L2Tp настройка pfsense: 4. Настройка L2TP в pfSense — Записная книжка компьютерщика
4. Настройка L2TP в pfSense — Записная книжка компьютерщика
Сейчас будем создавать L2TP сервер для нашего pfSense. Для чего это нужно? Наша организация имеет небольшой филиал где находится 3 компьютера. Задача следующая — связать в единую сеть компьютеры организации и филиала. В идеале картина должна быть такая:
Но так как пока мы только настраиваем и тестируем наш новый pfSense, то имеем это (почему именно это — мы разбирали в предыдущих статьях):
Итак приступим. За основу я взял инструкцию отсюда: https://doc.pfsense.org/index.php/L2TP/IPsec, но тут она написана для более ранней версии pfSense поэтому есть некоторые неточности.
Нам нужно чтобы с любого рабочего компьютера сети предприятия можно было установить защищенное L2TP/IPsec соединение с внутренней сетью 192.168.2.0/24.
Замечу сразу, что в нашем случае, при таком IP адресе WAN интерфейса — 192.168.0.50 (что принадлежит диапазону частных сетей), необходимо снять галку Block private networks разделе Interfaces -> WAN -> раздел Private networks (смотри предыдущие статьи)
Настройка L2TP pfSense
Конфигурирование L2TP-сервера
- Заходим в WEB-интерфейс, идём VPN -> L2TP
- Включаем L2TP сервер выбрав переключатель Enable L2TP server
- Интерфейс должен быть выбран WAN, ведь клиены будут подключаться со стороны сетевой карты смотрящей в интернет
- Теперь нужно указать Server Address. Указываем, например, 192.168.33.252
— Выбираем не использующуюся сеть, т.е. если внутренняя сеть у нас 192.168.2.0/24 и внешняя сеть 192.168.0.0/24, то их выбирать нельзя.
— IP-адрес должен находиться в диапазоне частных сетей, т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8
— Подключенные по L2TP внешние клиенты из внутренней сети будут доступны по адресам указанной сети, например, 192.168.33.0, 192.168.33.1 и так далее
— Перед выбором этого адреса советую с рабочего компьютера сети пропинговать его, вдруг он уже занят. (у меня был случай что вроде никого под этим IP нету, а он пингуется! Оказалось что на стороне провайдера он занят и почему-то я его мог пинговать)
- Выбираем Remote Address Range — это как раз стартовый диапазон IP-адресов с которого будут раздаваться адреса L2TP клиентам (например, 192.168.33.0, 192.168.33.1). Указываем 192.168.33.0
- Subnet Mask указываем 24, что соответствует 255.255.255.0. Это значит что клиенты будут получать адреса от 192.168.33.0 до 192.168.33.255
- Number of L2TP Users это максимальное количество пользователей, которые будут подключены к pfSense. Так как у нас в филиале всего три компьютера, то и указываем 3
- Secret — не знаю что это, оставляем пустым
- Authentication Type это протокол проверки пароля (PAP-незашифрованный пароль, CHAP-зашифрованный). Указываем CHAP
- Остальное оставляем без изменений, жмём Save
Добавление L2TP пользователей
- Переходим во вкладку Users, добавляем пользователей
- Жмём кнопочку с плюсиком
- Username делаем qwert
- Password делаем qwerty
- IP address оставляем пустым
- Жмём Save
Это, как вы поняли, тестовый пользователь, потом создадите нормальных.
По идее L2TP не шифрует данные. L2TP — это просто метод инкапсуляции и он должен использоваться только на доверенных сетях, либо в сочетании с IPsec. Поэтому будем настраивать шифрование IPsec
Настройка IPsec
Конфигурирование Mobile Clients Tab
- Идем в VPN -> IPsec -> вкладка Mobile Clients
- Ставим флажок Enable IPsec Mobile Client Support
- В строке User Authentication выделяем пункт Local Database
- Проверьте что убраны флажки:
- Provide a virtual IP address to clients
- Provide a virtual IPv6 address to clients
- Provide a list of accessible networks to clients
- Жмём Save, вылезит сообщение с кнопкой Create Phase1, игнорируем его.
Конфигурирование Tunnels
- Переходим во вкладку Tunnels
- Ставим флажок Enable IPsec
- Жмём Save, затем Apple Changes
Конфигурирование Phase 1
- Возвращаемся во вкладку Mobile Clients
- Нажимаем кнопку Create Phase1 в сообщении вверху страницы
- Проверяем что в строке Key Exchange version установлено значение V1
- Проверяем что в строке Authentication method установлено значение Mutual PSK
- Устанавливаем Negotiation Mode в значение Main
- Проверяем что в строке My Identifier установлено значение My IP address
- Проверяем что в строке Encryption algorithm установлены значения AES и 256 bits
- Проверяем что в строке Hash algorithm установлено значение SHA1
- Устанавливаем DH key group в значение 14 (2048 bit)
- Проверяем что в строке Lifetime установлено значение 28800
- Проверяем что в строке Disable Rekey снят флажок Whether a connection should be renegotiated when it is about to expire.
- Проверяем что в строке Responder Only снят флажок Enable this option to never initiate this connection from this side, only respond to incoming requests.
- Проверяем что в строке NAT Traversalустановлено значение Auto
- Проверяем что в строке Dead Peer Detection установлены значения:
- флажок Enable DPD -> установлен
- Delay between requesting peer acknowledgement. -> 10 seconds
- Number of consecutive failures allowed before disconnect. -> 5 retries
- Жмём Save, затем Apple Changes
Конфигурирование Phase 2
- Нажимаем кнопку «+» рядом с которой написано — Show 0 Phase-2 entries
- Нажимаем ещё одну кнопку с плюсиком
- Устанавливаем Mode в значение Transport
- Проверяем что в Protocol установлено значение ESP
- В строке Encryption algorithms должен быть установлен только один флажок — напротив AES, значение измените на 128 bits
- В строке Hash algorithms должен быть установлен только один флажок — напротив SHA1
- Убедитесь что PFS Key Group установлен в положение off
- Lifetime должно быть равным 3600
- Жмём Save, затем Apple Changes
- Переходим во вкладку Pre-Shared Keys и жмём на кнопку с плюсиком
- Обратите внимание на выделенную строку:
PSK for any user can be set by using an identifier of any
Это значит что для задания одинакового Pre-Shared Key для всех пользователей следует в поле Identifier указать слово any, указываем это
- Secret type должен остаться PSK
- Pre-Shared Key установите случайное значение, например: abcdefghi (укажите что-нибудь посложнее, так как это я назначил для удобства)
- Жмём Save, затем Apple Changes
Настройка правил фаервола
Правила IPsec
- Идём Firewall -> Rules -> вкладка IPsec
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action -> Pass
- Interface -> IPsec
- TCP/IP Version-> IPv4
- Protocol-> UDP
- Source -> any
- Destination -> WAN Address
- Destination port range -> from: L2TP (1701) to: L2TP (1701)
- В Description напишите что-нибудь вроде Allow L2TP Clients
- Жмём Save, затем Apple Changes
Правила L2TP
- Идём во вкладку L2TP VPN
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action -> Pass
- Interface -> L2TP VPN
- TCP/IP Version -> IPv4
- Protocol-> any
- Source -> any
- Destination -> any
- Жмём Save, затем Apple Changes
Правила Floating
- Идём во вкладку Floating
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action -> Pass
- В строке Quick ставим галочку Apply the action immediately on match
- Interface -> L2TP VPN
- Direction -> Out
- TCP/IP Version -> IPv4
- Protocol-> TCP
- Source -> LAN net
- Destination -> Network -> 192.168.33.0/24 (сеть которую указывали при настройке L2TP)
- TCP Flags -> Any flags
- State Type -> Sloppy State
- Жмём Save, затем Apple Changes
Правила WAN
- Идём во вкладку WAN
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action -> Pass
- Interface -> WAN
- TCP/IP Version -> IPv4
- Protocol-> UDP
- Source -> any (либо тот внешний адрес клиента с которого будет производиться подключение к нашему pfSense через интернет)
- Destination -> Single host or alias -> 192.168.0.50/31 (WAN-адрес нашего pfSense)
- Destination port range -> from: 1701 to: 1701
- Жмём Save, затем Apple Changes
Настройка L2TP-соединения для клиентов в Windows 7
Ну вот, с pfSense вроде закончили, теперь настраиваем соединение для Windows 7
- Открываем Центр управления сетями и общим доступом
- Жмём Настройка нового подключения или сети
- Подключение к рабочему месту (если спросит использовать ли имеющееся подключение, жмите Нет, создать новое подключение)
- Использовать моё подключение к интернету (VPN)
- В строке Интернете-адрес укажите внешний адрес нашего pfSense (в моём случае 192.168.0.50)
- Имя местоназначения придумайте сами
- Данные пользователя у нас есть, мы их настраивали в разделе Добавление L2TP пользователей. Вводим их: логин — qwert; пароль — qwerty
- Ставьте флажок Запомнить пароль, Домен оставьте пустым.
- Жмите кнопку Подключить
- Далее будет сбой подключения, ошибка 800 или чёта типа того — это нормально. Жмите Все равно создать это подключение.
