遠端管理pfSense防火牆的方法非常多,最友善的是開啟WAN接口的通路權限,但這樣做可能不太安全,最安全的方法是通過VPN隧道進行遠端通路,下面以使用IPsec VPN為例,介紹遠端通路配置過程。所有配置都基于pfSense plus 22.01中文定制版系統完成。
如果需要進一步交流防火牆方面的使用經驗,可以加入QQ群286850453讨論。也歡迎關注微信公公号”pfSense防火牆”,友善及時接收推送的第一手文章。
一、防火牆IPsec配置
由于配置證書及在手機上導入證書操作相對複雜,本次配置的IPsec采用Mutual PSK + Xauth認證方式。防火牆IPsec的配置主要包括使用者配置、移動用戶端配置、階段1和階段2配置、防火牆規則配置等五個方面。
1、使用者配置
添加一個VPN組,并賦予組IPsec VPN撥号認證的權限。
導航到系統>使用者管理,組頁籤,添加一個IPSEC_VPN使用者組。
儲存後,在新添加的組清單右則,點選編輯圖示,給組賦予IPsec xauth Dialin(撥号認證)權限。
然後導航到系統>使用者管理,使用者頁籤,添加一個遠端通路使用者。并将該使用者添加至剛才建立的IPSEC_VPN組中。
輸入IPsec預共享密鑰,且必須與後面階段1中設定的IPsec預共享密鑰相同。
2、移動用戶端配置
導航到VPN>IPsec>移動用戶端頁籤,設定以下參數:
- 啟用 IPsec 移動用戶端支援
- 使用者認證:本地資料庫
- 選中組認證。來源:IPsec_VPN
- 選中向用戶端提供虛拟IP位址,注意:這裡的位址不能是防火牆上任何已設定的位址。
- 選中DNS伺服器,填上一至兩個公共DNS伺服器。 注意:這裡填入DNS,并在階段2中将網絡設定為0.0.0.0/0,當用戶端連接配接VPN後,将預設通過pfSense防火牆連接配接外部網絡。
- 其他選項保留預設。
3、IPSec階段1設定
儲存移動用戶端配置後,會提示建立階段1配置。階段1設定參數如下:
- 密鑰交換版本選auto或IKEv1
- 認證方法:Mutual PSK + Xauth
- 本地ID類型:我的IP位址
- 遠端ID類型:any。注意不要選遠端IP位址,經測試會無法連接配接。可以選 ASN.1專有名稱或Automatic based on content。
- 輸入或生成預共享密鑰,須與前面添加的遠端通路使用者的IPsec預共享密鑰相同。
- 生存時間:86400
- NAT-T:Auto
- 其他選項參照下圖進行設定
4、IPSec階段2設定
儲存IPSec階段1設定後,添加階段2條目:
- 模式選IPv4隧道
- 本地網絡:設定為0.0.0.0/0網絡,從防火牆進行出站。設定為LAN網絡,則從本地出站。
- 密鑰交換協定:ESP
- 加密算法AES256\SHA1
- PFS密鑰組:關
- 生存時間:28800
- 其他選項參照下圖進行設定。
5、防火牆規則配置
轉到防火牆>規則政策,添加以下防火牆規則
在IPsec頁籤上,添加一條any to any規則,如下圖所示:
在WAN頁籤上,放行UDP500和4500端口,如下圖所示:
至此,pfSense上的IPsec VPN配置完成。
二、移動端設定
以下為IOS上的配置。轉到設定>VPN,點選下面的添加VPN配置,輸入各項VPN參數:
- 伺服器:pfSense防火牆的公網IP
- 賬戶密碼:添加的遠端使用者和密碼
- 密鑰:在階段1中設定的預共享密鑰
- 其他選項留白
儲存後,在狀态的右則,滑動連接配接按鈕即可。
三、連接配接測試
轉到狀态>IPsec,可以檢視VPN的連接配接狀态: