, существует целый набор сервисов VPN, и pfSense включает четыре наиболее популярных реализации VPN. OpenVPN становится практически стандартом протокола VPN, однако следует учитывать, что вам придётся использовать дополнительное ПО для любого клиента Microsoft (поскольку поддержка OpenVPN не включена в стандартную комплектацию Windows). IPsec является более сложной, однако весьма популярной реализацией VPN. Сервисы PPTP и L2TP зачастую заменяют указанными альтернативами, но они до сих пор повсеместно распространены и в большинстве случаев их поддержка интегрирована в популярные операционные системы.
В этой главе описывается, как настроить любой (или одновременно все) сервисы pfSense реализующие VPN — IPsec, L2TP, OpenVPN и PPTP.

Создание туннеля IPsec VPN
Этот рецепт описывает как конфигурируется pfSense дл установки VPN линка с использованием IPsec туннеля.

Подготовка
IPSec — наиболее часто предпочитаемый метод для соединения типа сеть-сеть (в отличии от соединения клиент-сеть). Типичный сценарий включает создание постоянного безопасного соединения между главным предприятием и его филиалами.

Замечание
Сети соединяемы через VPN должны иметь различные подсети. Для примера, если обе сети используют подсеть 192.168.1.0/24, VPN не будет работать.

Как это сделать…
1. Переходим на страницу VPN | IPsec.
2. Нажимаем кнопку [+] для создания IPsec туннеля.
3. Определяем удалённый шлюз (Remote Gateway).
4. Добавляем описание (Description).

5. Вводим секретный ключ (Pre-Share Key).
6. Сохраняем (Save) изменения.
7. Отмечаем включе

Настройка Site-to-Site VPN с помощью pfSense 2.3| Помощь

Site-to-site VPN (Virtual Private Network) — способ реализации технологии OpenVPN, предназначенный для создания защищенного виртуального туннеля между несколькими частными сетями, что может быть полезной опцией при объединении в виртуальную частную сеть удаленных филиалов компании или отделов, находящихся в одном здании, но в разных сетях (в частности, за разными роутерами, не поддерживающими режим точки доступа (AP)).

В чем отличие традиционного режима работы VPN (Point-to-Site) от Site-to-Site? При использовании второго отсутствует необходимость отдельно настраивать параметры подключения для каждого конкретного клиентского устройства — достаточно сконфигурировать по одному VPN-шлюзу со стороны каждой из связываемых сетей. Point-to-Site целесообразен скорее при подключении конкретных удаленных сотрудников, Site-to-Site – для подключения подразделений.

Эта инструкция поможет Вам поднять Site-to-Site VPN c использованием программного маршрутизатора pfSense, на примере объединения частной сети серверов 1cloud и внешней сети (физической или виртуальной).

В нашем случае, первая сеть «1cloud» состоит из трех виртуальных серверов: Ubuntu 12.04, Windows 2008 R2 и pfSense 2.3. Операционные системы развернуты из стандартных шаблонов, предлагаемых сервисом 1cloud, без какой-либо дополнительной настройки.

Частное облако от 1cloud.ru

• Любые конфигурации виртуальных серверов
• Бесплатные частные сети
• Полная автоматизация управления

Весь процесс настройки состоит из двух несложных этапов:

1. Подготовка серверов pfSense и создание частных сетей;
2. Проброс Site-to-Site туннеля между сетями.

1. Подготовка серверов pfSense и создание частной сети.

PfSense представляет собой дистрибутив на базе FreeBSD, предназначенный для создания межсетевых экранов/маршрутизаторов. При весьма широких возможностях, он бесплатный, нуждается лишь в минимальных аппаратных ресурсах, и имеет предустановленный понятный web-интерфейс управления. Подробнее ознакомиться с возможностями pfSense можно здесь. Мы будем использовать встроенные возможности этой ОС для настройки Site-to-Site VPN.

Во-первых, нужно добавить по одному хосту pfSense со стороны каждой из частных сетей. В 1cloud cделать это можно, выбрав соответствующий шаблон при добавлении нового сервера. Сразу после завершения автоматического процесса развертывания системы по внешнему IP-адресу сервера становится доступен веб-интерфейс управления ОС.

Cоздание частной сети и подключение серверов к ней осуществляется в несколько кликов:

Обратите внимание, что физический адрес выбираемого для настройки адаптера должен совпадать с MAC-адресом сервера-члена частной сети в панели управления 1cloud. То же самое касается и IP-адреса хоста, указываемого в параметрах LAN-интерфейса pfSense.

• В главном меню панели 1cloud выбираем раздел «Частные сети» и пункт «Добавить сеть». Выбираем центр обработки данных, указываем название сети. Отключаем опцию DHCP (Dynamic Host Configuration Protocol) во избежание путаницы в параметрах маршрутизации внутри будущего VPN туннеля.
• После успешного создания сети, необходимо подключить к ней серверы. Эта функция доступна в том же разделе «Частные сети» при клике по названию соответствующей сети. Здесь же отображается и адресное пространство созданной VPN — в нашем случае «0.0.0/24».
• Теперь настроим pfSense, расположенный со стороны 1cloud. Перезагружаем сервер через панель управления 1cloud или через веб-интерфейс. Это необходимо для применения изменений, связанных с созданием виртуального сетевого адаптера. Затем входим в веб-интерфейс управления pfSense.

Сразу настроим Firewall на разрешение внешних подключений к LAN-интерфейсу. В нашем примере разрешаются любые входящие подключения для локальной сети. Вы можете сконфигурировать эти правила по-своему. Главное, чтобы правило включало в себя разрешение для OpenVPN (порт 1194 UDP)

Важно! Аналогичным образом необходимо настроить параметры созданных виртуальных адаптеров на других серверах, находящихся в новой частной сети. Вы можете воспользоваться приведенными ниже инструкциями (не забудьте в поле «Шлюз по умолчанию/Default Gateway» указать адрес хоста pfSense, назначенный выше (в нашем случае 10.0.0.3)):
— Debian/Ubuntu
— Windows
— CentOS

Важно! Необходимо также создать экземпляр сервера pfSense во внешней подключаемой сети на физическом или виртуальном сервере. Процесс установки этой ОС описан здесь.

2. Проброс Site-to-Site туннеля между сетями:

Прежде чем перейти к настройке, стоит отметить, что технология OpenVPN, на базе которой мы будем реализовывать нашу задачу, может работать в нескольких режимах, а именно «Peer to Peer (Shared Key)» — PSK и «Peer to Peer (SSL/TLS)» — PKI.

«Peer to Peer (Shared Key)» — PSK является наиболее простым в настройке режимом и вполне подходит для объединения небольшого числа сетей. При этом, его недостаток заключается в том, что для каждого удаленного подразделения сети приходится создавать отдельный экземпляр сервиса OpenVPN на управляющем сервере pfSense. Если Вам необходим связать много (более 3-4) частных сетей, то стоит подумать о режиме PKI, в котором один экземпляр сервера может обслуживать множество клиентов.

В данном руководстве мы рассмотрим процесс настройки Site-to-Site VPN в режиме PSK, так как он вполне соответствует нашей задаче – объединению всего двух сетей.

