Información: Después de haber realizado el pfSense actualizar desde la versión 2.1.5 a 2.2 ya no soy capaz de conectar con el iPhone en el punto final de VPN. No puedo decir qué es exactamente el problema es en este momento. Pero a medida que las personas han cambiado de pfSense mapache a strongSwan, parece que hay algunos cambios significativos bajo el capó. Me siento tener que decirlo, pero esta guía ya no es aplicable a la versión actual de pfSense. Tan pronto como encuentre tiempo para investigar esta cuestión, puedo enviar actualizaciones aquí.

Sólo algunas notas al margen: el cliente VPN en iOS 8 ahora es compatible con IKEv2, pero esta característica no se ha hecho todavía disponible en la interfaz de usuario del cliente VPN. Hay una herramienta llamada "Apple Configurator" que se puede utilizar para configurar un perfil VPN que soporta IKEv2. pfSense también es compatible con IKEv2 ahora (ya cambiado a strongSwan).

Si alguien recibe esta cosa funcione de nuevo, estoy muy interesada. Gracias por hacérmelo saber.

1. Introducción

Tengo una caja de pfSense mismo que se ejecuta en un tablero de APU1C4. Yo lo uso para cortafuegos y VPN como punto final para varios dispositivos de cliente, como iPhones, iPads, teléfonos Android y tabletas, PCs con Windows y cajas de Linux. En este artículo quiero compartir mi experiencia en el giro de su cuadro de pfSense en un dispositivo que actúa como un punto final IPSec VPN.

2. Objetivos

Mis principales objetivos fueron:

• Los dispositivos móviles deben ser capaces de conectar con mi caja de pfSense y hacer uso de IPsec túnel completo, lo que significa TODO el tráfico se ejecuta a través de mi caja de pfSense. Esto es especialmente útil si se encuentra fuera de su país y desea acceder a contenido, que es accesible desde sólo direcciones IP internas.
• También quiero acceder a mi LAN privada con el fin de gestionar mis sistemas, acceso a mis archivos compartidos y otros recursos.

Hasta el momento, no hay objetivos especiales. Vamonos.

3. Entorno del sistema

3.1 Mi pfSense Box

Mi pfSense se está ejecutando en la versión 2.1.5-RELEASE (amd64) construido el ago 25 de 07:44:45 EDT 2014 que tiene FreeBSD 8.3-RELEASE-p16 bajo el capó. El cuadro es accionado por un ALIX placa base Mini-ITX APU1C4 comprado a Motores de PC GmbH en Suiza. La placa tiene algunas especificaciones de hardware agradables tales como 4 gigas de RAM, un procesador AMD G-T40E procesador y las interfaces de red Gigabit Ethernet de doble núcleo. El patio de recreo ideal para proporcionar conectividad VPN en un dispositivo embebido. El único (posible) inconveniente es decir, que el sistema operativo se está ejecutando desde una tarjeta SD en mi caso. Pero usted no tiene que hacerlo. También hay algunos SSD mSATA-módulos disponibles que le permiten ejecutar su sistema operativo desde un disco SSD.

3.2 Clientes

He probado la conectividad del cliente usando los siguientes dispositivos:

Modelo N ° de dispositivo OS Versión VPN Client Google Nexus 7 Tabla K009 D80KBC139568 Android 4.4.3 por defecto de Apple iPhone 5s A1533 iOS 7.1.2 por defecto de Apple iPhone 5s A1457 iOS 7.1.2 por defecto de Apple iPhone 4 iOS 7.1.2 A1332 defecto de Apple iPad Mini A1432 iOS 7.1.2 por defecto de Apple iPad 3 A1430 iOS 7.1.2 por defecto del iPad 2 de Apple A1396 iOS 7.1.2 por defecto de Apple MacBook Pro A1398 MacOS X 10.9.4 defecto Lenovo X201 4290-N77 Windows 8 domada Soft VPN Client de Lenovo X200 7458-E46 Linux Mint 16 vpnc

Actualización: He probado la configuración en ejecución un iPad con iOS 8.1.2 también. Los resultados detallados de las pruebas de los diferentes eventos. Por favor tengan paciencia conmigo.

Tenga en cuenta, que he utilizado los clientes VPN por defecto suministrados por el proveedor para todos los dispositivos de Apple y Android. No había nada que instalar en absoluto. Para Windows, he utilizado el cliente VPN domada suave acumulación 2.2.2 de liberación de fecha 01 Jul 2013. Para los sistemas Linux, he utilizado el paquete vpnc, una línea de comandos del cliente de VPN, que se ejecuta en la versión 0.5.3r512.

