Do czego służy serwer VPN L2TP/IPsec?
Serwer VPN w naszym pfSense pozwoli nam na zdalny dostęp do różnych skonfigurowanych podsieci, a także pozwoli nam przekierować cały ruch internetowy do serwera VPN, aby przepuścić go przez Internet. Konfigurując serwer VPN, będziemy mogli połączyć się z niezabezpieczoną siecią w bezpieczny sposób, ponieważ cały ruch ze źródła do serwera VPN jest szyfrowany i uwierzytelniany.
L2TP (Layer 2 Tunneling Protocol) jest jednym z najpopularniejszych protokołów VPN, wykorzystuje PPP do łączenia różnych łączy, zawiera również mechanizmy uwierzytelniania PPP, takie jak PAP i CHAP, oprócz obsługi serwerów RADIUS. do uwierzytelniania klienta. Ten typ protokołu VPN jest wieloprotokołowy i umożliwia dostęp do zdalnych sieci lokalnych. Minusem jest brak silnej kryptografii, więc korzystanie z niej nie jest bezpieczne. Umożliwia uwierzytelnianie tylko między końcami tunelu, ale nie dla każdego pakietu, który przez niego przechodzi, to samo dotyczy integralności pakietu, nie jest sprawdzany. Ponadto L2TP nie szyfruje ruchu od źródła do miejsca docelowego.
Mając to wszystko na uwadze, IETF zdecydował się na użycie protokołów kryptograficznych IPsec w połączeniu z L2TP, aby zapewnić prywatność, uwierzytelnianie i integralność tunelu L2TP. Z tego powodu zawsze znajdujemy ten protokół zapisany jako „L2TP / IPsec” w systemach operacyjnych, ponieważ używa obu protokołów jednocześnie.
Gdy otrzymamy podsumowanie działania obu sieci VPN, przystąpimy do konfiguracji. Dzięki dwóm protokołom konfiguracyjnym, L2TP i IPsec, wyraźnie podzielimy konfigurację na dwie części.
Konfiguracja L2TP
Pierwszą rzeczą, którą musimy zrobić, to skonfigurować protokół L2TP, więc przechodzimy do sekcji „VPN / L2TP” i konfigurujemy go w następujący sposób:
- Włącz L2TP
- Aktywacja serwera L2TP: włączona
- konfiguracja
- Interfejs: WAN
- Adres serwera: 192.168.100.1; Konieczne jest zainstalowanie nieużywanej podsieci, która służy jedynie jako portal klienta
- Zakres adresów zdalnych: 192.168.100.128/25; Zapewniamy podłączonym klientom sieć lokalną.
- Liczba użytkowników L2TP: 10, można to skonfigurować w zależności od użytkownika.
- Sekret: 1234clavel2tp; Możemy podać hasło, wskazane jest jego podanie, chociaż niektórzy klienci tego nie wymagają. To zależy od konfiguracji.
- Typ uwierzytelniania: CHAP
- Główny / wtórny serwer DNS L2TP: możemy umieścić serwer DNS dla klientów
Po skonfigurowaniu i kliknięciu „Zapisz”, przejdź do sekcji „Użytkownicy” i utwórz nazwę użytkownika i hasło, aby uzyskać do nich dostęp. W tym momencie musimy zarejestrować wszystkich użytkowników serwera VPN, z którym będą się łączyć, część adresu IP można pozostawić pustą bez konfiguracji, aby serwer mógł dynamicznie przydzielać adres IP.
Po skonfigurowaniu serwera L2TP możemy skonfigurować protokół IPsec.
Konfiguracja IPsec
Aby skonfigurować IPsec z L2TP, musisz wykonać trzy kroki. Pierwszym z nich jest włączenie „Klientów mobilnych” lub zdalnego dostępu VPN. Drugim jest włączenie IPsec w fazie 1, a następnie skonfigurowanie IPsec w fazie 2.
Konfiguracja klientów mobilnych
Jest to jedna z najważniejszych części, ponieważ jeśli przejdziemy do sekcji „Tunele”, tworzymy tunel VPN z witryny do witryny, a to, co chcemy zrobić z IPsec, to stworzyć VPN ze zdalnym dostępem dla różnych klientów.