Server Mode: Peer to Peer (Shared Key)
Protocol: UDP
Device Mode: tun
Interface: WAN
Local Port: 1194
Description: любое описание сервера
Shared key: Automatically generate a shared key (при сохранении и закрытии параметров будет сгенерирован ключ, который в последствии необходимо будет скопировать на клиентский OpenVPN-сервер)
Encryption algorithm: можно оставить по умолчанию
Hardware Crypto: No hardware crypto acceleration
IPv4 Tunnel Network: 10.0.8.0/24 (в нашем случае)
IPv4 Remote networks: 10.0.1.0/24 (! Этот параметр указывает на адресное пространство удаленной сети. Вы можете получить его с помощью сведений о вашей физической/частной сети, отображаемых на любом из входящих в нее устройств. Например, для локальной сети, где адрес шлюза: 192.168.1.1, адресное пространство — 192.168.1.0/24)

Остальные параметры можно оставить без изменений. Сохраняем конфигурацию.

 После сохранения изменений следует применить их, а затем обновить страницу.

 После сохранения изменений снова применяем их, обновляем страницу.

• На сконфигурированном ранее управляющем сервере pfSense (далее VPN-сервер), снова входим в веб-интерфейс управления.
• Переходим во вкладку VPN > OpenVPN, Servers, кликаем «Add» для создания нового экземпляра VPN-сервера и указываем его параметры:
• Следует настроить параметры Firewall для интерфейса WAN на разрешение внешних подключений для OpenVPN. См. скриншоты ниже:
• Теперь настроим правила Firewall для самого сервиса OpenVPN:
• Возвращаемся в меню VPN – OpenVPN и нажимаем кнопку «карандаш» для открытия параметров экземпляра. Копируем автоматически созданный Shared key в буфер обмена или в блокнот. На этом настройку сервера управляющего сервера VPN можно считать завершенной.

На последнем этапе следует сконфигурировать второй сервер pfSense (далее OpenVPN – клиент), находящийся во внешней подключаемой сети (в нашем случае – 10.0.1.0/24).

После сохранения изменений применяем их и обновляем страницу.

• На клиентском сервере pfSense открываем вкладку OpenVPN – Client. Кликаем «Add» для создания новой конфигурации. Указываем следующие параметры:
  

   

  
  

  Server Mode: Peer to Peer (Shared Key)
  Protocol: Match the setting from the server side.
  Device Mode: tun
  Interface: WAN
  Local Port: 1194
  Server host or address: внешний IP-адрес OpenVPN-сервера (в нашем случае адрес машины VPN Server – 188.227.72.136)
  Server Port: 1194
  Description: Любое описание экземпляра
  Shared key : Вставляем сюда содержимое ранее скопированного из параметеров управляющего pfSense ключа
  Encryption algorithm : должен совпадать с указанным на OpenVPN-сервере
  Hardware Crypto : должен совпадать с указанным на OpenVPN-сервере
  IPv4 Tunnel Network : должен совпадать с указанным на OpenVPN-сервере
  IPv4 Remote networks : 10.0.0.0/24 (! Этот параметр – удаленная сеть, может отличаться от указанного нами. Подразумевается локальная сеть, в которой расположен “VPN Server”)
  Compression : должен совпадать с указанным на OpenVPN-сервере
  Type-of-Service : должен совпадать с указанным на OpenVPN-сервере

  
  

  Сохраняем параметры.

• Последнее, что необходимо сделать — настроить правила Firewall для клиентского сервера, аналогично тому, как делали это ранее на управляющем сервере.

Если настройка была осуществлена верно, то в меню Status – OpenVPN клиентского сервера сразу же можно увидеть результат – успешное подключение.

На этом настройку можно считать завершенной.

P.S. Заключение

Удостоверимся в корректности конфигурации, например, через проверку соединения между управляемым сервером pfSense, находящимся в сети 10.0.1.0/24, и Windows-сервером, расположенным в 10.0.0.0/24.

Для этого подключаемся к Windows-хосту по RDP, используя IP-адрес, логин и пароль, указанные в панели 1cloud. Затем открываем командную строку (cmd) и вводим следующее:

Ping 10.0.1.1 (Адрес пингуемого сервера у Вас может отличаться – вводите адрес любой из машин, подключенных ко второй частной сети.)

В случае успешного соединения, в командной строке начнет отображаться процесс обмена пакетами.

P. S. Другие инструкции:

Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже

удалённый доступ к офисной сети через VPN (IKEv2)

В предыдущей статье рассматривался вариант подключения к сети по VPN через более старый (и потому более совместимый) канал IPSec/L2TP. Но на данный моменте более актуальный (по скорости работы и защищённости) можно считать вариант соединения через IKEv2.

Установка сертификата

При использовании авторизации по методу EAP-MSCHAPv2 потребуется наличие сертификата на принимающем сервере. Для этого создадим цепочку Центр сертификации + Сертификат сервера на нашем шлюзе pfsense.

Создание Центра сертификации

System / Certificate Manager / CAs

 Add — создаём новый сертификат Центра сертификации

Descriptive name — TEST-PfSense-CA (название центра сертификации)

Method — Create an internal certificate

При необходимости заполнить данные о компании и 

 Создание сертификата сервера

System / Certificate Manager / Certificates

 Add

Method — Create an internal certificate

Descriptive name — VPN-Server (название сертификата)

Common Name — pfsense.pontin.ru (адрес, по которому будет производиться обращение к IKEv2 серверу клиентами)

Certificate Type — Server Certificate

Alternative Name — добавить при необходимости альтернативные адреса использования сертификата

Настройка сервера IPSec

Mobile Clients

VPN / IPsec / Mobile Clients

IKE Extensions — включить

Virtual Address Pool — 10.0.0.0/29 (указать адрес виртуальной сети (с маской) — в нашем случае сеть вмещает 6 адресов)

Network List — включить

DNS Default Domain — TEST.LOCAL (добавить доменное имя при необходимости)

DNS Servers — 192.168.145.1 192.168.145.2 (указать адреса внутренних DNS серверов при необходимости)

Save + Apply Changes

Phase 1

Key Exchange version — IKEv2

Authentication method — EAP-MSChapv2

My Identifier — Distinguished name — pfsense.pontin.ru

Peer Identifier — any

My Certificate — VPN-Server

Encryption algorithm — AES 256

Hash — SHA256

DH group — 2 (1024 bit)

Lifetime — 28800

Disable Rekey и Disable Reauth — отключить

Enable DPD — включить

Phase 2

 Show Phase 2 Entries

 Add P2

Mode — Tunnel IPv4

Local Network — 0.0.0.0/0 (данное значение позволяет принимать соединения от любых локальных сетей)

Protocol — ESP

Encryption algorithms — 3DES

Hash algorithms — SHA1 + SHA256

PFS Key Group — off

Lifetime — 3600

Save + Apply Changes

Создание клиентских ключей (Pre-Shared Keys)

VPN / IPsec / Pre-Shared Keys

 Add

Identifier — user-1 (имя пользователя)

Secret Type — EAP

Pre-Shared Key — 111111 (пароль)

Save + Apply Changes

Настройка правил Firewall

Firewall / Rules / IPsec

Add

Protocol , Source , Destination — any

Save + Apply Changes

Настройка клиентского компьютера

Установка сертификата

Выгрузить сертификат Центра сертификации в файл

System / Certificate Manager / CAs

 — Export CA

Установить сертификат Центра сертификации TEST-PfSense-CA в хранилище «Доверенные корневые центры сертификации» локального компьютера.