- Теперь идем в Центром управления сетями и общим доступом -> Изменение параметров адаптера. Находим только что созданное подключение и жмём Свойства
- Вкладка Безопасность. Тип VPN меняем на L2TP IPsec VPN. Далее жмём кнопку Дополнительные параметры. Устанавливаем переключатель в положение Для проверки подлинности использовать предварительный ключ. В значении указываем тот Pre-Shared Key который мы придумывали ранее (в моём случае abcdefghi). Жмем OK
Вот и всё, можно подключаться. Подключение должно быть успешным.
Траблуштинг (по-нашему: устранение проблем)
1. Не устанавливается соединение с использованием WAN Miniport
Если у Вас не устанавливается подключение и зависает это окно:
то попробуйте отключить фаервол на клиентской машине, скорее всего он не даёт установить это соединение, а если у Вас на компьютере установлен Е*учий Dr.WEB со включенным брандмауэром, то будьте уверены — это он во всём виноват.
2. L2TP Исчез интернет
Если у Вас после подключения по L2TP кудато исчез интернет, то это решение для Вас. Исправляется это не трудно:
Идём в свойства созданного соединения -> вкладка Сеть. Убираем флажок напротив IPv6,жмём на свойства IPv4 -> кнопка Дополнительно… . Снимаем флажок Использовать основной шлюз удаленной сети. Жмём ОК.
Проблемы с пропажей интернета должны решиться.
3. Не пингуются ресурсы сети через L2TP
Допустим у Вы с рабочего компьютера сети предприятия (смотри выше), подключённому к WAN-порту pfSense с помощью L2TP-соединения, пытаетесь пропинговать внутреннюю сеть pfSense (к примеру LAN-порт pfSense 192.168.2.253, или клиента 192.168.2.3) и у Вас ничего не получается.
Попробуйте выполнить команду tracert 192.168.2.253:
Это значит что ваш компьютер в поисках IP-адреса 192.168.2.253 спросил у DIR-300, а он, не найдя такой адрес, начал спрашивать у провайдера интернета. Толку от этого не будет.
Нужно завернуть трафик на IP-адрес сервера pfSense 192.168.33.252. Делается это так:
- Устанавливайте L2TP-соединение
- Запускайте командную строку от имени администратора
- Выполняйте команду Внимание, пишите руками, копипаст у меня почему-то не сработал! route -p add 192.168.2.0 mask 255.255.255.0 192.168.33.252
Список всех перенаправлений можно отобразить командой route print
Удалить созданное нами правило можно командой route delete 192.168.2.0
Подробнее почитайте здесь
Таким образом мы добавили перенаправление запросов к сети 192.168.2.0/24 к шлюзу 192.168.33.252. Если команда сработала то результат выполнения tracert 192.168.2.253 должен измениться.
Не знаю с чем связано, но добавление этого правила маршрутизации у меня работало через раз. Я так и не разобрался после какой комбинации действий и плясок с бубном у меня пошёл пинг от 192.168.0.191 до 192.168.2.3 через pfSense и L2TP. Но менял я следующие параметры:
- Включал/выключал Брандмауэр Доктора Веба на клинете 192.168.2.3
- Включал/выключал Брандмауэр Доктора Веба на рабочем компьютере 192.168.0.191
- Устанавливал L2TP-соединение при различном включеном/выключеном Брандмауэре Доктора Веба
- Делал route add … и/или route -p add … при установленном/отключеном L2TP-соединении
- Постоянно делал tracert 192.168.2.253, tracert 192.168.2.3 для отслеживания пути поиска, ping 192.168.2.253, ping 192.168.2.3 для проверки доступности
В итоге я добился:
- прохождения пингов во всех направлениях
- доступности WEB-интерфейса pfSense с рабочего компьютера сети предприятия (т.е. c IP 192.168.0.191)
- доступности содержимого расшаренных папок как в одной, так и в другой сети
- доступности интернета на обоих компьютерах (192.168.2.3 и 192.168.0.191)
- при этом брандмауэр доктора веба на обоих компьютерах оставался включенным и настраивался так
Теперь доступ к ресурсам должен проходить нормально.
Если доступ появился только к LAN-порту pfSense (192.168.2.253), но нет доступа к клиенту, то посмотрите пингуется ли в принципе клиент из сети. Я так целый день потратил на поиски проблемы. И фаервол отключил и pfSense мучил и интернет перекапывал, а совсем забыл, что на клиенте у меня стоит Доктор Веб!!! Думаю дальше не стоит объяснять…
Содержание
(Просмотрено 41 582 раз, 16 раз за сегодня)
с вашего сайта.
удалённый доступ к офисной сети через VPN (IPSec/L2TP)
Иногда сотрудникам компаний требуется возможность воспользоваться внутренними локальными ресурсами компании (базы, файловые хранилища и т.д.) в дороге (с мобильных рабочих мест) или из дома (с домашних компьютеров).
Для удалённого доступа к ресурсам офисной сети компании очень хорошим решением является создание VPN соединения. PfSense для этих задач достаточно удобен и функционален.
Исходные данные:
рабочая сеть (офис): 192.168.1.0/24
интенет шлюз (PfSense 2.4.3): 192.168.1.102(LAN), 192.168.4.232(WAN)
Настройка L2TP
В верхнем меню выбираем VPN — L2TP
после включения L2TP и сохранения настроек, переходим на вкладку Users и добавляем пользователя
Настройка IPsec
В верхнем меню выбираем VPN — IPsec — Mobile Clients
после сохранения и применения изменений нажимаем кнопку + Create Phase 1
создаём первую фазу
после сохранения и применения изменений раскрываем список второй фазы
создаём вторую фазу
сохраняем затем применяем изменения и переходим на вкладку Pre-Shared Keys и добавляем ключ с идентификатором any (этот ключ будет использоваться для любого пользователя)
Настройка правил сетевой защиты
переходим в раздел Firewall — Rules и создаём следующие правила:
IPSEC
L2TP VPN
WAN
Floating
Настройка клиента WINDOWS 7
Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать моё подключение к интернету
После сбоя подключения выбрать вариант Всё равно создать это подключение
Перейти в раздел Сетевые подключения открыть свойства созданого VPN-подключения
Чтобы удалённый компьютер не использовал VPN канал для доступа в интернет убираем галку Использовать основной шлюз в удалённой сети
На этом настройка закончена.
Для проверки подключаемся по созданому VPN-подключению и проверяем ping 192.168.1.102 (или любое другое сетевое устройство в офисной сети).
Ошибка 788 и 789
Запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters. Далее для параметра AllowL2TPWeakCrypto установите значение 1, а также создайте DWORD-параметр ProhibitIpSec и для него также установите значение 1 . После этого нужо перезагрузить компьютер. Данное решение универсальное и подходит, как для Windows 7, так и для Windows 10.
Для написания использовались следующие материалы:
https://www.xelent.ru/blog/nastroyka-vpn-pfsense/
https://knasys.ru/4-настройка-l2tp-в-pfsense/
pfSense 2 Cookbook: Глава 4
Глава 4 Виртуальные частные сети
В этой главе мы рассмотрим:
— Создание туннеля IPSec VPN
— Конфигурирование сервиса L2TP VPN
— Конфигурирование сервиса OpenVPN
— Конфигурирование сервиса PPTP VPN
Введение
Виртуальные частные сети (VPN — virtual private networking) — ключевой камень современных компьютерных систем. VPN соединения позволяют безопасное соединение удалённых пользователей с сетями и доступ к ресурсам, таким образом, словно они соединяются локально. Как и во всяких крупных делах, существует целый набор сервисов VPN, и pfSense включает четыре наиболее популярных реализации VPN. OpenVPN становится практически стандартом протокола VPN, однако следует учитывать, что вам придётся использовать дополнительное ПО для любого клиента Microsoft (поскольку поддержка OpenVPN не включена в стандартную комплектацию Windows). IPsec является более сложной, однако весьма популярной реализацией VPN. Сервисы PPTP и L2TP зачастую заменяют указанными альтернативами, но они до сих пор повсеместно распространены и в большинстве случаев их поддержка интегрирована в популярные операционные системы.
В этой главе описывается, как настроить любой (или одновременно все) сервисы pfSense реализующие VPN — IPsec, L2TP, OpenVPN и PPTP.
Создание туннеля IPsec VPN
Этот рецепт описывает как конфигурируется pfSense дл установки VPN линка с использованием IPsec туннеля.
Подготовка
IPSec — наиболее часто предпочитаемый метод для соединения типа сеть-сеть (в отличии от соединения клиент-сеть). Типичный сценарий включает создание постоянного безопасного соединения между главным предприятием и его филиалами.
Замечание
Сети соединяемы через VPN должны иметь различные подсети. Для примера, если обе сети используют подсеть 192.168.1.0/24, VPN не будет работать.
Как это сделать…
1. Переходим на страницу VPN | IPsec.
2. Нажимаем кнопку [+] для создания IPsec туннеля.
3. Определяем удалённый шлюз (Remote Gateway).
4. Добавляем описание (Description).