W tym menu włączamy opcję „Włącz obsługę klienta mobilnego IPsec” i wybieramy „Lokalna baza danych”, chociaż używamy jej, ponieważ jest ona używana do uwierzytelniania xAuth. Kliknij Zapisz.
Po kliknięciu przycisku Zapisz należy również kliknąć Zastosuj zmiany, a następnie kliknąć zielony przycisk z napisem Utwórz fazę 1.
Konfiguracja IPsec fazy 1
W tym menu musimy poprawnie skonfigurować IPsec, aby używać go z L2TP, nie wszystkie konfiguracje będą działać, dodatkowo w zależności od używanego programu klienta VPN (Android, iOS, Windows itp.) konfiguracja zabezpieczeń może się zmienić, ponieważ nie wszystkie systemy operacyjne są lepsze obsługuje szyfrowanie VPN. Domyślnie zobaczymy kolejne menu, w którym wybrano IKEv2, który nie jest zgodny z protokołem L2TP/IPsec, który chcemy skonfigurować.
Opcje, które musimy skonfigurować, aby działały poprawnie, to:
- Informacje ogólne
- Wersja wymiany kluczy: IKEv1, jeśli wybierzemy inną, nie zadziała.
- Protokół internetowy: IPv4 lub IPv6
- Interfejs: Internet WAN
- Opis: umieszczamy opis.
- Propozycja fazy 1 (uwierzytelnianie)
- Metoda uwierzytelniania: wzajemny PSK
- Metoda handlowania: agresywna. jeśli wybierzemy „Basic”, jest to bezpieczniejsze, ale mniej elastyczne i możemy uniemożliwić poprawne połączenie programu klienckiego VPN. Później, jeśli wszystko działa z „Aggresive”, możemy przetestować, czy działa również „Main”.
- Moje ID: wyróżniająca się nazwa użytkownika – [email protected] lub cokolwiek chcesz.
- Propozycja fazy 1 (szyfrowanie)
- Algorytm szyfrowania: AES 128 bitów, SHA1, DH Grupa 2 (1024 bity).
PfSense obsługuje silniejsze szyfrowanie niż to, które stworzyliśmy, ale problem polega na tym, że połączeni zostaną klienci VPN, którzy nie obsługują większego bezpieczeństwa. Aby skonfigurować go z jak najlepszym zabezpieczeniem, możemy wykonać testy na podstawie „otrzymanych sugestii” IPsec, które otrzymujemy od klienta, dzięki czemu wybierzemy najbezpieczniejszy ze wszystkich.
Pozostałe opcje konfiguracji można pozostawić bez zmian, z opcjami domyślnymi.
Gdy skończysz, kliknij „Zapisz”, a teraz przeniesie nas to do menu głównego, w którym mamy wszystkie tunele VPN z IPsec, musimy kliknąć ten, który został utworzony i „Pokaż wpisy fazy 2”, a następnie „ Utwórz fazę 2 „ ”, aby kontynuować.
Konfiguracja IPsec fazy 2
W tym menu konfiguracyjnym musimy umieścić:
- Informacje ogólne
- Metoda: transfer
- Opis: opis, który chcemy.
- Propozycja fazy 2 (SA / wymiana kluczy)
- Protokół: ESP
- Algorytmy szyfrowania: AES 128 bitów
- Algorytmy skrótu: wybierz SHA-1 i SHA-256
- Grupa kluczy PFS: Wyłączona, nieobsługiwana przez protokół.
Pozostałe opcje konfiguracji można pozostawić jako domyślne.
W menu głównym „IPsec / Tunele” możemy zobaczyć podsumowanie wszystkiego, co skonfigurowaliśmy.
Teraz musisz przejść do sekcji „IPsec / Pre-shared keys” i dodać nowy identyfikator.
Ten nowy identyfikator musi być:
- Nazwa użytkownika: allusers (tak musi być, bez wielkich liter i bez innej nazwy)
- Typ sekretu: PSK
- Klucz wstępny: Żądane hasło jest udostępniane wszystkim logującym się użytkownikom.
Gdy skończymy, serwer L2TP/IPsec będzie gotowy do przyjmowania połączeń, ale najpierw musimy stworzyć odpowiednie reguły zapory.
