Info: Nach dem pfSense ab Version mit iPhones an den VPN-Endpunkt zu verbinden Ich bin nicht mehr in der Lage 2.1.5 auf 2.2 Upgrade durchgeführt zu haben. Ich kann nicht sagen, was genau das Problem jetzt ist. Aber wie die pfSense Menschen von Racoon zu strongSwan umgeschaltet haben, scheinen einige wesentliche Änderungen unter der Haube zu sein. Es tut mir leid zu sagen, aber diese Führung ist nicht mehr für die aktuelle Version von pfSense. Sobald ich Zeit finden, dieses Problem zu untersuchen, poste ich hier Updates.

Nur ein paar Randnotizen: Der VPN-Client in IOS 8 jetzt IKEv2 unterstützt, aber diese Funktion wurde nicht noch in der Benutzeroberfläche des VPN-Clients zur Verfügung gestellt. Es ist ein Werkzeug "Apple-Konfigurator", die ein VPN-Profil zu installieren, die IKEv2 unterstützt verwendet werden können. pfSense unterstützt auch IKEv2 jetzt (da zu strongSwan geschaltet).

Wenn jemand diese Sache bekommt, wieder zu arbeiten, bin ich sehr interessiert. Danke, dass Sie mich wissen.

1. Einleitung

Ich besitze ein pfSense Box selbst, die aus auf einem APU1C4 Board läuft. Ich benutze es für Firewalling und als VPN-Endpunkt für verschiedene Client-Geräte wie iPhone, iPad, Android-Handys und Tablet-PCs, Windows-PCs und Linux-Boxen. In diesem Artikel möchte ich Ihre pfSense Box in einem Gerät meine Erfahrung zu teilen beim Drehen, die als IPsec-VPN-Endpunkt fungiert.

2. Ziele

Meine Hauptziele waren:

• Mobile Geräte sollten in der Lage sein, meine pfSense Box zu verbinden, und die Verwendung von IPsec Volltunnel machen, was bedeutet, dass der gesamte Datenverkehr läuft über meine pfSense Box. Dies ist besonders nützlich, wenn Sie außerhalb Ihres Landes und wollen den Zugriff auf Inhalte, die nur von inländischen IP-Adressen zugegriffen werden kann.
• Ich möchte auch meine private LAN zuzugreifen, um meine Systeme zu verwalten, Zugriff auf meine Dateifreigaben und anderen Ressourcen.

Bisher keine besonderen Ziele. Lass uns weitermachen.

3. Systemumgebung

3.1 Mein pfSense Box

Mein pfSense läuft auf Version 2.1.5-RELEASE (amd64) am 25. August gebaut 07.44.45 EDT 2014 mit FreeBSD 8.3-RELEASE-p16 unter der Haube. Die Box wird von einem ALIX APU1C4 Mini-ITX-Mainboard von PC Engines GmbH in der Schweiz gekauft angetrieben. Das Board verfügt über ein paar nette Hardware-Spezifikationen wie 4 GB RAM, einem AMD G-T40E Dual-Core-Prozessor und Gigabit-Ethernet-Netzwerk-Schnittstellen. Der ideale Spielplatz VPN-Konnektivität auf einem Embedded-Gerät zur Verfügung zu stellen. Der einzige (mögliche) Nachteil ist, dass das Betriebssystem von einem SD-Karte in meinem Fall läuft. Aber Sie müssen nicht. Es gibt auch einige SSD mSATA-Module zur Verfügung, die können Sie Ihr Betriebssystem aus einer SSD ausgeführt werden.

3.2 Clients

Ich habe Clientkonnektivität getestet folgende Geräte verwenden:

Device Model-OS Version VPN Client Google Nexus 7 Tabelle K009 D80KBC139568 Android 4.4.3 Standard Apple iPhone 5s A1533 iOS 7.1.2 Standard Apple iPhone 5s A1457 iOS 7.1.2 Standard-Apple iPhone 4 A1332 iOS 7.1.2 Standard-Apple iPad Mini A1432 iOS 7.1.2 Standard-Apple iPad 3 A1430 iOS 7.1.2 Standard-Apple iPad 2 A1396 iOS 7.1.2 Standard Apple MacBook Pro A1398 MacOS X 10.9.4 Standard Lenovo X201 4290-N77 Windows 8 Shrew Soft-VPN Client Lenovo X200 7458-E46 Linux Mint 16 vpnc

Update: Ich habe die Konfiguration auf einem iPad mit iOS 8.1.2 auch getestet. Detaillierte Testergebnisse folgen in Kürze. Bitte Geduld mit mir.

Bitte beachten Sie, dass ich die vom Hersteller bereitgestellte Standard-VPN-Clients für alle Apple und Android-Geräte verwendet haben. Es gab nichts zu installieren. Für Windows habe ich den Shrew Soft-VPN-Client 2.2.2-Release-Build vom 1. Juli 2013 Für Linux-Systeme verwendet werden, habe ich das vpnc-Paket, ein Kommandozeilen-VPN-Client, läuft auf Version 0.5.3r512 verwendet.