5. Вводим секретный ключ (Pre-Share Key).
6. Сохраняем (Save) изменения.
7. Отмечаем включе
Настройка Site-to-Site VPN с помощью pfSense 2.3| Помощь
Site-to-site VPN (Virtual Private Network) — способ реализации технологии OpenVPN, предназначенный для создания защищенного виртуального туннеля между несколькими частными сетями, что может быть полезной опцией при объединении в виртуальную частную сеть удаленных филиалов компании или отделов, находящихся в одном здании, но в разных сетях (в частности, за разными роутерами, не поддерживающими режим точки доступа (AP)).
В чем отличие традиционного режима работы VPN (Point-to-Site) от Site-to-Site? При использовании второго отсутствует необходимость отдельно настраивать параметры подключения для каждого конкретного клиентского устройства — достаточно сконфигурировать по одному VPN-шлюзу со стороны каждой из связываемых сетей. Point-to-Site целесообразен скорее при подключении конкретных удаленных сотрудников, Site-to-Site – для подключения подразделений.
Эта инструкция поможет Вам поднять Site-to-Site VPN c использованием программного маршрутизатора pfSense, на примере объединения частной сети серверов 1cloud и внешней сети (физической или виртуальной).
В нашем случае, первая сеть «1cloud» состоит из трех виртуальных серверов: Ubuntu 12.04, Windows 2008 R2 и pfSense 2.3. Операционные системы развернуты из стандартных шаблонов, предлагаемых сервисом 1cloud, без какой-либо дополнительной настройки.
Частное облако от 1cloud.ru
- Любые конфигурации виртуальных серверов
- Бесплатные частные сети
- Полная автоматизация управления
Весь процесс настройки состоит из двух несложных этапов:
- Подготовка серверов pfSense и создание частных сетей;
- Проброс Site-to-Site туннеля между сетями.
1. Подготовка серверов pfSense и создание частной сети.
PfSense представляет собой дистрибутив на базе FreeBSD, предназначенный для создания межсетевых экранов/маршрутизаторов. При весьма широких возможностях, он бесплатный, нуждается лишь в минимальных аппаратных ресурсах, и имеет предустановленный понятный web-интерфейс управления. Подробнее ознакомиться с возможностями pfSense можно здесь. Мы будем использовать встроенные возможности этой ОС для настройки Site-to-Site VPN.
Во-первых, нужно добавить по одному хосту pfSense со стороны каждой из частных сетей. В 1cloud cделать это можно, выбрав соответствующий шаблон при добавлении нового сервера. Сразу после завершения автоматического процесса развертывания системы по внешнему IP-адресу сервера становится доступен веб-интерфейс управления ОС.
Cоздание частной сети и подключение серверов к ней осуществляется в несколько кликов:
Обратите внимание, что физический адрес выбираемого для настройки адаптера должен совпадать с MAC-адресом сервера-члена частной сети в панели управления 1cloud. То же самое касается и IP-адреса хоста, указываемого в параметрах LAN-интерфейса pfSense.
- В главном меню панели 1cloud выбираем раздел «Частные сети» и пункт «Добавить сеть». Выбираем центр обработки данных, указываем название сети. Отключаем опцию DHCP (Dynamic Host Configuration Protocol) во избежание путаницы в параметрах маршрутизации внутри будущего VPN туннеля.
- После успешного создания сети, необходимо подключить к ней серверы. Эта функция доступна в том же разделе «Частные сети» при клике по названию соответствующей сети. Здесь же отображается и адресное пространство созданной VPN — в нашем случае «0.0.0/24».
- Теперь настроим pfSense, расположенный со стороны 1cloud. Перезагружаем сервер через панель управления 1cloud или через веб-интерфейс. Это необходимо для применения изменений, связанных с созданием виртуального сетевого адаптера. Затем входим в веб-интерфейс управления pfSense.
Сразу настроим Firewall на разрешение внешних подключений к LAN-интерфейсу. В нашем примере разрешаются любые входящие подключения для локальной сети. Вы можете сконфигурировать эти правила по-своему. Главное, чтобы правило включало в себя разрешение для OpenVPN (порт 1194 UDP)
Важно! Аналогичным образом необходимо настроить параметры созданных виртуальных адаптеров на других серверах, находящихся в новой частной сети. Вы можете воспользоваться приведенными ниже инструкциями (не забудьте в поле «Шлюз по умолчанию/Default Gateway» указать адрес хоста pfSense, назначенный выше (в нашем случае 10.0.0.3)):
— Debian/Ubuntu
— Windows
— CentOS
Важно! Необходимо также создать экземпляр сервера pfSense во внешней подключаемой сети на физическом или виртуальном сервере. Процесс установки этой ОС описан здесь.
2. Проброс Site-to-Site туннеля между сетями:
Прежде чем перейти к настройке, стоит отметить, что технология OpenVPN, на базе которой мы будем реализовывать нашу задачу, может работать в нескольких режимах, а именно «Peer to Peer (Shared Key)» — PSK и «Peer to Peer (SSL/TLS)» — PKI.
«Peer to Peer (Shared Key)» — PSK является наиболее простым в настройке режимом и вполне подходит для объединения небольшого числа сетей. При этом, его недостаток заключается в том, что для каждого удаленного подразделения сети приходится создавать отдельный экземпляр сервиса OpenVPN на управляющем сервере pfSense. Если Вам необходим связать много (более 3-4) частных сетей, то стоит подумать о режиме PKI, в котором один экземпляр сервера может обслуживать множество клиентов.
В данном руководстве мы рассмотрим процесс настройки Site-to-Site VPN в режиме PSK, так как он вполне соответствует нашей задаче – объединению всего двух сетей.
Server Mode: Peer to Peer (Shared Key)
Protocol: UDP
Device Mode: tun
Interface: WAN
Local Port: 1194
Description: любое описание сервера
Shared key: Automatically generate a shared key (при сохранении и закрытии параметров будет сгенерирован ключ, который в последствии необходимо будет скопировать на клиентский OpenVPN-сервер)
Encryption algorithm: можно оставить по умолчанию
Hardware Crypto: No hardware crypto acceleration
IPv4 Tunnel Network: 10.0.8.0/24 (в нашем случае)
IPv4 Remote networks: 10.0.1.0/24 (! Этот параметр указывает на адресное пространство удаленной сети. Вы можете получить его с помощью сведений о вашей физической/частной сети, отображаемых на любом из входящих в нее устройств. Например, для локальной сети, где адрес шлюза: 192.168.1.1, адресное пространство — 192.168.1.0/24)
Остальные параметры можно оставить без изменений. Сохраняем конфигурацию.
После сохранения изменений следует применить их, а затем обновить страницу.
После сохранения изменений снова применяем их, обновляем страницу.
- На сконфигурированном ранее управляющем сервере pfSense (далее VPN-сервер), снова входим в веб-интерфейс управления.
- Переходим во вкладку VPN > OpenVPN, Servers, кликаем «Add» для создания нового экземпляра VPN-сервера и указываем его параметры:
- Следует настроить параметры Firewall для интерфейса WAN на разрешение внешних подключений для OpenVPN. См. скриншоты ниже:
- Теперь настроим правила Firewall для самого сервиса OpenVPN:
- Возвращаемся в меню VPN – OpenVPN и нажимаем кнопку «карандаш» для открытия параметров экземпляра. Копируем автоматически созданный Shared key в буфер обмена или в блокнот. На этом настройку сервера управляющего сервера VPN можно считать завершенной.
На последнем этапе следует сконфигурировать второй сервер pfSense (далее OpenVPN – клиент), находящийся во внешней подключаемой сети (в нашем случае – 10.0.1.0/24).
После сохранения изменений применяем их и обновляем страницу.
- На клиентском сервере pfSense открываем вкладку OpenVPN – Client. Кликаем «Add» для создания новой конфигурации. Указываем следующие параметры:
Server Mode: Peer to Peer (Shared Key)
Protocol: Match the setting from the server side.
Device Mode: tun
Interface: WAN
Local Port: 1194
Server host or address: внешний IP-адрес OpenVPN-сервера (в нашем случае адрес машины VPN Server – 188.227.72.136)
Server Port: 1194
Description: Любое описание экземпляра
Shared key : Вставляем сюда содержимое ранее скопированного из параметеров управляющего pfSense ключа
Encryption algorithm : должен совпадать с указанным на OpenVPN-сервере
Hardware Crypto : должен совпадать с указанным на OpenVPN-сервере
IPv4 Tunnel Network : должен совпадать с указанным на OpenVPN-сервере
IPv4 Remote networks : 10.0.0.0/24 (! Этот параметр – удаленная сеть, может отличаться от указанного нами. Подразумевается локальная сеть, в которой расположен “VPN Server”)
Compression : должен совпадать с указанным на OpenVPN-сервере
Type-of-Service : должен совпадать с указанным на OpenVPN-сервере
Сохраняем параметры.
- Последнее, что необходимо сделать — настроить правила Firewall для клиентского сервера, аналогично тому, как делали это ранее на управляющем сервере.
Если настройка была осуществлена верно, то в меню Status – OpenVPN клиентского сервера сразу же можно увидеть результат – успешное подключение.