4. Configuración pfSense

Ingrese a su cuadro de pfSense y seleccione VPN -> IPsec. Ir a la ficha Túneles y asegúrese de que Habilitar IPsec está marcada. A continuación, añadir una entrada en la fase 1 y asegúrese de que, se establecen los siguientes valores:

Sección Configuración de valor de la información general de movilidad reducida sin control de Internet IPv4 interfaz WAN Protocolo de Descripción (vacío) propuesta de fase 1 (autenticación) Método de autenticación Modo de negociación mutua PSK Xauth agresiva Mi identificador Mi Tipo de dirección IP Peer identificador: Distinguido Nombre del valor: <identificador> Pre-Shared tecla <secreta precompartida> Generación política propuesta única Comprobación algoritmo de cifrado AES de 256 bits por defecto algoritmo de hash SHA1 DH grupo clave 2 (1024 bits) de por vida 86400 segundos Opciones avanzadas Habilitar NAT transversal de extremo muerto Detección sin comprobar

En mi caso, he elegido vpnusers como valor de <identificador>, pero puede elegir lo que quiera. Sólo tienes que elegir alguna sencilla de recordar el nombre aquí. Una vez que se trabaja, no se olvide de elegir algo más fuerte. Guardar la configuración y volver a la VPN -> menú IPsec. Ahora, añadir una entrada en la fase 2 a la fase 1 entrada ya existente que tiene establecidos los siguientes valores:

Sección Configuración del tipo de modo de no facturado valor de la información general de movilidad reducida túnel IPv4 Red Local: LAN subred Descripción (vacío) Fase 2 propuesta (SA / Key Exchange) Protocolo ESP algoritmos de cifrado AES de 256 bits de hash SHA1 grupo PFS de clave de por vida 28800 segundos Opciones avanzadas de ping automáticamente host (vacío)

Una vez más, guardar los cambios y volver a la VPN -> menú IPsec. Ahora selecciona la pestaña clientes móviles y asegúrese de que los siguientes valores se establecen de la siguiente manera:

Sección Configuración de IKE Extensiones de valor Habilitar IPsec móvil autenticación extendida Soporte al Cliente (Xauth) Autenticación de usuario Fuente: Base de datos local fuente de autenticación de grupo: Configuración del sistema cliente (modo-CFG) virtual Dirección piscina Proporcionar una dirección IP virtual a los clientes: A cuadros de red: 192.168.111.0 / 24 lista de redes proporcionan una lista de redes accesibles a los clientes: sin seleccionar Guardar Xauth contraseña que los clientes puedan guardar las contraseñas Xauth: a cuadros DNS dominio predeterminado Proporcionar un nombre de dominio por defecto a los clientes: Valor activado: localdomain DNS dividido proporcionar una lista de nombres de dominio DNS dividido a los clientes: Desactivada Valor: (vacío) servidores DNS Proporcionar una lista de servidores DNS a los clientes: a cuadros servidor # 1: 8.8.8.8 servidor # 2: (vacío) servidor # 3: (vacío) servidor # 4: (vacío) servidores WINS proporcionar una lista de servidores WINS para clientes: Desactivada servidor # 1: (vacío) servidor # 2: (vacío) Fase 2 PFS grupo proporcionar el grupo Fase 2 PFS a los clientes: grupo Desactivada: fuera de sesión Banner proporcionar un mensaje de login a los clientes: a cuadrosValor: (el texto que desees)

Guarde los cambios. Ahora vaya a Sistema -> Administrador de usuarios y seleccione la ficha Grupo. Añadir un nuevo grupo llamado vpnusers. Asegúrese de que el grupo, tiene el privilegio de usuario - conjunto IPsec xauth Dialin - VPN. Guardarlo. Ahora ve a la pestaña Usuarios y crear un usuario que posteriormente se utiliza para conectarse a la caja VPN. Asegúrese de que el usuario tiene los vpnusers grupo indicados.