4. pfSense Konfiguration

Melden Sie sich bei Ihrem pfSense Box und wählen Sie VPN -> IPsec. Gehen Sie auf die Registerkarte Tunnel und stellen Sie sicher, aktivieren IPsec aktiviert ist. Dann fügen Sie eine Phase-1-Eintrag und sicher zu machen, werden die folgenden Werte gesetzt:

Abschnitt Einstellung Wert Allgemeine Informationen Disabled Unchecked Internet Protocol IPv4-Schnittstelle WAN Beschreibung (leer) Phase 1 Vorschlag (Authentifizierung) Authentifizierungsmethode Mutual PSK Xauth Negotiation Modus aggressive Meine Kennung Meine IP-Adresse Peer-Bezeichner Typ: Distinguished Name Wert: <identifier> Pre-Shared Key <pre-shared secret> Politik Generierung Einzigartige Vorschlag prüfen Standard-Verschlüsselungsalgorithmus AES 256 Bit-Hash-Algorithmus SHA1 DH-Schlüssel Gruppe 2 (1024 Bit) Lebensdauer 86.400 Sekunden Erweiterte Optionen NAT Traversal aktivieren Dead Peer Detection Unchecked

In meinem Fall habe ich VPNBenutzer als Wert für <identifier> gewählt, aber Sie können wählen, was Sie wollen. Wählen Sie einfach ein paar einfachen Namen hier zu erinnern. Sobald es funktioniert, vergessen Sie nicht, etwas stärker zu wählen. Speichern Sie Ihre Einstellungen und gehen zurück auf die VPN -> IPSec-Menü. Nun fügen Sie eine Phase-2-Eintrag zu den bereits bestehenden Phase 1 Eintrag mit den folgenden Werte gesetzt:

Abschnitt Einstellung Wert Allgemeine Informationen Disabled Unchecked Modus Tunnel IPv4 Lokales Netzwerk Typ: LAN-Subnetz Beschreibung (leer) Phase-2-Vorschlag (SA / Key Exchange) Protokoll ESP Verschlüsselungsalgorithmen AES 256 Bit-Hash-Algorithmen SHA1 PFS Schlüsselgruppe off Lebensdauer 28.800 Sekunden Erweiterte Optionen automatisch ping Host (leer)

speichern Sie die Änderungen wieder, und gehen Sie zurück zu VPN -> IPSec-Menü. Wählen Sie nun die Registerkarte Mobile-Clients und stellen Sie sicher, dass die folgenden Werte festgelegt werden, wie folgt:

Abschnitt Einstellung Wert IKE-Erweiterung aktivieren IPsec Mobile Client-Support Extended Authentication (XAUTH) verwenden Benutzerauthentifizierung Quelle: Lokale Datenbank Gruppenauthentifizierung Quelle: System-Client-Konfiguration (Mode-CFG) Virtual Address Pool eine virtuelle IP-Adresse für Clients: Checked Netzwerk: 192.168.111.0 / 24 Netzwerkliste eine Liste der verfügbaren Netzwerke für Clients: Checked DNS Default Domain Geben Sie eine Standard-Domänennamen für Kunden: auf Wert: localdomain Split DNS Geben Sie eine Liste von Split DNS-Domänennamen Unchecked speichern Xauth Passwort Kunden zulassen Xauth Passwörter speichern Kunden: Ungeprüfter Wert: (leer) DNS-Server stellen eine DNS-Server-Liste an Clients: Checked Server # 1: 8.8.8.8 Server # 2: (leer) Server # 3: (leer) Server # 4: (leer) WINS-Server Geben Sie einen WINS-Server-Liste an Clients: Ungeprüfter Server # 1: (leer) Server # 2: Ungeprüfter Gruppe: (leer) Phase 2 PFS-Gruppe der Phase-2-PFS-Gruppe für Clients aus Login-banner eine Login-banner für Clients: CheckedWert: (was Text Sie mögen)

Speichern Sie Ihre Änderungen. Gehen Sie jetzt zu System -> User Manager und wählen Sie die Registerkarte Gruppe. Fügen Sie eine neue Gruppe mit dem Namen VPNBenutzer. Stellen Sie sicher, hat die Gruppe das Privileg Benutzer - VPN - IPsec XAUTH Dialin-Set. Speichern Sie es. Gehen Sie nun auf der Registerkarte Benutzer und einen Benutzer erstellen, die später verwendet wird, um Ihre VPN-Box zu verbinden. Stellen Sie sicher, dass der Benutzer die Gruppe VPNBenutzer gesetzt.