На этом настройку можно считать завершенной.
P.S. Заключение
Удостоверимся в корректности конфигурации, например, через проверку соединения между управляемым сервером pfSense, находящимся в сети 10.0.1.0/24, и Windows-сервером, расположенным в 10.0.0.0/24.
Для этого подключаемся к Windows-хосту по RDP, используя IP-адрес, логин и пароль, указанные в панели 1cloud. Затем открываем командную строку (cmd) и вводим следующее:
Ping 10.0.1.1 (Адрес пингуемого сервера у Вас может отличаться – вводите адрес любой из машин, подключенных ко второй частной сети.)
В случае успешного соединения, в командной строке начнет отображаться процесс обмена пакетами.
P. S. Другие инструкции:
Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже
удалённый доступ к офисной сети через VPN (IKEv2)
В предыдущей статье рассматривался вариант подключения к сети по VPN через более старый (и потому более совместимый) канал IPSec/L2TP. Но на данный моменте более актуальный (по скорости работы и защищённости) можно считать вариант соединения через IKEv2.
Установка сертификата
При использовании авторизации по методу EAP-MSCHAPv2 потребуется наличие сертификата на принимающем сервере. Для этого создадим цепочку Центр сертификации + Сертификат сервера на нашем шлюзе pfsense.
Создание Центра сертификации
System / Certificate Manager / CAs
Add — создаём новый сертификат Центра сертификации
Descriptive name — TEST-PfSense-CA (название центра сертификации)
Method — Create an internal certificate
При необходимости заполнить данные о компании и
Создание сертификата сервера
System / Certificate Manager / Certificates
Add
Method — Create an internal certificate
Descriptive name — VPN-Server (название сертификата)
Common Name — pfsense.pontin.ru (адрес, по которому будет производиться обращение к IKEv2 серверу клиентами)
Certificate Type — Server Certificate
Alternative Name — добавить при необходимости альтернативные адреса использования сертификата
Настройка сервера IPSec
Mobile Clients
VPN / IPsec / Mobile Clients
IKE Extensions — включить
Virtual Address Pool — 10.0.0.0/29 (указать адрес виртуальной сети (с маской) — в нашем случае сеть вмещает 6 адресов)
Network List — включить
DNS Default Domain — TEST.LOCAL (добавить доменное имя при необходимости)
DNS Servers — 192.168.145.1 192.168.145.2 (указать адреса внутренних DNS серверов при необходимости)
Save + Apply Changes
Phase 1
Key Exchange version — IKEv2
Authentication method — EAP-MSChapv2
My Identifier — Distinguished name — pfsense.pontin.ru
Peer Identifier — any
My Certificate — VPN-Server
Encryption algorithm — AES 256
Hash — SHA256
DH group — 2 (1024 bit)
Lifetime — 28800
Disable Rekey и Disable Reauth — отключить
Enable DPD — включить
Phase 2
Show Phase 2 Entries
Add P2
Mode — Tunnel IPv4
Local Network — 0.0.0.0/0 (данное значение позволяет принимать соединения от любых локальных сетей)
Protocol — ESP
Encryption algorithms — 3DES
Hash algorithms — SHA1 + SHA256
PFS Key Group — off
Lifetime — 3600
Save + Apply Changes
VPN / IPsec / Pre-Shared Keys
Add
Identifier — user-1 (имя пользователя)
Secret Type — EAP
Pre-Shared Key — 111111 (пароль)
Save + Apply Changes
Настройка правил Firewall
Firewall / Rules / IPsec
Add
Protocol , Source , Destination — any
Save + Apply Changes
Настройка клиентского компьютера
Установка сертификата
Выгрузить сертификат Центра сертификации в файл
System / Certificate Manager / CAs
— Export CA
Установить сертификат Центра сертификации TEST-PfSense-CA в хранилище «Доверенные корневые центры сертификации» локального компьютера.
В командной строке, запущенной от имени Администратора выполнить команду
certutil -addstore -user Root C:\TEST-PfSense-CA.crt
(где C:\TEST-PfSense-CA.crt — путь к скаченному сертификату Центра сертификации)
Создать VPN соединение
адрес сервера — pfsense.pontin.ru
пользователь — user-1 / пароль — 111111
В свойствах соедиенения
Безопасность
Тип VPN — IKEv2
Протокол расширенной проверки подлинности — Microsoft: защищённый пароль (EAP-MSCHAP v2)
Сеть
Протокол Интернета версии 4 — свойства —дополнительно — Использовать основной шлюз в удалённой сети — отключить.
Чтобы получить доступ к сетевым ресурсам удалённой сети нужно добавить маршрутизацию
route -p add 192.168.145.0 mask 255.255.255.0 10.0.0.1
т.к. при каждом новом сеансе VPN назначается произвольный адрес из заданного диапозона, то желательно добавить постоянный маршрут для каждого возможного адреса (10.0.0.1 и т.д.)
pfsense vpn l2tp server настройка
Pfsense vpn l2tp server настройка
PfSense — удалённый доступ к офисной сети через VPN (IPSec/L2TP)
Иногда сотрудникам компаний требуется возможность воспользоваться внутренними локальными ресурсами компании (базы, файловые хранилища и т.д.) в дороге (с мобильных рабочих мест) или из дома (с домашних компьютеров).
Для удалённого доступа к ресурсам офисной сети компании очень хорошим решением является создание VPN соединения. PfSense для этих задач достаточно удобен и функционален.
рабочая сеть (офис): 192.168.1.0/24
интенет шлюз (PfSense 2.4.3): 192.168.1.102(LAN) , 192.168.4.232(WAN)
Настройка L2TP
В верхнем меню выбираем VPN — L2TP
после включения L2TP и сохранения настроек, переходим на вкладку Users и добавляем пользователя
Настройка IPsec
В верхнем меню выбираем VPN — IPsec — Mobile Clients
после сохранения и применения изменений нажимаем кнопку + Create Phase 1
после сохранения и применения изменений раскрываем список второй фазы
сохраняем затем применяем изменения и переходим на вкладку Pre-Shared Keys и добавляем ключ с идентификатором any (этот ключ будет использоваться для любого пользователя)
Настройка правил сетевой защиты
переходим в раздел Firewall — Rules и создаём следующие правила:
Настройка клиента WINDOWS 7
Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать моё подключение к интернету
После сбоя подключения выбрать вариант Всё равно создать это подключение
Перейти в раздел Сетевые подключения открыть свойства созданого VPN-подключения
Чтобы удалённый компьютер не использовал VPN канал для доступа в интернет убираем галку Использовать основной шлюз в удалённой сети
На этом настройка закончена.
Для проверки подключаемся по созданому VPN-подключению и проверяем ping 192.168.1.102 (или любое другое сетевое устройство в офисной сети).
Ошибка 788 и 789
Запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters. Далее для параметра AllowL2TPWeakCrypto установите значение 1, а также создайте DWORD-параметр ProhibitIpSec и для него также установите значение 1 . После этого нужо перезагрузить компьютер. Данное решение универсальное и подходит, как для Windows 7, так и для Windows 10.
источник
Pfsense vpn l2tp server настройка
Сейчас будем создавать L2TP сервер для нашего pfSense. Для чего это нужно? Наша организация имеет небольшой филиал где находится 3 компьютера. Задача следующая — связать в единую сеть компьютеры организации и филиала. В идеале картина должна быть такая:
Но так как пока мы только настраиваем и тестируем наш новый pfSense, то имеем это (почему именно это — мы разбирали в предыдущих статьях):
Итак приступим. За основу я взял инструкцию отсюда: https://doc.pfsense.org/index.php/L2TP/IPsec, но тут она написана для более ранней версии pfSense поэтому есть некоторые неточности.
Нам нужно чтобы с любого рабочего компьютера сети предприятия можно было установить защищенное L2TP/IPsec соединение с внутренней сетью 192.168.2.0/24.
Замечу сразу, что в нашем случае, при таком IP адресе WAN интерфейса — 192.168.0.50 (что принадлежит диапазону частных сетей), необходимо снять галку Block private networks разделе Interfaces -> WAN -> раздел Private networks (смотри предыдущие статьи)
Настройка L2TP pfSense
Конфигурирование L2TP-сервера
- Заходим в WEB-интерфейс, идём VPN -> L2TP
- Включаем L2TP сервер выбрав переключатель Enable L2TP server
- Интерфейс должен быть выбран WAN, ведь клиены будут подключаться со стороны сетевой карты смотрящей в интернет
- Теперь нужно указать Server Address. Указываем, например, 192.168.33.252
— Выбираем не использующуюся сеть, т.е. если внутренняя сеть у нас 192.168.2.0/24 и внешняя сеть 192.168.0.0/24, то их выбирать нельзя.