Otwórz porty na zaporze pfSense
Będziemy musieli utworzyć regułę w sekcji „Firewall / Rules / WAN” z następującymi informacjami:
- Akcja: Przejdź przez
- Interfejs: WAN
- Rodzina adresów: IPv4
- Protokół: UDP
- Źródło: Any
- Miejsce docelowe: adres WAN na porcie 1701, który jest L2TP.
Zapisujemy i wprowadzamy zmiany, zapewniając przestrzeganie tej zasady.
Kiedy tworzymy serwer L2TP/IPsec VPN, będziemy mieli dwie dodatkowe zakładki w zakładce „Firewall/Reguły”, tutaj możemy zezwolić lub odmówić ruchu do określonych podsieci, ustawić różne zaawansowane reguły itp. W przypadku pierwszego połączenia i aby uniknąć możliwych błędów konfiguracji na poziomie zapory, zalecamy utworzenie reguły „przekaż dowolne” i zastosowanie modyfikacji. Później, po utworzeniu komunikacji, jeśli musisz ustawić inne reguły, możesz edytować bardziej szczegółowe reguły, aby spełnić wszystkie Twoje wymagania.
Po pomyślnym skonfigurowaniu zapory, będziemy musieli skonfigurować klienta VPN, aby przetestować połączenie.
Test połączenia
W naszym przypadku stworzyliśmy połączenie VPN ze smartfonem z Androidem, a dokładniej Huawei P30, który integruje klienta PSK L2TP / IPsec. Konfiguracja, którą musimy wykonać, jest następująca (nie możemy umieścić przechwytywania, ponieważ system operacyjny wykrywa go jako zawartość prywatną).
- Nazwa: nadajemy nazwę VPN
- Typ: L2TP / IPsec PSK
- Serwer: domena IP lub DDNS Twojego serwera VPN
- Sekret L2TP: 1234clavel2tp; klucz, który umieściliśmy w sekcji L2TP, która jest wspólna dla wszystkich klientów.
- Identyfikator IPsec: [email protected]
- Oryginalny wspólny klucz IPsec: 12345678; klucz, który umieściliśmy dla identyfikatora „allusers” w sekcji IPsec / Pre-Shares Key.
Kliknij Zapisz i połącz. Po zalogowaniu poprosi nas o nazwę użytkownika i hasło, są to identyfikatory, które umieszczamy na „użytkownikach L2TP”. Po zakończeniu połączy nas z serwerem VPN bez żadnych problemów i będziemy mieli dostęp do zarządzania pfSense i dowolną siecią.
Jak widać, połączenie zostało nawiązane pomyślnie i nie było żadnych problemów.
Zalecenia i wskazówki
W zależności od używanego klienta VPN konfiguracja serwera może się różnić. Ze względów bezpieczeństwa zawsze wskazane jest korzystanie z najlepszych algorytmów kryptograficznych, dlatego zalecamy zmianę opcji zabezpieczeń i skłonienie klientów do wybrania najlepszego, jednak musimy spojrzeć na rekordy IPsec, aby zobaczyć, która „sugestia” została wysłana przez innych klientów online. Niektóre smartfony korzystają z klienta L2TP/IPsec VPN, który obsługuje najnowsze szyfrowanie, ale inne modele nie. Powinniśmy starać się wybrać możliwie najbezpieczniejszy ogólnie, równoważąc bezpieczeństwo i użyteczność.
Kolejną wskazówką, jeśli zamierzasz korzystać z L2TP/IPsec po raz pierwszy, jest wcześniejsze poinformowanie z jakimi klientami będziesz się łączyć, PC z Androidem, iOS, Windows itp. ponieważ konfiguracja może się różnić w zależności od wewnętrznej konfiguracji programu klienta. Nie wszystkie z nich mogą współistnieć w tym samym czasie, więc możesz korzystać między innymi z innych sieci VPN, takich jak OpenVPN lub IPsec xAuth.
Za pomocą tego samego samouczka będziesz mógł skonfigurować L2TP / IPsec RSA, zmodyfikować „Wzajemne PSK” na „Wzajemne RSA” oraz skonfigurować odpowiednie certyfikaty serwera i klienta. W mgnieniu oka pokażemy, jak to zrobić. Powoduje to również komplikacje, ponieważ jeśli utworzysz urząd certyfikacji z certyfikatem klienta korzystającym z najnowszych algorytmów, może to spowodować błąd połączenia, ponieważ nie zostanie rozpoznany.