Jetzt müssen wir die Firewall öffnen, um VPN-Verbindungen ermöglichen durch. Gehen Sie zu Firewall -> Regeln und die WAN-Registerkarte. Konfigurieren Sie die folgenden Regeln:

Proto Source Port Ziel-Port-Gateway Queue Schedule Beschreibung IPv4 UDP * * * 500 (ISAKMP) * Keine (leer) IPsec IPv4 UDP * * * 4500 (IPsec NAT-T) * Keine (leer) IPsec

Wählen Sie die Registerkarte IPsec und fügen Sie eine Regel, die gesamte Datenverkehr über die VPN-Verbindung gehen können:

Proto Source Port Ziel-Port-Gateway Queue Schedule Beschreibung IPv4 * * * * * * Keine (leer) Lassen Sie alle

5. Konfigurieren der Client-Geräte

5.1 Konfigurieren des iPhone

Um Ihrem iPhone, iPad oder MacBook zum Laufen zu bringen, geben Sie einfach die folgenden Parameter:

Parameter Wert VPN Typ IPsec Beschreibung <Beschreibung> Server <IP / Hostname des VPN-Endpunkt> Konto <user> <Passwort> Gruppe <identifier> Shared Secret <pre-shared secret> Proxy Off

5.2 Konfigurieren von Ihrem Android-Gerät

Parameter Wert Name <Beschreibung> Typ IPSec Xauth PSK-Server-Adresse <IP / Hostnamen des VPN-Endpunkt> IPSec-Kennung <identifier> IPSec Pre-Shared Key <pre-shared Key>

Sie werden so bald nach einem Benutzernamen und Passwort gefragt werden, wie Sie versuchen, Ihre VPN-Endpunkt zu verbinden.

5.3 Konfiguration des Windows-PC

Unter Windows verwende ich die Shrew Soft-VPN-Client. Die aktuelle Version ist 2.2.2. Die Konfigurationsoptionen ich verwende, sind wie folgt:

Tab Bereich / Tab Einstellung Wert Allgemein Remote Host Hostname oder IP-Adresse <IP / Hostnamen des VPN-Endpunkt> Port 500 Autokonfiguration IKE Config Local-Host-Adapter-Modus Verwenden Sie einen virtuellen Adapter ziehen und zugewiesene Adresse automatisch MTU 1380 Checked Besorgen Client Firewall-Optionen NAT Traversal NAT-Traversal aktivieren Port 4500 Keep-alive-Paket Rate 15 IKE Fragmentation maximale Paketgröße 540 Andere Optionen aktivieren Dead Peer Detection ermöglichen Checked ISAKMP Fehlerbenachrichtigungen aktivieren 'Auf Client Login Banner Checked Namensauflösung DNS DNS aktivieren automatisch automatisch erhalten Auf Besorgen Markiert (DNS-Suffix ) Auf WINS aktivieren WINS Unchecked Authentifizierung Authentifizierungsmethode Mutual PSK XAuth Authentifizierung Lokale Identität Identifikation Typ Benutzer Fully Qualified Domain Name UFQDN String <identifier> Remote Identität Identifikation Typ IP-Adresse Adresse String (leer) Verwenden Sie einen Remote-Host entdeckt Adresse Checked Credentials Serverzertifikat Autority Datei (leer)Client-Zertifikat-Datei (leer) Client Private Key-Datei (leer) Pre Shared Key <pre-shared Key> Phase 1 Vorschlag Parameter Austausch Typ aggressive DH Austauschgruppe 2 Chiffrieralgorithmus Auto Cipher Key Length (leer) Hash Algorithm Auto Key Life Time Limit 86400 Sekunden Key Life Data Grenze 0 Kbyte Phase 1 Check Point unterstützte Vendor ID Unchecked Phase 2 Vorschlag Parameter Transformationsalgorithmus auto-Transformation aktivieren Schlüssellänge (leer) HMAC-Algorithmus auto PFS Wechsel deaktiviert Compress-Algorithmus deaktiviert Key Life Time Limit 3.600 Sekunden Key Life Data Grenze 0 Kbyte Politik IPSEC-Richtlinienkonfigurationsrichtlinien Generierung Ebene auto pflegen Persistent Security Associations Unchecked erhalten Topologie automatisch oder Tunnel Alle Checked Remote-Netzwerkressource (leer)

5.4 Konfigurieren des Linux-PC

Ich benutze vpnc als VPN-Client unter Linux. Mir ist ein Linux Mint Box, aber vpnc sollte auch auf Ubuntu und Debian-Systemen zur Verfügung. Es ist Kommandozeilen-basierte und funktioniert recht gut. Installieren Sie es mit dem Befehl

Danach, navigieren Sie eine Kopie der default.conf Konfigurationsdatei, zum Beispiel in / etc / vpnc / und erstellen:

Bearbeiten Sie die neu erstellte Datei und füllen Sie die Parameter wie folgt aus:

<Identifier> und <pre-shared secret> sind die Werte zuvor während pfSense Konfiguration gewählt. und sind die Werte für den Benutzer in pfSense Benutzermanager eingegeben. Um eine Verbindung vpnc verwenden, geben Sie einfach den folgenden Befehl ein:

Wenn Sie später trennen möchten, geben Sie einfach den folgenden Befehl die vorherige Routing-Konfiguration wiederherzustellen:

6. Abschließende Gedanken

Wie immer kann ich nicht behaupten, dass dieses Tutorial perfekt ist. Deshalb bin ich mehr als glücklich, von Ihnen zu hören, wenn es etwas falsch mit diesem Tutorial ist. Kontaktinformationen finden Sie auf der Website zur Verfügung gestellt. Aber jetzt lassen Sie uns beginnen.