Ahora tenemos que abrir el firewall para permitir conexiones VPN pasen a través. Ir a Firewall -> Reglas y seleccione la pestaña WAN. Configurar las siguientes reglas:

Puerto de origen Puerto de destino proto Cola de pasarela de programa Descripción IPv4 UDP * * * 500 (ISAKMP) * Ninguno (vacío) IPsec IPv4 UDP * * * 4500 (IPsec NAT-T) * Ninguno (vacío) IPsec

Seleccione la pestaña de IPsec y añadir una regla que permite que todo el tráfico que pasa por la conexión VPN:

Puerto de origen proto Destino Horario Puerto Cola de pasarela Descripción IPv4 * * * * * * Ninguno (vacío) Permitir todo

5. Configuración de los dispositivos cliente

5.1 Configuración de su iPhone

Con el fin de obtener su ejecución iPhone, iPad o MacBook, basta con introducir los siguientes parámetros:

Parámetro Valor Tipo de VPN IPSec Descripción <Descripción> Servidor <IP / nombre de host del punto final de VPN> Cuenta <usuario> contraseña <contraseña> Grupo <identificador> Secreto compartido <pre-secreto compartido> Proxy Off

5.2 Configuración del dispositivo Android

Nombre del parámetro Valor <Descripción> Tipo de Dirección del servidor IPSec PSK Xauth <IP / nombre de host del punto final de VPN> IPSec identificador <identificador> IPSec clave pre-compartida <pre-Shared Key>

Se le pedirá el nombre de usuario y la contraseña tan pronto como se intenta conectarse a su punto final de VPN.

5.3 Configuración de su PC con Windows

En Windows, utilizar el cliente VPN domada suave. La versión actual es la 2.2.2. Las opciones de configuración que uso son las siguientes:

Pestaña Sección dirección / pestaña Valor de ajuste general host remoto Nombre de host o dirección IP <IP / nombre de host del punto final de VPN> Auto Configuración del puerto 500 ike config tirar de host local modo adaptador uso de un adaptador virtual y asignado obtener comprueban automáticamente MTU 1380 Client Firewall Opciones de NAT recorrido habilitar NAT puerto 4500 tasa de paquetes de mantenimiento de conexión 15 IKE fragmentación habilitar paquetes tamaño máximo de 540 Otras opciones permiten Dead Peer Detection marcado Habilitar notificaciones de error de ISAKMP marcado Habilitar Acceso Clientes Banner Chequeado resolución de nombres DNS Habilitar DNS A cuadros Obtener por comprueba automáticamente obtener automáticamente (Sufijo DNS ) ha sufrido marcado Habilitar WINS autenticación la autenticación sin comprobar Método mutua PSK Xauth local identidad identificación del tipo de usuario Nombre de dominio completo UFQDN cadena <identificador> remoto identidad identificación Tipo IP dirección dirección de Cuerda (vacío) utilizar una dirección de host remoto descubierto Credenciales a cuadros servidor de certificados autority archivo (vacío)Certificado de cliente de archivos (vacío) cliente archivo de clave privada (vacío) Pre Shared Key <clave pre-compartida> Fase 1 Propuesta grupo Parámetros de tipo de cambio agresivo intercambio DH 2 Cipher algoritmo automático Cipher Key Largo (vacío) Límite de Hash Algorithm Auto clave Time Life 86400 segundos límite clave de datos de vida 0 Kbytes Fase 1 Activar Check Point Compatible ID de proveedor sin comprobar la Fase 2 Parámetros de propuestas algoritmo de la transformada de auto Transform Longitud de la clave (vacío) HMAC algoritmo automático PFS Cambio discapacitados Comprimir algoritmo discapacitados Key Life Time límite de 3.600 segundos límite clave de datos de vida 0 Kbytes política nivel de generación de políticas de configuración de directivas IPSEC automático Mantener persistente Asociaciones de Seguridad Desactivada obtener automáticamente la topología o túnel todas las maletas recurso de red remoto (vacío)

5.4 Configuración del PC con Linux

Yo uso vpnc como cliente VPN en Linux. El mío es un cuadro de Linux Mint, pero vpnc también debe estar disponible en sistemas Ubuntu y Debian. Es de línea de comandos basada y funciona bastante bien. Instalarlo mediante el comando

Después de eso, vaya a / etc / vpnc / y crear una copia del archivo de configuración default.conf, por ejemplo:

Editar el archivo recién creado y rellenar los parámetros de esta manera:

<Identificador> y <secreta precompartida> son los valores seleccionadas anteriormente durante la configuración pfSense. y son los valores introducidos por el usuario en el Administrador de usuarios pfSense. Para conectar usando vpnc, basta con introducir el siguiente comando:

Si desea desconectar más adelante, basta con introducir el siguiente comando para restaurar la configuración de enrutamiento anterior:

6. Consideraciones finales

Como siempre, no puedo afirmar que este tutorial es perfecto. Por lo tanto, estoy más que feliz de saber de que, si hay algo mal con este tutorial. La información de contacto se facilita en el sitio web. Pero por ahora, vamos a empezar.