— IP-адрес должен находиться в диапазоне частных сетей, т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8
— Подключенные по L2TP внешние клиенты из внутренней сети будут доступны по адресам указанной сети, например, 192.168.33.0, 192.168.33.1 и так далее
— Перед выбором этого адреса советую с рабочего компьютера сети пропинговать его, вдруг он уже занят. (у меня был случай что вроде никого под этим IP нету, а он пингуется! Оказалось что на стороне провайдера он занят и почему-то я его мог пинговать)
- Выбираем Remote Address Range — это как раз стартовый диапазон IP-адресов с которого будут раздаваться адреса L2TP клиентам ( например, 192.168.33.0, 192.168.33.1 ). Указываем 192.168.33.0
- Subnet Mask указываем 24, что соответствует 255.255.255.0. Это значит что клиенты будут получать адреса от 192.168.33.0 до 192.168.33.255
- Number of L2TP Users это максимальное количество пользователей, которые будут подключены к pfSense. Так как у нас в филиале всего три компьютера, то и указываем 3
- Secret — не знаю что это, оставляем пустым
- Authentication Type это протокол проверки пароля (PAP-незашифрованный пароль, CHAP-зашифрованный). Указываем CHAP
- Остальное оставляем без изменений, жмём Save
Добавление L2TP пользователей
- Переходим во вкладку Users, добавляем пользователей
- Жмём кнопочку с плюсиком
- Username делаем qwert
- Password делаем qwerty
- IP address оставляем пустым
- Жмём Save
Это, как вы поняли, тестовый пользователь, потом создадите нормальных.
По идее L2TP не шифрует данные. L2TP — это просто метод инкапсуляции и он должен использоваться только на доверенных сетях, либо в сочетании с IPsec. Поэтому будем настраивать шифрование IPsec
Настройка IPsec
Конфигурирование Mobile Clients Tab
- Идем в VPN -> IPsec -> вкладкаMobile Clients
- Ставим флажок Enable IPsec Mobile Client Support
- В строке User Authentication выделяем пункт Local Database
- Проверьте что убраны флажки:
- Provide a virtual IP address to clients
- Provide a virtual IPv6 address to clients
- Provide a list of accessible networks to clients
- Жмём Save, вылезит сообщение с кнопкой Create Phase1, игнорируем его.
Конфигурирование Tunnels
- Переходим во вкладку Tunnels
- Ставим флажок Enable IPsec
- Жмём Save, затем Apple Changes
Конфигурирование Phase 1
- Возвращаемся во вкладку Mobile Clients
- Нажимаем кнопку Create Phase1 в сообщении вверху страницы
- Проверяем что в строке Key Exchange version установлено значение V1
- Проверяем что в строке Authentication method установлено значение Mutual PSK
- Устанавливаем Negotiation Mode в значение Main
- Проверяем что в строке My Identifier установлено значение My IP address
- Проверяем что в строке Encryption algorithm установлены значения AES и 256 bits
- Проверяем что в строке Hash algorithm установлено значение SHA1
- Устанавливаем DH key group в значение 14 (2048 bit)
- Проверяем что в строке Lifetime установлено значение 28800
- Проверяем что в строке Disable Rekey снят флажок Whether a connection should be renegotiated when it is about to expire.
- Проверяем что в строке Responder Only снят флажок Enable this option to never initiate this connection from this side, only respond to incoming requests.
- Проверяем что в строке NAT Traversalустановлено значение Auto
- Проверяем что в строке Dead Peer Detection установлены значения:
- флажок Enable DPD ->установлен
- Delay between requesting peer acknowledgement. ->10 seconds
- Number of consecutive failures allowed before disconnect. ->5 retries
- Жмём Save, затем Apple Changes
Конфигурирование Phase 2
- Нажимаем ещё одну кнопку с плюсиком
- Устанавливаем Mode в значение Transport
- Проверяем что в Protocol установлено значение ESP
- В строке Encryption algorithms должен быть установлен только один флажок — напротив AES, значение измените на 128 bits
- В строке Hash algorithms должен быть установлен только один флажок — напротив SHA1
- Убедитесь что PFS Key Group установлен в положение off
- Lifetime должно быть равным 3600
- Жмём Save, затем Apple Changes
- Переходим во вкладку Pre-Shared Keys и жмём на кнопку с плюсиком
- Обратите внимание на выделенную строку:
PSK for any user can be set by using an identifier of any
Это значит что для задания одинакового Pre-Shared Key для всех пользователей следует в поле Identifier указать слово any, указываем это
- Secret type должен остаться PSK
- Pre-Shared Key установите случайное значение, например: abcdefghi (укажите что-нибудь посложнее, так как это я назначил для удобства)
- Жмём Save, затем Apple Changes
Настройка правил фаервола
Правила IPsec
- Идём Firewall -> Rules->вкладкаIPsec
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action ->Pass
- Interface ->IPsec
- TCP/IP Version->IPv4
- Protocol->UDP
- Source ->any
- Destination ->WAN Address
- Destination port range -> from: L2TP (1701) to: L2TP (1701)
- В Description напишите что-нибудь вроде Allow L2TP Clients
- Жмём Save, затем Apple Changes
Правила L2TP
- Идём во вкладку L2TP VPN
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action ->Pass
- Interface ->L2TP VPN
- TCP/IP Version ->IPv4
- Protocol->any
- Source ->any
- Destination ->any
- Жмём Save, затем Apple Changes
Правила Floating
- Идём во вкладку Floating
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action ->Pass
- В строке Quick ставим галочку Apply the action immediately on match
- Interface ->L2TP VPN
- Direction ->Out
- TCP/IP Version ->IPv4
- Protocol->TCP
- Source ->LAN net
- Destination -> Network ->192.168.33.0/24 (сеть которую указывали при настройке L2TP)
- TCP Flags ->Any flags
- State Type ->Sloppy State
- Жмём Save, затем Apple Changes
Правила WAN
- Идём во вкладку WAN
- Нажмите кнопку с плюсиком для добавления правила, устанавливаем следующие параметры:
- Action ->Pass
- Interface ->WAN
- TCP/IP Version ->IPv4
- Protocol->UDP
- Source ->any (либо тот внешний адрес клиента с которого будет производиться подключение к нашему pfSense через интернет)
- Destination -> Single host or alias ->192.168.0.50/31 (WAN-адрес нашего pfSense)
- Destination port range -> from: 1701 to: 1701
- Жмём Save, затем Apple Changes
Настройка L2TP-соединения для клиентов в Windows 7
Ну вот, с pfSense вроде закончили, теперь настраиваем соединение для Windows 7
- Открываем Центр управления сетями и общим доступом
- Жмём Настройка нового подключения или сети
- Подключение к рабочему месту (если спросит использовать ли имеющееся подключение, жмите Нет, создать новое подключение)
- Использовать моё подключение к интернету (VPN)
- В строке Интернете-адрес укажите внешний адрес нашего pfSense (в моём случае 192.168.0.50)
- Имя местоназначения придумайте сами
- Данные пользователя у нас есть, мы их настраивали в разделе Добавление L2TP пользователей . Вводим их: логин — qwert; пароль — qwerty
- Ставьте флажок Запомнить пароль, Домен оставьте пустым.
- Жмите кнопку Подключить
- Далее будет сбой подключения, ошибка 800 или чёта типа того — это нормально. Жмите Все равно создать это подключение.
- Теперь идем в Центром управления сетями и общим доступом -> Изменение параметров адаптера. Находим только что созданное подключение и жмём Свойства
- Вкладка Безопасность. Тип VPN меняем на L2TP IPsec VPN. Далее жмём кнопку Дополнительные параметры. Устанавливаем переключатель в положение Для проверки подлинности использовать предварительный ключ. В значении указываем тот Pre-Shared Key который мы придумывали ранее (в моём случае abcdefghi). Жмем OK
Вот и всё, можно подключаться. Подключение должно быть успешным.
Траблуштинг (по-нашему: устранение проблем)
1. Не устанавливается соединение с использованием WAN Miniport
Если у Вас не устанавливается подключение и зависает это окно:
то попробуйте отключить фаервол на клиентской машине, скорее всего он не даёт установить это соединение, а если у Вас на компьютере установлен Е*учий Dr.WEB со включенным брандмауэром, то будьте уверены — это он во всём виноват.
2. L2TP Исчез интернет
Если у Вас после подключения по L2TP кудато исчез интернет, то это решение для Вас. Исправляется это не трудно:
Идём в свойства созданного соединения -> вкладка Сеть. Убираем флажок напротив IPv6,жмём на свойства IPv4 -> кнопка Дополнительно… . Снимаем флажок Использовать основной шлюз удаленной сети. Жмём ОК.
Проблемы с пропажей интернета должны решиться.
3. Не пингуются ресурсы сети через L2TP
Допустим у Вы с рабочего компьютера сети предприятия (смотри выше), подключённому к WAN-порту pfSense с помощью L2TP-соединения, пытаетесь пропинговать внутреннюю сеть pfSense (к примеру LAN-порт pfSense 192.168.2.253, или клиента 192.168.2.3) и у Вас ничего не получается.
Попробуйте выполнить команду tracert 192.168.2.253:
Это значит что ваш компьютер в поисках IP-адреса 192.168.2.253 спросил у DIR-300, а он, не найдя такой адрес, начал спрашивать у провайдера интернета. Толку от этого не будет.