В командной строке, запущенной от имени Администратора выполнить команду

certutil -addstore -user Root C:\TEST-PfSense-CA.crt

(где C:\TEST-PfSense-CA.crt — путь к скаченному сертификату Центра сертификации)

Создать VPN соединение

адрес сервера — pfsense.pontin.ru

пользователь — user-1 / пароль — 111111

В свойствах соедиенения

Безопасность

Тип VPN — IKEv2

Протокол расширенной проверки подлинности — Microsoft: защищённый пароль (EAP-MSCHAP v2)

Сеть

Протокол Интернета версии 4 — свойства —дополнительно — Использовать основной шлюз в удалённой сети — отключить.

Чтобы получить доступ к сетевым ресурсам удалённой сети нужно добавить маршрутизацию

route -p add 192.168.145.0 mask 255.255.255.0 10.0.0.1

т.к. при каждом новом сеансе VPN назначается произвольный адрес из заданного диапозона, то желательно добавить постоянный маршрут для каждого возможного адреса (10.0.0.1 и т.д.)

pfsense vpn l2tp server настройка

Pfsense vpn l2tp server настройка

PfSense — удалённый доступ к офисной сети через VPN (IPSec/L2TP)

Иногда сотрудникам компаний требуется возможность воспользоваться внутренними локальными ресурсами компании (базы, файловые хранилища и т.д.) в дороге (с мобильных рабочих мест) или из дома (с домашних компьютеров).

Для удалённого доступа к ресурсам офисной сети компании очень хорошим решением является создание VPN соединения. PfSense для этих задач достаточно удобен и функционален.

рабочая сеть (офис): 192.168.1.0/24

интенет шлюз (PfSense 2.4.3): 192.168.1.102(LAN) , 192.168.4.232(WAN)

Настройка L2TP

В верхнем меню выбираем VPN — L2TP

после включения L2TP и сохранения настроек, переходим на вкладку Users и добавляем пользователя

Настройка IPsec

В верхнем меню выбираем VPN — IPsec — Mobile Clients

после сохранения и применения изменений нажимаем кнопку + Create Phase 1

после сохранения и применения изменений раскрываем список второй фазы

сохраняем затем применяем изменения и переходим на вкладку Pre-Shared Keys и добавляем ключ с идентификатором any (этот ключ будет использоваться для любого пользователя)

Настройка правил сетевой защиты

переходим в раздел Firewall — Rules и создаём следующие правила:

Настройка клиента WINDOWS 7

Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать моё подключение к интернету

После сбоя подключения выбрать вариант Всё равно создать это подключение

Перейти в раздел Сетевые подключения открыть свойства созданого VPN-подключения

Чтобы удалённый компьютер не использовал VPN канал для доступа в интернет убираем галку Использовать основной шлюз в удалённой сети

На этом настройка закончена.

Для проверки подключаемся по созданому VPN-подключению и проверяем ping 192.168.1.102 (или любое другое сетевое устройство в офисной сети).

Ошибка 788 и 789

Запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters. Далее для параметра AllowL2TPWeakCrypto установите значение 1, а также создайте DWORD-параметр ProhibitIpSec и для него также установите значение 1 . После этого нужо перезагрузить компьютер. Данное решение универсальное и подходит, как для Windows 7, так и для Windows 10.

источник

Pfsense vpn l2tp server настройка

Сейчас будем создавать L2TP сервер для нашего pfSense. Для чего это нужно? Наша организация имеет небольшой филиал где находится 3 компьютера. Задача следующая — связать в единую сеть компьютеры организации и филиала. В идеале картина должна быть такая:

Но так как пока мы только настраиваем и тестируем наш новый pfSense, то имеем это (почему именно это — мы разбирали в предыдущих статьях):

Итак приступим. За основу я взял инструкцию отсюда: https://doc.pfsense.org/index.php/L2TP/IPsec, но тут она написана для более ранней версии pfSense поэтому есть некоторые неточности.

Нам нужно чтобы с любого рабочего компьютера сети предприятия можно было установить защищенное L2TP/IPsec соединение с внутренней сетью 192.168.2.0/24.

Замечу сразу, что в нашем случае, при таком IP адресе WAN интерфейса — 192.168.0.50 (что принадлежит диапазону частных сетей), необходимо снять галку Block private networks разделе Interfaces -> WAN -> раздел Private networks (смотри предыдущие статьи)

Настройка L2TP pfSense

Конфигурирование L2TP-сервера

1. Заходим в WEB-интерфейс, идём VPN -> L2TP
2. Включаем L2TP сервер выбрав переключатель Enable L2TP server
3. Интерфейс должен быть выбран WAN, ведь клиены будут подключаться со стороны сетевой карты смотрящей в интернет
4. Теперь нужно указать Server Address. Указываем, например, 192.168.33.252

— Выбираем не использующуюся сеть, т.е. если внутренняя сеть у нас 192.168.2.0/24 и внешняя сеть 192.168.0.0/24, то их выбирать нельзя.

— IP-адрес должен находиться в диапазоне частных сетей, т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8

— Подключенные по L2TP внешние клиенты из внутренней сети будут доступны по адресам указанной сети, например, 192.168.33.0, 192.168.33.1 и так далее

— Перед выбором этого адреса советую с рабочего компьютера сети пропинговать его, вдруг он уже занят. (у меня был случай что вроде никого под этим IP нету, а он пингуется! Оказалось что на стороне провайдера он занят и почему-то я его мог пинговать)

1. Выбираем Remote Address Range — это как раз стартовый диапазон IP-адресов с которого будут раздаваться адреса L2TP клиентам ( например, 192.168.33.0, 192.168.33.1 ). Указываем 192.168.33.0
2. Subnet Mask указываем 24, что соответствует 255.255.255.0. Это значит что клиенты будут получать адреса от 192.168.33.0 до 192.168.33.255
3. Number of L2TP Users это максимальное количество пользователей, которые будут подключены к pfSense. Так как у нас в филиале всего три компьютера, то и указываем 3
4. Secret — не знаю что это, оставляем пустым
5. Authentication Type это протокол проверки пароля (PAP-незашифрованный пароль, CHAP-зашифрованный). Указываем CHAP
   
6. Остальное оставляем без изменений, жмём Save

Добавление L2TP пользователей

1. Переходим во вкладку Users, добавляем пользователей
2. Жмём кнопочку с плюсиком
3. Username делаем qwert
4. Password делаем qwerty
5. IP address оставляем пустым
6. Жмём Save
   

Это, как вы поняли, тестовый пользователь, потом создадите нормальных.

