如果你像我一样,你已经试着找到一个IPSec的pfSense道路战士配置,实际上你已经撞墙了几个小时,因为它一个接一个的巨大问题。pfSense网站上的每个pfSense移动配置都有一个不同的复选框,每个网站都有不同的故事,为什么你正在测试的配置不工作。几乎没有网站说这些讨厌的选项实际上是做什么的!让你猜测是否应该尝试改变设置或寻找其他解决问题的方法!

好吧,我在这里向你展示一个移动IPSec道路战士配置,实际上是工作的,并解释所有的问题,我让它工作和我做了什么来修复它们。我还将解释一些讨厌的选项实际上会做什么,以及为什么改变它们可能是或可能不是一个好主意。

一种工作的pfSense-Road-Warrior-IPSec配置

让我们从一步一步地运行配置开始。(本指南适用于pfSense 2.3+。)有五个基本步骤。启用Mobile配置,然后是阶段配置,然后是阶段2配置。然后,我们需要创建并允许用户连接客户机,然后配置客户机。我们将详细讨论每一个。

步骤1:开启IPSec VPN移动配置

让我们的pfSense Road Warrior配置工作的第一步是启用移动客户端支持IPSec(它启用IKE扩展)。

在“VPN - > IPSec”下单击“移动客户端”。

在“启用IPSec移动客户端支持”下艾克扩展选中“启用IPsec移动客户端支持”复选框。

pfSense Road Warrior配置IPSEC 0001

在扩展身份验证框中,在用户身份验证选择“本地数据库”。如果你有一个远程radius服务器或另一个有用户的pfSense框,你可以在这里配置。在我们的示例中,我们只使用本地数据库。离开组身份验证设置为“无”。

pfSense Road Warrior配置IPSEC 0002

在“客户端配置”对话框的下方虚拟地址池勾选复选框并输入子网。这是pfSense将给连接到您的VPN的移动客户端提供的IP地址子网。

注意:我在输入C类(/24)时遇到了麻烦。由于某种原因,车辆无法行驶。将此更改为其他(在我的情况下,我使用/27)流量开始路由。我认为这可能是一个pfSense错误。

勾选旁边的方框保存Xauth密码.这允许客户端设备在其设备上保存密码。如果你不勾选此选项,每次连接时都会提示输入密码,如果你想要更高的安全性,这可能没问题,但对大多数人来说肯定会很烦人。

pfSense Road Warrior配置IPSEC 0004

继续在同一个框中,勾选旁边的框DNS默认域,然后输入内部网络的域名。在我的例子中,我使用域名.home,所以我只输入了“home”(不是前面的点)。你的域名可能是home.com,或者像geekpub.com这样的真实域名。

接下来,勾选旁边的方框DNS服务器输入DNS服务器的IP地址。在我的情况下,我想使用我的pfSense框的IP地址,因为我想传递互联网DNS名称到我的客户端在互联网上的实际域名。这将允许连接到我的VPN的客户端机器按名称访问我的内部服务器。例如,我的Plex媒体服务器是http://plex.home,所以你可以在浏览器中输入Plex /,并在连接到我的VPN时访问我的电影。

pfSense Road Warrior配置IPSEC 0005

注意:如果你在pfSense上遇到DNS不为VPN用户工作的麻烦,这是因为你的DNS解析器或转发接口被设置为所有接口。进入DNS解析器或DNS转发器配置(Services - > DNS转发器或Services - > DNS解析器),并确保InterfacesSection设置为局域网.DNS在那之后应该正常工作。

pfSense Road Warrior配置IPSEC 0007

步骤2:创建阶段1条目

IPSec的pfSense Road Warrior配置的下一步是创建阶段1表项。单击Mobile Client Configuration上的save后,应该会自动提示您创建这个。

pfSense Road Warrior配置IPSEC 0006

如果因为某些原因你没有被提示,没有担心,只要去VPN - > IPSec,点击隧道,然后点击添加P1按钮。

在下面的一般信息框描述,输入该VPN的名称。这完全是可选的,但在以后查看状态屏幕时更容易知道连接是什么(特别是当你有多个vpn或客户端连接时)。我刚刚命名我的“家庭VPN”。其他都保持默认值。

pfSense Road Warrior配置IPSEC 0008

在阶段1提议(认证)下,更改身份验证方法到“Mutual PSK + Xauth”。改变谈判方式“咄咄逼人”。改变同行的标识符,并输入组名。在配置客户端时,需要记住这个组名。下Pre-Shared关键输入一个键。在配置客户端时,还需要记住这个键。