Нужно завернуть трафик на IP-адрес сервера pfSense 192.168.33.252. Делается это так:
- Устанавливайте L2TP-соединение
- Запускайте командную строку от имени администратора
- Выполняйте команду Внимание, пишите руками, копипаст у меня почему-то не сработал!route -p add 192.168.2.0 mask 255.255.255.0 192.168.33.252
Список всех перенаправлений можно отобразить командой route print
Удалить созданное нами правило можно командой route delete 192.168.2.0
Таким образом мы добавили перенаправление запросов к сети 192.168.2.0/24 к шлюзу 192.168.33.252. Если команда сработала то результат выполнения tracert 192.168.2.253 должен измениться.
Не знаю с чем связано, но добавление этого правила маршрутизации у меня работало через раз. Я так и не разобрался после какой комбинации действий и плясок с бубном у меня пошёл пинг от 192.168.0.191 до 192.168.2.3 через pfSense и L2TP. Но менял я следующие параметры:
- Включал/выключал Брандмауэр Доктора Веба на клинете 192.168.2.3
- Включал/выключал Брандмауэр Доктора Веба на рабочем компьютере 192.168.0.191
- Устанавливал L2TP-соединение при различном включеном/выключеном Брандмауэре Доктора Веба
- Делал route add … и/или route -p add … при установленном/отключеном L2TP-соединении
- Постоянно делал tracert 192.168.2.253, tracert 192.168.2.3 для отслеживания пути поиска, ping 192.168.2.253,ping 192.168.2.3для проверки доступности
В итоге я добился:
- прохождения пингов во всех направлениях
- доступности WEB-интерфейса pfSense с рабочего компьютера сети предприятия (т.е. c IP 192.168.0.191)
- доступности содержимого расшаренных папок как в одной, так и в другой сети
- доступности интернета на обоих компьютерах (192.168.2.3 и 192.168.0.191)
- при этом брандмауэр доктора веба на обоих компьютерах оставался включенным и настраивался так
Теперь доступ к ресурсам должен проходить нормально.
Если доступ появился только к LAN-порту pfSense (192.168.2.253), но нет доступа к клиенту, то посмотрите пингуется ли в принципе клиент из сети. Я так целый день потратил на поиски проблемы. И фаервол отключил и pfSense мучил и интернет перекапывал, а совсем забыл, что на клиенте у меня стоит Доктор Веб. Думаю дальше не стоит объяснять…
источник
pfSense — настройка удаленного доступа к сети (IPsec VPN) для iPhone, iPad
В понедельник уезжаю в командировку и на этот раз вместо ноутбука беру с собой iPad. В связи с этим встал вопрос удаленного доступа к ресурсам моей любимой сети с мобильного девайса. Открывать порты всех сервисов наружу на pfSense совсем не правильно с точки зрения безопасности, поэтому остался единственный приемлемый вариант — создать на pfSense VPN сервер.
Как это сделать я вам сейчас расскажу. Да, такой удаленный доступ можно организовать практически для любых интеллектуальных мобилок, не обязательно иметь iPhone или iPad.
На всякий случай напомню про наши предыдущие обзоры pfSense, с которыми вы можете быстренько ознакомиться не утруждая себя в поиске:
- Введение в pfSense
- Установка pfSense
- Настройка pfSense: сетевые интерфейсы
- Прокси-сервер в pfSense
- Прокси-сервер в pfSense — Часть 2 — анивирус и фильтры доступа
- MultiWAN в pfSense — подключение к двум провайдерам
Настраиваем pfSense IPSec VPN
Ну что, давайте перейдем к делу и зайдем в прекрасный web-интерфейс pfSense. Здесь нам надо залезть в меню VPNIPsec и затем перейти в закладку Mobile Clients:
Здесь ставим галку Enable IPsec Mobile Client Support и Provide a virtual IP address to clients, далее указываем какую-нибудь виртуальную сеть. Для примера я взял 192.168.2.0/24
Если у вас в сети развернут домен, то можно поставить галку Provide a default domain name to clients и указать домен.
Конечно, не забываем указать DNS-сервера для наших мобилок — ставим галку Provide a DNS server list to clients и указываем IP-адреса DNS’ов. Можно взять DNS вашего роутера, а можно публичный, например, 8.8.8.8 — принципиальной разницы нет.
В итоге должно получиться примерно так:
Обязятельно нажимаем кнопку Save внизу страницы. При этом в верхней части страницы появится уведомление о необходимости создания Phase1:
Нажимаем кнопку Create Phase1 и попадаем в новое окно:
Немного поясню что здесь надо выставить:
- Interface — обычно WAN, но у меня несколько провайдеров и я выбрал WAN2.
- Description — Описание вашего поделючения
- Authenticated method — Mutual PSK + Xauth
- Negotiation mode — aggressive
- My identifier — My IP address
- Peer identifier — Distinguished name, в поле правее придумайте и впишите имя группы (оно нам позже понадобится)
- Pre-Shared Key — какой-нибудь пароль для группы (тоже понадобится позже)
- Encryption algorithm — AES 256 bits
- Hash algorithm — SHA1
- DH key group — 2
- Lifetime — 28800
- Nat Travesal — Enable
- Dead Peer Detection — вкл
Выставляем параметры, нажимаем Save внизу страницы и попадем в основное окно IPsec. Здесь нам нужно отметить одну галку и понажимать на кнопки, см скриншот:
После того как вы нажмете на кнопку + (номер 3 на скриншоте) появится еще одна кнопка, на которую нам надо нажать:
Далее появится диалог создания Phase2. В нем надо указать все как на скриншоте ниже:
и нажать кнопку Save внизу.
Затем не забываем применить все изменения:
Последнее, что нам надо сделать — создать пользователя для удаленного доступа. Для этого идем в меню SystemUser Manager
Создаем там нового пользователя. Вводим логин, желаемый пароль и жмем Save.
Затем, заходим в редактирование этого пользователя и находим вот такую кнопочку:
Там добавляются привилегии пользователя. Выбираем User — VPN — IPsec xauth и нажимаем Save два раза.
На этом настройка pfSense завершена, теперь нам остается настроить мобильный клиент.
Настраиваем iPad VPN
Здесь все еще проще. Идем в НастройкиСеть
Затем в VPN
Далее ждем кнопку Добавить конфигурацию VPN…
В новом окне выбираем тип IPSec
и указываем необходимые параметры:
Описание — пишите что хотите
Сервер — IP-адрес WAN интерфейса pfSense
Учетная запись — логин пользователя, которого мы создали
Пароль — пароль пользователя
Имя группы — тут имеется ввиду та группа, которую мы придумывали на этапе настройки Phase1
Общий ключ — пароль для этой групыы.
Всё, жмем кнопку Сохранить.
Затем выбираем созданное подключение, просто топнув но нему, чтобы слева загорелась галка, а потом можно нажимать на кнопку подключения:
Вот и всё.
Пара замечаний:
В firewall в закладке интерфейса IPSec надо разрешить весь трафик, а в закладке интерфейса WAN может понадобится создать правило, разрешающее исходящий трафик c UDP портов 500 и 4500
Успехов в освоении!
Похожие посты
Рецепты конфигурации pfSense — Пример конфигурации VPN для удаленного доступа L2TP / IPsec
В текущих версиях программного обеспечения pfSense® L2TP / IPsec можно настроить для
мобильных клиентов, хотя мы не рекомендуем такую конфигурацию.
Предупреждение
Пользователи сообщили о проблемах с клиентами Windows L2TP / IPsec за
NAT. Если клиенты будут находиться за NAT, клиенты Windows, скорее всего, не будут
функция. Вместо этого рассмотрим реализацию IKEv2.
Как было сказано в начале главы, клиент Windows, среди прочего, и
Демон strongSwan IPsec не всегда совместим, что приводит к сбоям во многих
случаи.Мы настоятельно рекомендуем использовать другое решение, например IKEv2 вместо
L2TP / IPsec.
Перед настройкой части IPsec настройте L2TP-сервер, как описано в
Конфигурация сервера L2TP и добавление пользователей, правила брандмауэра и т. Д., Как описано
там.
Настройка IPsec
Эти настройки были протестированы и работают с некоторыми клиентами,
но могут работать и другие аналогичные настройки. Не стесняйтесь пробовать другие
алгоритмы шифрования, хэши и др.
Вкладка «Мобильные клиенты»
Перейдите к VPN> IPsec , вкладка Mobile Clients в pfSense WebGUI
Проверить Включить поддержку мобильного клиента IPsec
Установить аутентификацию пользователя с на Локальная база данных (Не используется, но опция должна
есть что-то выбранное)Снимите флажок Предоставить клиентам виртуальный IP-адрес
Снять отметку Предоставлять клиентам список доступных сетей
Нажмите Сохранить
Фаза 1
Нажмите кнопку Create Phase1 вверху, если она появляется, или отредактируйте
существующий Mobile IPsec Phase 1Если фаза 1 отсутствует и кнопка Create Phase1 не отображается,
вернитесь на вкладку Mobile Clients и щелкните ее там.