По идее L2TP не шифрует данные. L2TP — это просто метод инкапсуляции и он должен использоваться только на доверенных сетях, либо в сочетании с IPsec. Поэтому будем настраивать шифрование IPsec

Настройка IPsec

Конфигурирование Mobile Clients Tab

1. Идем в VPN -> IPsec -> вкладкаMobile Clients
2. Ставим флажок Enable IPsec Mobile Client Support
3. В строке User Authentication выделяем пункт Local Database
4. Проверьте что убраны флажки:
   1. Provide a virtual IP address to clients
   2. Provide a virtual IPv6 address to clients
   3. Provide a list of accessible networks to clients
5. Жмём Save, вылезит сообщение с кнопкой Create Phase1, игнорируем его.
   

Конфигурирование Tunnels

1. Переходим во вкладку Tunnels
2. Ставим флажок Enable IPsec
3. Жмём Save, затем Apple Changes

Конфигурирование Phase 1

1. Возвращаемся во вкладку Mobile Clients
2. Нажимаем кнопку Create Phase1 в сообщении вверху страницы
3. Проверяем что в строке Key Exchange version установлено значение V1
   
4. Проверяем что в строке Authentication method установлено значение Mutual PSK
5. Устанавливаем Negotiation Mode в значение Main
6. Проверяем что в строке My Identifier установлено значение My IP address
7. Проверяем что в строке Encryption algorithm установлены значения AES и 256 bits
8. Проверяем что в строке Hash algorithm установлено значение SHA1
9. Устанавливаем DH key group в значение 14 (2048 bit)
10. Проверяем что в строке Lifetime установлено значение 28800
11. Проверяем что в строке Disable Rekey снят флажок Whether a connection should be renegotiated when it is about to expire.
12. Проверяем что в строке Responder Only снят флажок Enable this option to never initiate this connection from this side, only respond to incoming requests.
    
13. Проверяем что в строке NAT Traversalустановлено значение Auto
    
14. Проверяем что в строке Dead Peer Detection установлены значения:
    1. флажок Enable DPD ->установлен
    2. Delay between requesting peer acknowledgement. ->10 seconds
    3. Number of consecutive failures allowed before disconnect. ->5 retries
15. Жмём Save, затем Apple Changes
    

Конфигурирование Phase 2

1. Нажимаем ещё одну кнопку с плюсиком

1. Устанавливаем Mode в значение Transport
2. Проверяем что в Protocol установлено значение ESP
3. В строке Encryption algorithms должен быть установлен только один флажок — напротив AES, значение измените на 128 bits
4. В строке Hash algorithms должен быть установлен только один флажок — напротив SHA1
5. Убедитесь что PFS Key Group установлен в положение off
6. Lifetime должно быть равным 3600
7. Жмём Save, затем Apple Changes

Конфигурирование P re-Shared Key

1. Переходим во вкладку Pre-Shared Keys и жмём на кнопку с плюсиком
2. Обратите внимание на выделенную строку:

PSK for any user can be set by using an identifier of any

Это значит что для задания одинакового Pre-Shared Key для всех пользователей следует в поле Identifier указать слово any, указываем это

1. Secret type должен остаться PSK
2. Pre-Shared Key установите случайное значение, например: abcdefghi (укажите что-нибудь посложнее, так как это я назначил для удобства)
3. Жмём Save, затем Apple Changes

Настройка правил фаервола

Правила IPsec

1. Идём Firewall -> Rules->вкладкаIPsec
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action ->Pass
4. Interface ->IPsec
5. TCP/IP Version->IPv4
6. Protocol->UDP
7. Source ->any
8. Destination ->WAN Address
9. Destination port range -> from: L2TP (1701) to: L2TP (1701)
   
10. В Description напишите что-нибудь вроде Allow L2TP Clients
11. Жмём Save, затем Apple Changes

Правила L2TP

1. Идём во вкладку L2TP VPN
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action ->Pass
4. Interface ->L2TP VPN
   
5. TCP/IP Version ->IPv4
6. Protocol->any
7. Source ->any
8. Destination ->any
9. Жмём Save, затем Apple Changes

Правила Floating

1. Идём во вкладку Floating
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action ->Pass
4. В строке Quick ставим галочку Apply the action immediately on match
5. Interface ->L2TP VPN
   
6. Direction ->Out
7. TCP/IP Version ->IPv4
8. Protocol->TCP
9. Source ->LAN net
   
10. Destination -> Network ->192.168.33.0/24 (сеть которую указывали при настройке L2TP)
    
11. TCP Flags ->Any flags
12. State Type ->Sloppy State
13. Жмём Save, затем Apple Changes

Правила WAN

1. Идём во вкладку WAN
2. Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
3. Action ->Pass
4. Interface ->WAN
   
5. TCP/IP Version ->IPv4
6. Protocol->UDP
7. Source ->any (либо тот внешний адрес клиента с которого будет производиться подключение к нашему pfSense через интернет)
   
8. Destination -> Single host or alias ->192.168.0.50/31 (WAN-адрес нашего pfSense)
   
9. Destination port range -> from: 1701 to: 1701
   
10. Жмём Save, затем Apple Changes

Настройка L2TP-соединения для клиентов в Windows 7

Ну вот, с pfSense вроде закончили, теперь настраиваем соединение для Windows 7

1. Открываем Центр управления сетями и общим доступом
2. Жмём Настройка нового подключения или сети
3. Подключение к рабочему месту (если спросит использовать ли имеющееся подключение, жмите Нет, создать новое подключение)
4. Использовать моё подключение к интернету (VPN)
5. В строке Интернете-адрес укажите внешний адрес нашего pfSense (в моём случае 192.168.0.50)
6. Имя местоназначения придумайте сами
7. Данные пользователя у нас есть, мы их настраивали в разделе Добавление L2TP пользователей . Вводим их: логин — qwert; пароль — qwerty
8. Ставьте флажок Запомнить пароль, Домен оставьте пустым.
9. Жмите кнопку Подключить
10. Далее будет сбой подключения, ошибка 800 или чёта типа того — это нормально. Жмите Все равно создать это подключение.
11. Теперь идем в Центром управления сетями и общим доступом -> Изменение параметров адаптера. Находим только что созданное подключение и жмём Свойства
12. Вкладка Безопасность. Тип VPN меняем на L2TP IPsec VPN. Далее жмём кнопку Дополнительные параметры. Устанавливаем переключатель в положение Для проверки подлинности использовать предварительный ключ. В значении указываем тот Pre-Shared Key который мы придумывали ранее (в моём случае abcdefghi). Жмем OK

Вот и всё, можно подключаться. Подключение должно быть успешным.

Траблуштинг (по-нашему: устранение проблем)

1. Не устанавливается соединение с использованием WAN Miniport

Если у Вас не устанавливается подключение и зависает это окно:

то попробуйте отключить фаервол на клиентской машине, скорее всего он не даёт установить это соединение, а если у Вас на компьютере установлен Е*учий Dr.WEB со включенным брандмауэром, то будьте уверены — это он во всём виноват.

2. L2TP Исчез интернет

Если у Вас после подключения по L2TP кудато исчез интернет, то это решение для Вас. Исправляется это не трудно:

Идём в свойства созданного соединения -> вкладка Сеть. Убираем флажок напротив IPv6,жмём на свойства IPv4 -> кнопка Дополнительно… . Снимаем флажок Использовать основной шлюз удаленной сети. Жмём ОК.

Проблемы с пропажей интернета должны решиться.

