移动端通过IPsec访问pfSense防火墙配置指南

2022-06-13 IT知识防火墙配置移动端

我自横刀向天笑，去留肝胆两昆仑。这篇文章主要讲述移动端通过IPsec访问pfSense防火墙配置指南相关的知识，希望能为你提供帮助。
远程管理pfSense防火墙的方法非常多，最方便的是开启WAN接口的访问权限，但这样做可能不太安全，最安全的方法是通过VPN隧道进行远程访问，下面以使用IPsec VPN为例，介绍远程访问配置过程。所有配置都基于??pfSense plus 22.01中文定制版??系统完成。
如果需要进一步交流防火墙方面的使用经验，可以加入QQ群286850453讨论。也欢迎关注微信公公号”pfSense防火墙”，方便及时接收推送的第一手文章。
一、防火墙IPsec配置由于配置证书及在手机上导入证书操作相对复杂，本次配置的IPsec采用Mutual PSK + Xauth认证方式。防火墙IPsec的配置主要包括用户配置、移动客户端配置、阶段1和阶段2配置、防火墙规则配置等五个方面。
1、用户配置
添加一个VPN组，并赋予组IPsec VPN拨号认证的权限。
导航到系统> 用户管理，组选项卡，添加一个IPSEC_VPN用户组。
??
保存后，在新添加的组列表右则，点击编辑图标，给组赋予IPsec xauth Dialin（拨号认证）权限。
??
然后导航到系统> 用户管理，用户选项卡，添加一个远程访问用户。并将该用户添加至刚才新建的IPSEC_VPN组中。
【移动端通过IPsec访问pfSense防火墙配置指南】??
输入IPsec预共享密钥，且必须与后面阶段1中设置的IPsec预共享密钥相同。
??
2、移动客户端配置
导航到VPN> IPsec> 移动客户端选项卡，设置以下参数：

启用 IPsec 移动客户端支持
用户认证：本地数据库
选中组认证。来源：IPsec_VPN
选中向客户端提供虚拟IP地址，注意：这里的地址不能是防火墙上任何已设置的地址。
其他选项保留默认。

??
3、IPSec阶段1设置
保存移动客户端配置后，会提示创建阶段1配置。阶段1设置参数如下：

密钥交换版本选auto或IKEv1
认证方法：Mutual PSK + Xauth
本地ID类型：我的IP地址
远程ID类型：any。注意不要选远程IP地址，经测试会无法连接。可以选 ASN.1专有名称或Automatic based on content。
输入或生成预共享密钥，须与前面添加的远程访问用户的IPsec预共享密钥相同。
生存时间：86400
NAT-T：Auto
其他选项参照下图进行设置

??? ??
4、IPSec阶段2设置
保存IPSec阶段1设置后，添加阶段2条目：

模式选IPv4隧道
本地网络：LAN 子网
密钥交换协议：ESP
加密算法AES256\\SHA1
PFS密钥组：关
生存时间：28800
其他选项参照下图进行设置。

??? ??
5、防火墙规则配置
转到防火墙> 规则策略，添加以下防火墙规则
在IPsec选项卡上，添加一条any to any规则，如下图所示：
??
在WAN选项卡上，放行UDP500和4500端口，如下图所示：
??
至此，pfSense上的IPsec VPN配置完成。
二、移动端设置以下为ios上的配置。转到设置> VPN，点击下面的添加VPN配置，输入各项VPN参数：

服务器：pfSense防火墙的公网IP
账户密码：添加的远程用户和密码
密钥：在阶段1中设置的预共享密钥
其他选项留空

??
保存后，在状态的右则，滑动连接按钮即可。
??
三、连接测试转到状态> IPsec，可以查看VPN的连接状态：
??
在手机端，输入防火墙的LAN访问地址，检查是否正常远程访问pfsense防火墙。
注意，连接VPN后，手机端将无法访问其他网络。
至于安卓手机的配置，大同小异，这里不再赘述。

推荐阅读

上一篇：投资|这波反弹，你为什么没能赚到钱?

下一篇：Springboot基于Redisson实现Redis分布式可重入锁案例到源码分析