Установить Key Exchange версии на v1
Введите соответствующее Описание
Установить Метод аутентификации с по Mutual PSK
Установить режим согласования — Основной
Установить Мой идентификатор на Мой IP-адрес
Установить алгоритм шифрования — AES 256
Установить алгоритм хеширования с по SHA1
Установить группу ключей DH — 14 (2048 бит)
Примечание
iOS и другие платформы могут работать с ключевой группой DH из 2
вместо.Установить Срок службы до
28800
Снять отметку Отключить повторный ключ
Установить NAT Traversal — Авто
Проверить Включить DPD , установить на 10 секунд и 5 попыток
Нажмите Сохранить
Фаза 2
Щелкните Показать записи этапа 2 , чтобы отобразить этап Mobile IPsec
2 листЩелкните Добавить P2 , чтобы добавить новую запись фазы 2, если она не существует,
или щелкните, чтобы изменить существующую записьУстановить режим — Транспорт
Введите соответствующее Описание
Установить Протокол с по ESP
Установить алгоритмы шифрования ТОЛЬКО на AES 128
Установить хэш-алгоритмы ТОЛЬКО на SHA1
Установить PFS Key Group на off
Установить Срок службы до
3600
Нажмите Сохранить
Общий ключ
Предварительный общий ключ для подключения, общий для всех клиентов, должен быть
настроен особым образом.
Перейдите к VPN> IPsec , вкладка Pre-Shared Keys на pfSense
Нажмите Добавить , чтобы добавить новый PSK
Установить идентификатор на
allusers
Примечание
allusers
name — это специальное ключевое слово, используемое pfSense для
настроить подстановочный знак PSK, необходимый для работы L2TP / IPsec. Делать
не используйте какой-либо другой идентификатор для этого PSK!Установить Секретный тип на PSK
Введите общий ключ , например,
aaabbbccc
— в идеале — намного длиннее,
более случайный и безопасный!Нажмите Сохранить
Нажмите Применить изменения
Правила брандмауэра IPsec
Правила брандмауэра необходимы для передачи трафика от клиентского хоста через IPsec к
установить туннель L2TP и внутри L2TP для прохождения фактического туннелирования VPN
трафик к системам через VPN.Добавление правил L2TP было описано в
предыдущий раздел. Чтобы добавить правила IPsec:
Перейдите к Firewall> Rules , IPsec tab
Ознакомьтесь с действующими правилами. Если есть правило стиля «разрешить все», то есть
не нужно добавлять еще один. Переходите к следующему заданию.Щелкните Добавить , чтобы добавить новое правило в начало списка
Установить протокол на любой
Установить Source и Destination на любой
Примечание
Это не обязательно должно передавать весь трафик, но должно проходить как минимум L2TP
(Порт UDP1701
) на IP-адрес WAN межсетевого экранаНажмите Сохранить
Нажмите Применить изменения
Конфигурация DNS
Если DNS-серверы предоставлены клиентам и несвязанный DNS-преобразователь
используется, то подсеть, выбранная для клиентов L2TP, должна быть добавлена к его доступу
список.
Перейдите к Services> DNS Resolver , Access Lists tab
Щелкните Добавить , чтобы добавить новый список доступа
Введите имя списка доступа , например Пользователи VPN
Установить действие на Разрешить
Щелкните Добавить сеть в разделе Сети , чтобы добавить новую сеть
Введите подсеть VPN-клиента в поле Сеть , e.г.
10.3.177.128
Выберите правильный CIDR , например
25
Нажмите Сохранить
Нажмите Применить изменения
Настройка клиента
При настройке клиентов следует обратить внимание на несколько моментов:
Убедитесь, что конфигурация клиентской операционной системы настроена на подключение к
правильный внешний адрес для VPN.Может потребоваться принудительно установить тип VPN на L2TP / IPsec на клиенте, если
Имеет автоматический режим.Тип аутентификации клиента должен соответствовать тому, что настроено на L2TP
сервер (например, CHAP )
.
L2TP VPN — Конфигурация сервера L2TP
Чтобы использовать L2TP, сначала перейдите к VPN> L2TP . Выберите Включить L2TP-сервер .
Предупреждение
L2TP — это , а не сам по себе безопасный протокол; это только обеспечивает
туннелирование, не выполняет шифрование .
См. Также
L2TP / IPsec — это способ защитить L2TP-трафик, отправив его через
зашифрованный туннель IPsec. Это можно использовать в сочетании с мобильным
Настройка IPsec для настройки L2TP + IPsec; см. Пример конфигурации VPN для удаленного доступа L2TP / IPsec
для подробностей.
Интерфейс
Интерфейс Параметр определяет, где демон L2TP будет связывать и слушать
для подключений. Обычно это интерфейс WAN , принимающий входящие
соединения.
IP-адресация
Перед тем как начать, определите, какие IP-адреса использовать для L2TP-сервера и
клиентов и теперь много одновременных клиентов для поддержки.
- Адрес сервера
Неиспользуемый IP-адрес вне диапазона удаленных адресов ,
например, 10.3.177.1, как показано на рисунке L2TP IP-адресация.- Диапазон удаленных адресов
Обычно новая и неиспользуемая подсеть, например
10.3.177.128/25 (от .128 до .255). Это адреса, которые будут
назначается клиентам при подключении.- Количество пользователей L2TP
Определяет, сколько пользователей L2TP будет разрешено подключаться
в то же время в этом примере было выбрано 13 .
L2TP IP-адресация
DNS-серверы также могут быть определены для конечных пользователей при необходимости.Заполните
Первичный и Вторичный L2TP DNS-сервер поля с IP-адресом DNS-сервера
адреса для подключения клиентов.
Аутентификация
- Секрет
Требуется некоторыми реализациями L2TP, аналогично паролю группы или
предварительный общий ключ. Поддержка этого варьируется от клиента к клиенту. Оставь
поле пустое, если не известно, что это необходимо. При необходимости введите и подтвердите
секрет.- Тип аутентификации
Выбор между PAP , CHAP или MS-CHAPv2
аутентификация для пользователей.Поддержка этого может варьироваться от клиента к клиенту и
это также может зависеть от сервера RADIUS. Типы на основе CHAP :
более безопасен, но PAP более совместим.
Пользователи могут быть аутентифицированы из локальной базы данных пользователей или через внешнюю
RADIUS-сервер. Это можно использовать для аутентификации пользователей L2TP из Microsoft Active
Каталог (см. Аутентификация из Active Directory с использованием RADIUS / NPS), а также многочисленные
другие серверы с поддержкой RADIUS.
При использовании RADIUS установите флажок Использовать сервер RADIUS для аутентификации и
заполните сервер RADIUS и общий секрет. Для аутентификации с использованием локального
база данных пользователей, не устанавливайте этот флажок. Пользователи должны быть добавлены вручную на
Пользователи Вкладка на экране VPN> L2TP , если не используется RADIUS. См. Добавление
Пользователи ниже для получения дополнительной информации о встроенной системе аутентификации.
Сохраните изменения для запуска L2TP-сервера
После заполнения вышеупомянутых пунктов нажмите Сохранить .Это спасет
настройте и запустите L2TP-сервер.
Настроить правила брандмауэра для клиентов L2TP
Перейдите к Firewall> Rules и щелкните вкладку L2TP VPN . Эти правила
контролировать трафик от клиентов L2TP. Пока не будет добавлено правило брандмауэра, позволяющее
трафик, весь трафик, инициированный подключенными L2TP-клиентами, будет заблокирован.
Трафик, инициированный из локальной сети к клиентам L2TP, контролируется с помощью сетевого экрана LAN
правила. Первоначально здесь может быть желательно правило разрешить все для целей тестирования, так как
показано на рисунке Правило межсетевого экрана L2TP VPN.
был проверен, ограничьте набор правил по желанию.
Правило межсетевого экрана VPN L2TP
Примечание
Помните, что правило также должно быть добавлено к интерфейсу, получающему
L2TP-трафик, обычно WAN или IPsec, для передачи UDP на брандмауэр с
порт назначения 1701
.
Добавление пользователей
Добавить пользователей во встроенную систему пользователей L2TP просто. Для добавления локальных пользователей:
Перейдите на вкладку VPN> L2TP , Пользователи . Экран пользователей, как показано на рисунке
Будет представлена вкладка «Пользователи L2TP».Щелкните Добавить , чтобы отобразить форму, используемую для добавления пользователей.
Вкладка «Пользователи L2TP»
Введите имя пользователя , пароль и Подтвердите пароль для пользователя, как
на рисунке Добавление пользователя L2TP.При необходимости введите статический IP-адрес .
Добавление пользователя L2TP
Нажмите Сохранить , после чего появится список пользователей.
Повторите процесс для каждого добавляемого пользователя.
Чтобы изменить существующего пользователя, щелкните. Пользователи могут быть удалены, нажав
.
.
Рецепты конфигурации pfSense — Пример конфигурации VPN для удаленного доступа L2TP / IPsec
В текущих версиях программного обеспечения pfSense® L2TP / IPsec можно настроить для
мобильных клиентов, хотя мы не рекомендуем такую конфигурацию.
Предупреждение
Пользователи сообщили о проблемах с клиентами Windows L2TP / IPsec за
NAT. Если клиенты будут находиться за NAT, клиенты Windows, скорее всего, не будут
функция. Вместо этого рассмотрим реализацию IKEv2.