3. Не пингуются ресурсы сети через L2TP

Допустим у Вы с рабочего компьютера сети предприятия (смотри выше), подключённому к WAN-порту pfSense с помощью L2TP-соединения, пытаетесь пропинговать внутреннюю сеть pfSense (к примеру LAN-порт pfSense 192.168.2.253, или клиента 192.168.2.3) и у Вас ничего не получается.

Попробуйте выполнить команду tracert 192.168.2.253:

Это значит что ваш компьютер в поисках IP-адреса 192.168.2.253 спросил у DIR-300, а он, не найдя такой адрес, начал спрашивать у провайдера интернета. Толку от этого не будет.

Нужно завернуть трафик на IP-адрес сервера pfSense 192.168.33.252. Делается это так:

• Устанавливайте L2TP-соединение
• Запускайте командную строку от имени администратора
• Выполняйте команду Внимание, пишите руками, копипаст у меня почему-то не сработал!route -p add 192.168.2.0 mask 255.255.255.0 192.168.33.252

Список всех перенаправлений можно отобразить командой route print

Удалить созданное нами правило можно командой route delete 192.168.2.0

Таким образом мы добавили перенаправление запросов к сети 192.168.2.0/24 к шлюзу 192.168.33.252. Если команда сработала то результат выполнения tracert 192.168.2.253 должен измениться.

Не знаю с чем связано, но добавление этого правила маршрутизации у меня работало через раз. Я так и не разобрался после какой комбинации действий и плясок с бубном у меня пошёл пинг от 192.168.0.191 до 192.168.2.3 через pfSense и L2TP. Но менял я следующие параметры:

• Включал/выключал Брандмауэр Доктора Веба на клинете 192.168.2.3
• Включал/выключал Брандмауэр Доктора Веба на рабочем компьютере 192.168.0.191
• Устанавливал L2TP-соединение при различном включеном/выключеном Брандмауэре Доктора Веба
• Делал route add … и/или route -p add … при установленном/отключеном L2TP-соединении
• Постоянно делал tracert 192.168.2.253, tracert 192.168.2.3 для отслеживания пути поиска, ping 192.168.2.253,ping 192.168.2.3для проверки доступности

В итоге я добился:

• прохождения пингов во всех направлениях
• доступности WEB-интерфейса pfSense с рабочего компьютера сети предприятия (т.е. c IP 192.168.0.191)
• доступности содержимого расшаренных папок как в одной, так и в другой сети
• доступности интернета на обоих компьютерах (192.168.2.3 и 192.168.0.191)
• при этом брандмауэр доктора веба на обоих компьютерах оставался включенным и настраивался так

Теперь доступ к ресурсам должен проходить нормально.

Если доступ появился только к LAN-порту pfSense (192.168.2.253), но нет доступа к клиенту, то посмотрите пингуется ли в принципе клиент из сети. Я так целый день потратил на поиски проблемы. И фаервол отключил и pfSense мучил и интернет перекапывал, а совсем забыл, что на клиенте у меня стоит Доктор Веб. Думаю дальше не стоит объяснять…

источник

pfSense — настройка удаленного доступа к сети (IPsec VPN) для iPhone, iPad

В понедельник уезжаю в командировку и на этот раз вместо ноутбука беру с собой iPad. В связи с этим встал вопрос удаленного доступа к ресурсам моей любимой сети с мобильного девайса. Открывать порты всех сервисов наружу на pfSense совсем не правильно с точки зрения безопасности, поэтому остался единственный приемлемый вариант — создать на pfSense VPN сервер.

Как это сделать я вам сейчас расскажу. Да, такой удаленный доступ можно организовать практически для любых интеллектуальных мобилок, не обязательно иметь iPhone или iPad.

На всякий случай напомню про наши предыдущие обзоры pfSense, с которыми вы можете быстренько ознакомиться не утруждая себя в поиске:

1. Введение в pfSense
2. Установка pfSense
3. Настройка pfSense: сетевые интерфейсы
4. Прокси-сервер в pfSense
5. Прокси-сервер в pfSense — Часть 2 — анивирус и фильтры доступа
6. MultiWAN в pfSense — подключение к двум провайдерам

Настраиваем pfSense IPSec VPN

Ну что, давайте перейдем к делу и зайдем в прекрасный web-интерфейс pfSense. Здесь нам надо залезть в меню VPNIPsec и затем перейти в закладку Mobile Clients:

Здесь ставим галку Enable IPsec Mobile Client Support и Provide a virtual IP address to clients, далее указываем какую-нибудь виртуальную сеть. Для примера я взял 192.168.2.0/24
Если у вас в сети развернут домен, то можно поставить галку Provide a default domain name to clients и указать домен.
Конечно, не забываем указать DNS-сервера для наших мобилок — ставим галку Provide a DNS server list to clients и указываем IP-адреса DNS’ов. Можно взять DNS вашего роутера, а можно публичный, например, 8.8.8.8 — принципиальной разницы нет.
В итоге должно получиться примерно так:

Обязятельно нажимаем кнопку Save внизу страницы. При этом в верхней части страницы появится уведомление о необходимости создания Phase1:

Нажимаем кнопку Create Phase1 и попадаем в новое окно:

Немного поясню что здесь надо выставить:

• Interface — обычно WAN, но у меня несколько провайдеров и я выбрал WAN2.
• Description — Описание вашего поделючения
• Authenticated method — Mutual PSK + Xauth
• Negotiation mode — aggressive
• My identifier — My IP address
• Peer identifier — Distinguished name, в поле правее придумайте и впишите имя группы (оно нам позже понадобится)
• Pre-Shared Key — какой-нибудь пароль для группы (тоже понадобится позже)
• Encryption algorithm — AES 256 bits
• Hash algorithm — SHA1
• DH key group — 2
• Lifetime — 28800
• Nat Travesal — Enable
• Dead Peer Detection — вкл

Выставляем параметры, нажимаем Save внизу страницы и попадем в основное окно IPsec. Здесь нам нужно отметить одну галку и понажимать на кнопки, см скриншот:

После того как вы нажмете на кнопку + (номер 3 на скриншоте) появится еще одна кнопка, на которую нам надо нажать:

Далее появится диалог создания Phase2. В нем надо указать все как на скриншоте ниже:

и нажать кнопку Save внизу.
Затем не забываем применить все изменения:

Последнее, что нам надо сделать — создать пользователя для удаленного доступа. Для этого идем в меню SystemUser Manager

Создаем там нового пользователя. Вводим логин, желаемый пароль и жмем Save.

Затем, заходим в редактирование этого пользователя и находим вот такую кнопочку:

Там добавляются привилегии пользователя. Выбираем User — VPN — IPsec xauth и нажимаем Save два раза.

На этом настройка pfSense завершена, теперь нам остается настроить мобильный клиент.

Настраиваем iPad VPN

Здесь все еще проще. Идем в НастройкиСеть

Затем в VPN

Далее ждем кнопку Добавить конфигурацию VPN…

В новом окне выбираем тип IPSec

и указываем необходимые параметры:
Описание — пишите что хотите
Сервер — IP-адрес WAN интерфейса pfSense
Учетная запись — логин пользователя, которого мы создали
Пароль — пароль пользователя
Имя группы — тут имеется ввиду та группа, которую мы придумывали на этапе настройки Phase1
Общий ключ — пароль для этой групыы.