注意:如果由于某些原因,一些字段或选项没有显示,只需滚动到底部并单击保存,然后再次打开阶段1隧道,他们应该在这里。在某些版本中,这是一个已知的错误。

pfSense Road Warrior配置IPSEC 0009

在第一阶段提案(算法)下不做任何更改。默认设置应该适用于所有iOS、Android等设备。

pfSense Road Warrior配置IPSEC 0010

在“高级选项”下,更改NAT遍历“力”。如果你不改变这一点,NAT防火墙后的客户端可能很难连接或根本无法连接。

pfSense Road Warrior配置IPSEC 0011

步骤3:配置阶段2表项

IPSec的pfSsense Road Warrior配置的步骤3涉及创建阶段2条目。配置的第1阶段定义了隧道和交易密钥。第二阶段是修建交通隧道。

在“常规信息”框下,在本地网络将类型改为“Network”,并输入地址为“0.0.0.0/0”。这将告诉本地客户端将所有流量发送给你,甚至是网络流量。当客户端从互联网拉下一个网页或文件,它将穿越你的VPN。

pfSense Road Warrior配置IPSEC 0012

如果你只希望客户端访问你的本地网络,并将所有其他流量发送到他们自己的ISP,那么你只需从下拉菜单中选择“局域网子网”,并将地址框空。这可能会导致DNS问题,因为您的客户端将首先轮询VPN DNS,所以如果您在第1步中这样做(例如谷歌DNS 8.8.8.8,而不是您自己的pfSense框),请确保您设置了合适的DNS。

pfSense Road Warrior配置IPSEC 0013

继续在第二阶段提案(SA/密钥交换)下进行,将这里的所有内容保留为默认。应该没问题。

pfSense Road Warrior配置IPSEC 0014

在高级配置下,也保持不变(空框)。

pfSense Road Warrior配置IPSEC 0015

步骤4:创建用户并赋予他们权限

IPSec的pfSense Road Warrior配置的第4步是创建一个用户,并赋予他们连接的权限。强烈建议您不要使用您的pfSense管理帐户进行此连接,因为这将是一个巨大的安全风险,如果该帐户稍后被泄露。给自己一个最喜欢的,创建一个单独的VPN访问帐户,即使你是唯一连接到VPN的人。

进入“系统- >用户管理器”,单击“+添加”。

在下面输入用户名用户名,和密码下的暗语字段(两次)。不要更改组设置下的任何内容。

pfSense Road Warrior配置IPSEC 0016

在“钥匙”下,不要输入任何东西。我们已经在隧道配置上设置了预共享密钥。

pfSense Road Warrior配置IPSEC 0017

现在保存帐户,然后重新打开它。您将看到一个名为Effective Privileges的新部分。单击+Add按钮。

pfSense Road Warrior配置IPSEC 0018

在“User Privileges”下,选择“User - VPN: IPSec xauth Dialin”,然后单击“Save”。就是这样。您已经创建了一个可以连接到您的VPN隧道的用户。

pfSense Road Warrior配置IPSEC 0019

步骤5:配置客户端计算机和设备

最后一步是配置我们的客户机以连接到我们刚刚创建的VPN。我将给出两个例子,iOS和MacOS,但大多数其他客户端都同样简单。

pfSense Road Warrior配置IPSEC 0020 配置iOS为pfSense Road Warrior IPSec

转到设置–>VPN–>添加VPN配置。选择类型IPSec。

描述写些“连接到家里”之类的东西。

服务器,输入DNS名称(完全限定的FQDN)或pfSense框的WAN IP地址。然后输入帐户的用户名和密码。离开使用证书设置为关闭。

在“组名”下输入组名称在上面的步骤2中使用。另外,输入秘密你在上面的第二步中输入的。这就是全部。你的iOS客户端现在应该可以连接到VPN了。以iPhone为例,但iPad的设置是完全相同的。

配置pfSense Road Warrior IPSec的MacOS

pfSense Road Warrior配置IPSEC 0021 在设置–>网络下,按列表底部的加号(+)按钮。

接口选择“VPN”,然后在下面VPN类型选择“思科IPSec”。

服务名称输入您想要调用此VPN连接的内容。我叫我的“连接到主页”,然后单击“创建”。

pfSense Road Warrior配置IPSEC 0022 在下一个屏幕下面服务器地址输入pfSense WAN接口的完全限定DNS名称或IP地址。然后输入之前创建的用户名和密码。然后单击身份验证设置

选择共享的秘密并输入你在第二步中选择的秘密,然后输入组名称您也在步骤2中选择了。

故障排除和最终想法

在这一点上,你的pfSense道路战士VPN应该像一个冠军一样工作。如果不是,你可能需要检查一些东西。

pfSense IPSec的防火墙规则和NAT

如果您关闭了防火墙规则的自动生成,那么您将需要打开到WAN IP地址的500和4500端口。你可以在System - > Advanced下检查。

此外,您可能需要更改您的NAT反射设置,这可以在相同的位置找到。改变端口转发的NAT反射模式“纯NAT”。

最后一个音符。一些isp阻塞了你家庭网络的入站端口。大多数块端口25和80。但一些最糟糕的isp也会封锁端口500和4500,专门防止你从VPNing到你的家庭网络。如果你的ISP这样做了,你应该抛弃他们,因为他们真的很糟糕。

另外,如果你正在为你的家寻找一个新的pfSense防火墙,我强烈推荐这个单位来自亚马逊。真的很好。我和我的几个朋友都有,而且效果很好!

看看WANBOX

manbext登录页极客酒吧现在出售WANBOX!它是运行开源或免费提供的防火墙包(如pfSense、OpenSense或Untangle)的完美设备防火墙!

买WANBOX在亚马逊,或在极客酒吧了解更多manbext登录页万用箱页面