Güvenli bir şekilde göz atmak için pfSense’de bir L2TP/IPsec VPN sunucusunu yapılandırın

pfSense güvenlik duvarı odaklı işletim sistemi, uzaktan erişim VPN sunucuları ve ayrıca Siteden Siteye VPN tünelleri kurmak için birkaç VPN protokolüne sahiptir. L2TP/IPsec, bilgisayarlar, akıllı telefonlar ve tabletler gibi uzak VPN istemcilerinin yerel profesyonel veya ev ağına güvenli bir şekilde bağlanmasını sağlayan çok popüler bir VPN’dir. L2TP, tünelin kurulmasından sorumlu olacak ve IPsec protokolü, iletilen tüm verilere gizlilik, kimlik doğrulama ve bütünlük sağlamaktan sorumlu olacaktır. Bugün RedesZone’da L2TP/IPsec VPN sunucusunu uzaktan bağlanmak için nasıl yapılandırmamız gerektiğini adım adım açıklayacağız.

L2TP/IPsec VPN sunucusu ne işe yarar?

pfSense’imizdeki bir VPN sunucusu, yapılandırdığımız farklı alt ağlara uzaktan erişmemize izin verecek, ayrıca tüm İnternet trafiğini İnternet üzerinden İnternet’e gitmek için VPN sunucusuna yönlendirmemize izin verecek. Bir VPN sunucusunun yapılandırılması sayesinde, güvenli olmayan bir ağa güvenli bir şekilde bağlanabileceğiz, çünkü kaynaktan VPN sunucusuna kadar olan tüm trafik şifrelenir ve kimliği doğrulanır.

L2TP (Katman 2 Tünel Protokolü) en çok kullanılan VPN protokollerinden biridir, farklı bağlantıları bağlamak için PPP protokolünü kullanır, ayrıca RADIUS sunucularının kullanımını desteklemenin yanı sıra PAP ve CHAP gibi PPP kimlik doğrulama mekanizmalarını da içerir. istemci kimlik doğrulaması için. Bu tür VPN protokolü çok protokollüdür ve uzak yerel alan ağlarına erişime izin verir. Olumsuz yanı, güçlü bir kriptografiye sahip olmamasıdır, bu nedenle onu kullanmak güvenli değildir. Yalnızca tünelin uç noktaları arasında kimlik doğrulamaya izin verir, ancak içinden geçen paketlerin her biri için değil, paketlerin bütünlüğü ile aynı şey olur, kontrol edilmez. Ayrıca L2TP, kaynaktan hedefe giden trafiği şifrelemez.

Tüm bunları göz önünde bulunduran IETF organizasyonu, L2TP tünelinin gizlilik, kimlik doğrulama ve bütünlük özelliklerini sağlamak için IPsec kriptografik protokollerini L2TP ile birlikte kullanma kararı aldı. Bu nedenle, her iki protokolü aynı anda kullandığı için işletim sistemlerinde bu protokolü her zaman “L2TP/IPsec” olarak yazacağız.

Her iki protokolün de VPN için nasıl çalıştığını özetlediğimizde, yapılandırmaya devam edeceğiz. Yapılandırmamız gereken iki protokolümüz olduğundan, L2TP ve IPsec, yapılandırmayı açıkça iki bölüme ayıracağız.

L2TP protokolünün konfigürasyonu

Yapmamız gereken ilk şey L2TP protokolünü yapılandırmak, bunun için “VPN / L2TP” bölümüne gidip aşağıdaki gibi yapılandırıyoruz:

  • L2TP’yi etkinleştir
    • L2TP Sunucusunu Etkinleştir: Etkin
  • Yapılandırma
    • arayüz: WAN
    • Sunucu Adresi: 192.168.100.1; kullanılmayan ve yalnızca istemciler için ağ geçidi olarak kullanmaya yarayan bir alt ağ koymalıyız.
    • Uzak Adres Aralığı: 192.168.100.128/25; bağlanan istemcilere yerel bir alt ağ veririz.
    • L2TP Kullanıcı Sayısı: 10, bu kullanıcıya uyacak şekilde yapılandırılabilir.
    • Gizli: 1234clavel2tp; bir şifre koyabiliriz, bazı müşteriler buna ihtiyaç duymasa da, koymanız önerilir. Yapılandırmaya bağlıdır.
    • Kimlik Doğrulama Türü: CHAP
    • Birincil/İkincil L2TP DNS Sunucusu: İstemciler için bir DNS sunucusu koyabiliriz

Konfigüre ettikten ve “Kaydet”e tıkladıktan sonra “Kullanıcılar” bölümüne gidiyoruz ve erişim için bir kullanıcı adı ve şifre oluşturuyoruz. Burası, bağlanacakları VPN sunucusunun tüm kullanıcılarını kaydetmemiz gereken yerdir, IP adresi bölümünü yapılandırmadan boş bırakabiliriz, böylece sunucu IP’yi dinamik olarak atar.