Всё, жмем кнопку Сохранить.
Затем выбираем созданное подключение, просто топнув но нему, чтобы слева загорелась галка, а потом можно нажимать на кнопку подключения:

Вот и всё.

Пара замечаний:
В firewall в закладке интерфейса IPSec надо разрешить весь трафик, а в закладке интерфейса WAN может понадобится создать правило, разрешающее исходящий трафик c UDP портов 500 и 4500

Успехов в освоении!

Похожие посты

Рецепты конфигурации pfSense — Пример конфигурации VPN для удаленного доступа L2TP / IPsec

В текущих версиях программного обеспечения pfSense® L2TP / IPsec можно настроить для
мобильных клиентов, хотя мы не рекомендуем такую ​​конфигурацию.

Предупреждение

Пользователи сообщили о проблемах с клиентами Windows L2TP / IPsec за
NAT. Если клиенты будут находиться за NAT, клиенты Windows, скорее всего, не будут
функция. Вместо этого рассмотрим реализацию IKEv2.

Как было сказано в начале главы, клиент Windows, среди прочего, и
Демон strongSwan IPsec не всегда совместим, что приводит к сбоям во многих
случаи.Мы настоятельно рекомендуем использовать другое решение, например IKEv2 вместо
L2TP / IPsec.

Перед настройкой части IPsec настройте L2TP-сервер, как описано в
Конфигурация сервера L2TP и добавление пользователей, правила брандмауэра и т. Д., Как описано
там.

Настройка IPsec

Эти настройки были протестированы и работают с некоторыми клиентами,
но могут работать и другие аналогичные настройки. Не стесняйтесь пробовать другие
алгоритмы шифрования, хэши и др.

Вкладка «Мобильные клиенты»

• Перейдите к VPN> IPsec , вкладка Mobile Clients в pfSense WebGUI

• Проверить Включить поддержку мобильного клиента IPsec

• Установить аутентификацию пользователя с на Локальная база данных (Не используется, но опция должна
  есть что-то выбранное)

• Снимите флажок Предоставить клиентам виртуальный IP-адрес

• Снять отметку Предоставлять клиентам список доступных сетей

• Нажмите Сохранить

Фаза 1

• Нажмите кнопку Create Phase1 вверху, если она появляется, или отредактируйте
  существующий Mobile IPsec Phase 1

  • Если фаза 1 отсутствует и кнопка Create Phase1 не отображается,
    вернитесь на вкладку Mobile Clients и щелкните ее там.

• Установить Key Exchange версии на v1

• Введите соответствующее Описание

• Установить Метод аутентификации с по Mutual PSK

• Установить режим согласования — Основной

• Установить Мой идентификатор на Мой IP-адрес

• Установить алгоритм шифрования — AES 256

• Установить алгоритм хеширования с по SHA1

• Установить группу ключей DH — 14 (2048 бит)

  Примечание

  iOS и другие платформы могут работать с ключевой группой DH из 2
  вместо.

• Установить Срок службы до 28800

• Снять отметку Отключить повторный ключ

• Установить NAT Traversal — Авто

• Проверить Включить DPD , установить на 10 секунд и 5 попыток

• Нажмите Сохранить

Фаза 2

• Щелкните Показать записи этапа 2 , чтобы отобразить этап Mobile IPsec
  2 лист

• Щелкните Добавить P2 , чтобы добавить новую запись фазы 2, если она не существует,
  или щелкните, чтобы изменить существующую запись

• Установить режим — Транспорт

• Введите соответствующее Описание

• Установить Протокол с по ESP

• Установить алгоритмы шифрования ТОЛЬКО на AES 128

• Установить хэш-алгоритмы ТОЛЬКО на SHA1

• Установить PFS Key Group на off

• Установить Срок службы до 3600

• Нажмите Сохранить

Общий ключ

Предварительный общий ключ для подключения, общий для всех клиентов, должен быть
настроен особым образом.

• Перейдите к VPN> IPsec , вкладка Pre-Shared Keys на pfSense

• Нажмите Добавить , чтобы добавить новый PSK

• Установить идентификатор на allusers

  Примечание

  allusers name — это специальное ключевое слово, используемое pfSense для
  настроить подстановочный знак PSK, необходимый для работы L2TP / IPsec. Делать
  не используйте какой-либо другой идентификатор для этого PSK!

• Установить Секретный тип на PSK

• Введите общий ключ , например, aaabbbccc — в идеале — намного длиннее,
  более случайный и безопасный!

• Нажмите Сохранить

• Нажмите Применить изменения

Правила брандмауэра IPsec

Правила брандмауэра необходимы для передачи трафика от клиентского хоста через IPsec к
установить туннель L2TP и внутри L2TP для прохождения фактического туннелирования VPN
трафик к системам через VPN.Добавление правил L2TP было описано в
предыдущий раздел. Чтобы добавить правила IPsec:

• Перейдите к Firewall> Rules , IPsec tab

• Ознакомьтесь с действующими правилами. Если есть правило стиля «разрешить все», то есть
  не нужно добавлять еще один. Переходите к следующему заданию.

• Щелкните Добавить , чтобы добавить новое правило в начало списка

• Установить протокол на любой

• Установить Source и Destination на любой

  Примечание

  Это не обязательно должно передавать весь трафик, но должно проходить как минимум L2TP
  (Порт UDP 1701 ) на IP-адрес WAN межсетевого экрана

• Нажмите Сохранить

• Нажмите Применить изменения

Конфигурация DNS

Если DNS-серверы предоставлены клиентам и несвязанный DNS-преобразователь
используется, то подсеть, выбранная для клиентов L2TP, должна быть добавлена ​​к его доступу
список.

• Перейдите к Services> DNS Resolver , Access Lists tab

• Щелкните Добавить , чтобы добавить новый список доступа

• Введите имя списка доступа , например Пользователи VPN

• Установить действие на Разрешить

• Щелкните Добавить сеть в разделе Сети , чтобы добавить новую сеть

• Введите подсеть VPN-клиента в поле Сеть , e.г. 10.3.177.128

• Выберите правильный CIDR , например 25

• Нажмите Сохранить

• Нажмите Применить изменения

Настройка клиента

При настройке клиентов следует обратить внимание на несколько моментов:

• Убедитесь, что конфигурация клиентской операционной системы настроена на подключение к
  правильный внешний адрес для VPN.

• Может потребоваться принудительно установить тип VPN на L2TP / IPsec на клиенте, если
  Имеет автоматический режим.

• Тип аутентификации клиента должен соответствовать тому, что настроено на L2TP
  сервер (например, CHAP )

.

L2TP VPN — Конфигурация сервера L2TP

Чтобы использовать L2TP, сначала перейдите к VPN> L2TP . Выберите Включить L2TP-сервер .

Предупреждение

L2TP — это , а не сам по себе безопасный протокол; это только обеспечивает
туннелирование, не выполняет шифрование .

См. Также

L2TP / IPsec — это способ защитить L2TP-трафик, отправив его через
зашифрованный туннель IPsec. Это можно использовать в сочетании с мобильным
Настройка IPsec для настройки L2TP + IPsec; см. Пример конфигурации VPN для удаленного доступа L2TP / IPsec
для подробностей.