Как было сказано в начале главы, клиент Windows, среди прочего, и
Демон strongSwan IPsec не всегда совместим, что приводит к сбоям во многих
случаи.Мы настоятельно рекомендуем использовать другое решение, например IKEv2 вместо
L2TP / IPsec.
Перед настройкой части IPsec настройте L2TP-сервер, как описано в
Конфигурация сервера L2TP и добавление пользователей, правила брандмауэра и т. Д., Как описано
там.
Настройка IPsec
Эти настройки были протестированы и работают с некоторыми клиентами,
но могут работать и другие аналогичные настройки. Не стесняйтесь пробовать другие
алгоритмы шифрования, хэши и др.
Вкладка «Мобильные клиенты»
Перейдите к VPN> IPsec , вкладка Mobile Clients в pfSense WebGUI
Проверить Включить поддержку мобильного клиента IPsec
Установить аутентификацию пользователя с на Локальная база данных (Не используется, но опция должна
есть что-то выбранное)Снимите флажок Предоставить клиентам виртуальный IP-адрес
Снять отметку Предоставлять клиентам список доступных сетей
Нажмите Сохранить
Фаза 1
Нажмите кнопку Create Phase1 вверху, если она появляется, или отредактируйте
существующий Mobile IPsec Phase 1Если фаза 1 отсутствует и кнопка Create Phase1 не отображается,
вернитесь на вкладку Mobile Clients и щелкните ее там.
Установить Key Exchange версии на v1
Введите соответствующее Описание
Установить Метод аутентификации с по Mutual PSK
Установить режим согласования — Основной
Установить Мой идентификатор на Мой IP-адрес
Установить алгоритм шифрования — AES 256
Установить алгоритм хеширования с по SHA1
Установить группу ключей DH — 14 (2048 бит)
Примечание
iOS и другие платформы могут работать с ключевой группой DH из 2
вместо.Установить Срок службы до
28800
Снять отметку Отключить повторный ключ
Установить NAT Traversal — Авто
Проверить Включить DPD , установить на 10 секунд и 5 попыток
Нажмите Сохранить
Фаза 2
Щелкните Показать записи этапа 2 , чтобы отобразить этап Mobile IPsec
2 листЩелкните Добавить P2 , чтобы добавить новую запись фазы 2, если она не существует,
или щелкните, чтобы изменить существующую записьУстановить режим — Транспорт
Введите соответствующее Описание
Установить Протокол с по ESP
Установить алгоритмы шифрования ТОЛЬКО на AES 128
Установить хэш-алгоритмы ТОЛЬКО на SHA1
Установить PFS Key Group на off
Установить Срок службы до
3600
Нажмите Сохранить
Общий ключ
Предварительный общий ключ для подключения, общий для всех клиентов, должен быть
настроен особым образом.
Перейдите к VPN> IPsec , вкладка Pre-Shared Keys на pfSense
Нажмите Добавить , чтобы добавить новый PSK
Установить идентификатор на
allusers
Примечание
allusers
name — это специальное ключевое слово, используемое pfSense для
настроить подстановочный знак PSK, необходимый для работы L2TP / IPsec. Делать
не используйте какой-либо другой идентификатор для этого PSK!Установить Секретный тип на PSK
Введите общий ключ , например,
aaabbbccc
— в идеале — намного длиннее,
более случайный и безопасный!Нажмите Сохранить
Нажмите Применить изменения
Правила брандмауэра IPsec
Правила брандмауэра необходимы для передачи трафика от клиентского хоста через IPsec к
установить туннель L2TP и внутри L2TP для прохождения фактического туннелирования VPN
трафик к системам через VPN.Добавление правил L2TP было описано в
предыдущий раздел. Чтобы добавить правила IPsec:
Перейдите к Firewall> Rules , IPsec tab
Ознакомьтесь с действующими правилами. Если есть правило стиля «разрешить все», то есть
не нужно добавлять еще один. Переходите к следующему заданию.Щелкните Добавить , чтобы добавить новое правило в начало списка
Установить протокол на любой
Установить Source и Destination на любой
Примечание
Это не обязательно должно передавать весь трафик, но должно проходить как минимум L2TP
(Порт UDP1701
) на IP-адрес WAN межсетевого экранаНажмите Сохранить
Нажмите Применить изменения
Конфигурация DNS
Если DNS-серверы предоставлены клиентам и несвязанный DNS-преобразователь
используется, то подсеть, выбранная для клиентов L2TP, должна быть добавлена к его доступу
список.
Перейдите к Services> DNS Resolver , Access Lists tab
Щелкните Добавить , чтобы добавить новый список доступа
Введите имя списка доступа , например Пользователи VPN
Установить действие на Разрешить
Щелкните Добавить сеть в разделе Сети , чтобы добавить новую сеть
Введите подсеть VPN-клиента в поле Сеть , e.г.
10.3.177.128
Выберите правильный CIDR , например
25
Нажмите Сохранить
Нажмите Применить изменения
Настройка клиента
При настройке клиентов следует обратить внимание на несколько моментов:
Убедитесь, что конфигурация клиентской операционной системы настроена на подключение к
правильный внешний адрес для VPN.Может потребоваться принудительно установить тип VPN на L2TP / IPsec на клиенте, если
Имеет автоматический режим.Тип аутентификации клиента должен соответствовать тому, что настроено на L2TP
сервер (например, CHAP )
.
Рецепты конфигурации pfSense — Подключение к L2TP / IPsec с Android
Клиент L2TP / IPsec на Android может настраивать
идентификатор, который позволяет L2TP / IPsec работать с pfSense®
сервер с использованием Pre-Shared Keys. Клиенты на других операционных системах
не допускают этого, что делает их несовместимыми с текущими
версии программного обеспечения pfSense.
Настройка IPsec
Настройка аналогична стандартному примеру VPN с удаленным доступом IPsec с использованием IKEv1 с Xauth
настройки, за исключением того, что xauth не используется, а скорее « Mutual PSK »,
а на этапе 2 используется режим Transport , а не туннель.
Общие ключи
После того, как туннель был настроен, перейдите на вкладку «Pre-Shared Keys».
в настройках IPsec и добавьте ключи IPsec. Ключ одной группы может быть
использовать при желании или сделать много ключей для разных пользователей.
Вот и все для IPsec!
Настройка L2TP
Для настройки L2TP перейдите в VPN> L2TP
Выберите Включить L2TP-сервер
Интерфейс — это WAN (или такой же, выбранный для IPsec)
Адрес сервера — это неиспользуемый IP-адрес в новой подсети.Это
НЕ ДОЛЖЕН перекрывать какой-либо IP, используемый на межсетевом экране, например x.x.x.2Диапазон удаленных адресов — это начальный IP-адрес клиентов, например
x.x.x.128Маска подсети — сетевая маска для клиентского соединения,
IP-адрес сервера должен быть включен в эту подсеть, например / 24Секрет должен быть оставлен пустым , похоже, не работает, на
по крайней мере, с протестированной версией Android.Тип шифрования : рекомендуется CHAP
L2TP DNS-серверы : фактический IP-адрес локальной сети брандмауэра или другой
внутренний DNS-серверНастройки РАДИУСА — при необходимости используйте их, в противном случае оставьте их в покое
Сохранить
Перейдите на вкладку Пользователи и добавьте туда учетные записи пользователей L2TP и пароли
Теперь перейдите к Firewall> Rules на вкладке L2TP VPN и добавьте
правило межсетевого экрана для передачи трафика, e.g от любого до любого или намного большего
ограничительный, если желательно.
Настройка клиента Android
На телефоне / планшете / устройстве:
Перейти к настройкам системы и VPN (зависит от устройства и
конкретная версия AndroidНажмите Добавить профиль VPN
Введите имя
Для Тип , коснитесь L2TP / IPsec PSK
Адрес сервера : IP-адрес WAN маршрутизатора pfSense (или IP-адрес
интерфейс, выбранный для IPsec и L2TP)L2TP Secret : Пусто
Идентификатор IPsec : введите идентификатор для PSK, введенного выше,
либо индивидуальный, либо общий идентификаторОбщий ключ IPsec : PSK, который идет с идентификатором для
этот пользователь / группаРасширенные параметры могут использоваться для управления тем, какие сети будут
попытаться использовать VPN или указать собственный DNS-сервер и домены для
этот клиент.Tap Сохранить
В списке VPN коснитесь вновь созданной записи VPN
Введите имя пользователя и пароль на вкладке L2TP Users
введено вышеПроверить Сохранить информацию об учетной записи , чтобы сохранить учетные данные VPN (не
рекомендуется!),Tap Connect
После этого соединение должно подключиться и функционировать.Если не работает,
проверьте журналы IPsec и Status> System Logs , VPN , L2TP
Необработанный журнал , чтобы увидеть более конкретные ошибки.
Другие мысли
По идее должен работать и Mutual RSA, но пока не получилось
в тестировании. В режиме RSA для фазы 1 требуется основной режим, но в остальном
должно быть хорошо.
.