Интерфейс

Интерфейс Параметр определяет, где демон L2TP будет связывать и слушать
для подключений. Обычно это интерфейс WAN , принимающий входящие
соединения.

IP-адресация

Перед тем как начать, определите, какие IP-адреса использовать для L2TP-сервера и
клиентов и теперь много одновременных клиентов для поддержки.

Адрес сервера

Неиспользуемый IP-адрес вне диапазона удаленных адресов ,
например, 10.3.177.1, как показано на рисунке L2TP IP-адресация.

Диапазон удаленных адресов

Обычно новая и неиспользуемая подсеть, например
10.3.177.128/25 (от .128 до .255). Это адреса, которые будут
назначается клиентам при подключении.

Количество пользователей L2TP

Определяет, сколько пользователей L2TP будет разрешено подключаться
в то же время в этом примере было выбрано 13 .

L2TP IP-адресация

DNS-серверы также могут быть определены для конечных пользователей при необходимости.Заполните
Первичный и Вторичный L2TP DNS-сервер поля с IP-адресом DNS-сервера
адреса для подключения клиентов.

Аутентификация

Секрет

Требуется некоторыми реализациями L2TP, аналогично паролю группы или
предварительный общий ключ. Поддержка этого варьируется от клиента к клиенту. Оставь
поле пустое, если не известно, что это необходимо. При необходимости введите и подтвердите
секрет.

Тип аутентификации

Выбор между PAP , CHAP или MS-CHAPv2
аутентификация для пользователей.Поддержка этого может варьироваться от клиента к клиенту и
это также может зависеть от сервера RADIUS. Типы на основе CHAP :
более безопасен, но PAP более совместим.

Пользователи могут быть аутентифицированы из локальной базы данных пользователей или через внешнюю
RADIUS-сервер. Это можно использовать для аутентификации пользователей L2TP из Microsoft Active
Каталог (см. Аутентификация из Active Directory с использованием RADIUS / NPS), а также многочисленные
другие серверы с поддержкой RADIUS.

При использовании RADIUS установите флажок Использовать сервер RADIUS для аутентификации и
заполните сервер RADIUS и общий секрет. Для аутентификации с использованием локального
база данных пользователей, не устанавливайте этот флажок. Пользователи должны быть добавлены вручную на
Пользователи Вкладка на экране VPN> L2TP , если не используется RADIUS. См. Добавление
Пользователи ниже для получения дополнительной информации о встроенной системе аутентификации.

Сохраните изменения для запуска L2TP-сервера

После заполнения вышеупомянутых пунктов нажмите Сохранить .Это спасет
настройте и запустите L2TP-сервер.

Настроить правила брандмауэра для клиентов L2TP

Перейдите к Firewall> Rules и щелкните вкладку L2TP VPN . Эти правила
контролировать трафик от клиентов L2TP. Пока не будет добавлено правило брандмауэра, позволяющее
трафик, весь трафик, инициированный подключенными L2TP-клиентами, будет заблокирован.
Трафик, инициированный из локальной сети к клиентам L2TP, контролируется с помощью сетевого экрана LAN
правила. Первоначально здесь может быть желательно правило разрешить все для целей тестирования, так как
показано на рисунке Правило межсетевого экрана L2TP VPN.
был проверен, ограничьте набор правил по желанию.

Правило межсетевого экрана VPN L2TP

Примечание

Помните, что правило также должно быть добавлено к интерфейсу, получающему
L2TP-трафик, обычно WAN или IPsec, для передачи UDP на брандмауэр с
порт назначения 1701 .

Добавление пользователей

Добавить пользователей во встроенную систему пользователей L2TP просто. Для добавления локальных пользователей:

• Перейдите на вкладку VPN> L2TP , Пользователи . Экран пользователей, как показано на рисунке
  Будет представлена ​​вкладка «Пользователи L2TP».

• Щелкните Добавить , чтобы отобразить форму, используемую для добавления пользователей.

Вкладка «Пользователи L2TP»

• Введите имя пользователя , пароль и Подтвердите пароль для пользователя, как
  на рисунке Добавление пользователя L2TP.

• При необходимости введите статический IP-адрес .

Добавление пользователя L2TP

• Нажмите Сохранить , после чего появится список пользователей.

• Повторите процесс для каждого добавляемого пользователя.

Чтобы изменить существующего пользователя, щелкните. Пользователи могут быть удалены, нажав
.

.

Рецепты конфигурации pfSense — Пример конфигурации VPN для удаленного доступа L2TP / IPsec

В текущих версиях программного обеспечения pfSense® L2TP / IPsec можно настроить для
мобильных клиентов, хотя мы не рекомендуем такую ​​конфигурацию.

Предупреждение

Пользователи сообщили о проблемах с клиентами Windows L2TP / IPsec за
NAT. Если клиенты будут находиться за NAT, клиенты Windows, скорее всего, не будут
функция. Вместо этого рассмотрим реализацию IKEv2.

Как было сказано в начале главы, клиент Windows, среди прочего, и
Демон strongSwan IPsec не всегда совместим, что приводит к сбоям во многих
случаи.Мы настоятельно рекомендуем использовать другое решение, например IKEv2 вместо
L2TP / IPsec.

Перед настройкой части IPsec настройте L2TP-сервер, как описано в
Конфигурация сервера L2TP и добавление пользователей, правила брандмауэра и т. Д., Как описано
там.

Настройка IPsec

Эти настройки были протестированы и работают с некоторыми клиентами,
но могут работать и другие аналогичные настройки. Не стесняйтесь пробовать другие
алгоритмы шифрования, хэши и др.

Вкладка «Мобильные клиенты»

• Перейдите к VPN> IPsec , вкладка Mobile Clients в pfSense WebGUI

• Проверить Включить поддержку мобильного клиента IPsec

• Установить аутентификацию пользователя с на Локальная база данных (Не используется, но опция должна
  есть что-то выбранное)

• Снимите флажок Предоставить клиентам виртуальный IP-адрес

• Снять отметку Предоставлять клиентам список доступных сетей

• Нажмите Сохранить

Фаза 1

• Нажмите кнопку Create Phase1 вверху, если она появляется, или отредактируйте
  существующий Mobile IPsec Phase 1

  • Если фаза 1 отсутствует и кнопка Create Phase1 не отображается,
    вернитесь на вкладку Mobile Clients и щелкните ее там.

• Установить Key Exchange версии на v1

• Введите соответствующее Описание

• Установить Метод аутентификации с по Mutual PSK

• Установить режим согласования — Основной

• Установить Мой идентификатор на Мой IP-адрес

• Установить алгоритм шифрования — AES 256

• Установить алгоритм хеширования с по SHA1

• Установить группу ключей DH — 14 (2048 бит)

  Примечание

  iOS и другие платформы могут работать с ключевой группой DH из 2
  вместо.

• Установить Срок службы до 28800

• Снять отметку Отключить повторный ключ

• Установить NAT Traversal — Авто

• Проверить Включить DPD , установить на 10 секунд и 5 попыток

• Нажмите Сохранить

Фаза 2

• Щелкните Показать записи этапа 2 , чтобы отобразить этап Mobile IPsec
  2 лист

• Щелкните Добавить P2 , чтобы добавить новую запись фазы 2, если она не существует,
  или щелкните, чтобы изменить существующую запись

• Установить режим — Транспорт

• Введите соответствующее Описание

• Установить Протокол с по ESP

• Установить алгоритмы шифрования ТОЛЬКО на AES 128

• Установить хэш-алгоритмы ТОЛЬКО на SHA1

• Установить PFS Key Group на off

• Установить Срок службы до 3600

• Нажмите Сохранить

Общий ключ

Предварительный общий ключ для подключения, общий для всех клиентов, должен быть
настроен особым образом.

• Перейдите к VPN> IPsec , вкладка Pre-Shared Keys на pfSense

• Нажмите Добавить , чтобы добавить новый PSK

• Установить идентификатор на allusers

  Примечание

  allusers name — это специальное ключевое слово, используемое pfSense для
  настроить подстановочный знак PSK, необходимый для работы L2TP / IPsec. Делать
  не используйте какой-либо другой идентификатор для этого PSK!

• Установить Секретный тип на PSK

• Введите общий ключ , например, aaabbbccc — в идеале — намного длиннее,
  более случайный и безопасный!

• Нажмите Сохранить

• Нажмите Применить изменения

Правила брандмауэра IPsec

Правила брандмауэра необходимы для передачи трафика от клиентского хоста через IPsec к
установить туннель L2TP и внутри L2TP для прохождения фактического туннелирования VPN
трафик к системам через VPN.Добавление правил L2TP было описано в
предыдущий раздел. Чтобы добавить правила IPsec:

• Перейдите к Firewall> Rules , IPsec tab

• Ознакомьтесь с действующими правилами. Если есть правило стиля «разрешить все», то есть
  не нужно добавлять еще один. Переходите к следующему заданию.

• Щелкните Добавить , чтобы добавить новое правило в начало списка

• Установить протокол на любой

• Установить Source и Destination на любой

  Примечание

  Это не обязательно должно передавать весь трафик, но должно проходить как минимум L2TP
  (Порт UDP 1701 ) на IP-адрес WAN межсетевого экрана

• Нажмите Сохранить

• Нажмите Применить изменения

Конфигурация DNS

Если DNS-серверы предоставлены клиентам и несвязанный DNS-преобразователь
используется, то подсеть, выбранная для клиентов L2TP, должна быть добавлена ​​к его доступу
список.

• Перейдите к Services> DNS Resolver , Access Lists tab

• Щелкните Добавить , чтобы добавить новый список доступа

• Введите имя списка доступа , например Пользователи VPN

• Установить действие на Разрешить

• Щелкните Добавить сеть в разделе Сети , чтобы добавить новую сеть

• Введите подсеть VPN-клиента в поле Сеть , e.г. 10.3.177.128

• Выберите правильный CIDR , например 25

• Нажмите Сохранить

• Нажмите Применить изменения

Настройка клиента

При настройке клиентов следует обратить внимание на несколько моментов:

• Убедитесь, что конфигурация клиентской операционной системы настроена на подключение к
  правильный внешний адрес для VPN.

• Может потребоваться принудительно установить тип VPN на L2TP / IPsec на клиенте, если
  Имеет автоматический режим.

• Тип аутентификации клиента должен соответствовать тому, что настроено на L2TP
  сервер (например, CHAP )

.

Рецепты конфигурации pfSense — Подключение к L2TP / IPsec с Android

Клиент L2TP / IPsec на Android может настраивать
идентификатор, который позволяет L2TP / IPsec работать с pfSense®
сервер с использованием Pre-Shared Keys. Клиенты на других операционных системах
не допускают этого, что делает их несовместимыми с текущими
версии программного обеспечения pfSense.

Настройка IPsec

Настройка аналогична стандартному примеру VPN с удаленным доступом IPsec с использованием IKEv1 с Xauth
настройки, за исключением того, что xauth не используется, а скорее « Mutual PSK »,
а на этапе 2 используется режим Transport , а не туннель.

Общие ключи

После того, как туннель был настроен, перейдите на вкладку «Pre-Shared Keys».
в настройках IPsec и добавьте ключи IPsec. Ключ одной группы может быть
использовать при желании или сделать много ключей для разных пользователей.

Вот и все для IPsec!

Настройка L2TP

Для настройки L2TP перейдите в VPN> L2TP

• Выберите Включить L2TP-сервер

• Интерфейс — это WAN (или такой же, выбранный для IPsec)

• Адрес сервера — это неиспользуемый IP-адрес в новой подсети.Это
  НЕ ДОЛЖЕН перекрывать какой-либо IP, используемый на межсетевом экране, например x.x.x.2

• Диапазон удаленных адресов — это начальный IP-адрес клиентов, например
  x.x.x.128

• Маска подсети — сетевая маска для клиентского соединения,
  IP-адрес сервера должен быть включен в эту подсеть, например / 24

• Секрет должен быть оставлен пустым , похоже, не работает, на
  по крайней мере, с протестированной версией Android.

• Тип шифрования : рекомендуется CHAP

• L2TP DNS-серверы : фактический IP-адрес локальной сети брандмауэра или другой
  внутренний DNS-сервер

• Настройки РАДИУСА — при необходимости используйте их, в противном случае оставьте их в покое

• Сохранить

• Перейдите на вкладку Пользователи и добавьте туда учетные записи пользователей L2TP и пароли

• Теперь перейдите к Firewall> Rules на вкладке L2TP VPN и добавьте
  правило межсетевого экрана для передачи трафика, e.g от любого до любого или намного большего
  ограничительный, если желательно.

Настройка клиента Android

На телефоне / планшете / устройстве:

• Перейти к настройкам системы и VPN (зависит от устройства и
  конкретная версия Android

• Нажмите Добавить профиль VPN

• Введите имя

• Для Тип , коснитесь L2TP / IPsec PSK

• Адрес сервера : IP-адрес WAN маршрутизатора pfSense (или IP-адрес
  интерфейс, выбранный для IPsec и L2TP)

• L2TP Secret : Пусто

• Идентификатор IPsec : введите идентификатор для PSK, введенного выше,
  либо индивидуальный, либо общий идентификатор

• Общий ключ IPsec : PSK, который идет с идентификатором для
  этот пользователь / группа

• Расширенные параметры могут использоваться для управления тем, какие сети будут
  попытаться использовать VPN или указать собственный DNS-сервер и домены для
  этот клиент.

• Tap Сохранить

• В списке VPN коснитесь вновь созданной записи VPN

• Введите имя пользователя и пароль на вкладке L2TP Users
  введено выше

• Проверить Сохранить информацию об учетной записи , чтобы сохранить учетные данные VPN (не
  рекомендуется!),

• Tap Connect

После этого соединение должно подключиться и функционировать.Если не работает,
проверьте журналы IPsec и Status> System Logs , VPN , L2TP
Необработанный журнал , чтобы увидеть более конкретные ошибки.

Другие мысли

По идее должен работать и Mutual RSA, но пока не получилось
в тестировании. В режиме RSA для фазы 1 требуется основной режим, но в остальном
должно быть хорошо.

.