L2TP sunucusu yapılandırıldıktan sonra artık IPsec protokolünü yapılandırabiliriz.

IPsec protokolü yapılandırması

IPsec protokolünü L2TP protokolüyle birlikte yapılandırmak için toplam üç eylem gerçekleştirmemiz gerekecek. Birincisi, “Mobil İstemcileri”, yani uzaktan erişim VPN’ini etkinleştirmektir. İkincisi, IPsec Aşama 1’i etkinleştirmek ve ardından IPsec Aşama 2’yi yapılandırmaktır.

“Mobil İstemcileri” Yapılandırın

Bu en önemli kısımlardan biridir, çünkü “Tüneller” bölümüne gidersek, Siteden Siteye VPN tüneli oluşturuyoruz ve IPsec ile yapmak istediğimiz şey, farklı müşterilerin farklı müşteriler için uzaktan erişim VPN’ini yapılandırmak. .

Bu menüde “IPsec Mobil İstemci Desteğini Etkinleştir”i etkinleştiriyoruz ve xAuth kimlik doğrulaması için kullanacağımız için “Yerel Veritabanı”nı seçiyoruz. Kaydet’e tıklıyoruz.

“Kaydet”e tıkladığımızda “Değişiklikleri Uygula”ya da tıklamamız gerekecek, ardından “Aşama1 Oluştur”u gösteren yeşil düğmeye tıklıyoruz.

IPsec Aşama 1’i yapılandırın

Bu menüde L2TP ile kullanmak için IPsec protokolünü doğru bir şekilde yapılandırmamız gerekecek, tüm yapılandırmalar çalışmayacak, ayrıca kullanılan VPN istemcisine (Android, iOS, Windows…) bağlı olarak güvenlik yapılandırması değişebilir, tüm işletim sistemleri en iyi VPN şifrelemelerini desteklemediğinden. Varsayılan olarak, yapılandırmak istediğimiz L2TP/IPsec protokolü ile uyumlu olmayan IKEv2’nin seçildiği aşağıdaki menüyü göreceğiz.

Doğru çalışması için yapılandırmamız gereken seçenekler şunlardır:

  • Genel bilgi
    • Anahtar Değişimi sürümü: IKEv1, başka birini seçersek çalışmayacaktır.
    • İnternet Protokolü: IPv4 veya IPv6
    • Arayüz: İnternet WAN’ı
    • Açıklama: Bir açıklama koyduk.
  • Aşama 1 Teklifi (Kimlik Doğrulama)
    • Kimlik Doğrulama Yöntemi: Karşılıklı PSK
    • Müzakere Modu: Agresif; “Ana”yı seçmek daha güvenlidir ancak daha az esnektir ve VPN istemcisinin düzgün şekilde bağlanmasını engelleyebilir. Daha sonra her şey «Agresif» ile çalışıyorsa, «Ana» ile de çalışıp çalışmadığını test edebiliriz.
    • Tanımlayıcım: Kullanıcının ayırt edici adı – redeszone@redeszone.net veya ne istersen.
  • 1. Aşama Teklifi (Şifreleme)
    • Şifreleme Algoritması: AES 128 bit, SHA1, DH Grup 2 (1024 bit).

pfSense, yapılandırdığımızdan daha güçlü şifreleri destekler, ancak sorun, bağlanacak olan ve daha yüksek güvenliği desteklemeyen VPN istemcileridir. En iyi güvenlikle yapılandırmak için, istemciden aldığımız IPsec’in “alınan tekliflerini” temel alarak test edebiliriz, bu şekilde hepsinden en güvenli olanı seçeceğiz.

Yapılandırma seçeneklerinin geri kalanı, varsayılan seçeneklerle olduğu gibi bırakılabilir.

Bitirdikten sonra, “Kaydet” e tıklayın ve şimdi bizi IPsec ile tüm VPN tünellerinin bulunduğu ana menüye götürecek, yalnızca oluşturulan ve “2. Aşama Girişlerini Göster” ve ardından “Oluştur” üzerine tıklamalıyız. Aşama 2” devam etmek için.

IPsec Aşama 2’yi yapılandırın

Bu yapılandırma menüsüne aşağıdakileri koymalıyız:

  • Genel bilgi
    • Mod: ulaşım
    • Açıklama: istediğimiz bir açıklama.
  • 2. Aşama Teklifi (SA / Anahtar Değişimi)
    • Protokol: ESP
    • Şifreleme Algoritmaları: AES 128 bit
    • Hash algoritmaları: SHA-1 ve SHA-256’yı seçiyoruz
    • PFS Anahtar grubu: kapalı, protokol tarafından desteklenmiyor.

Yapılandırma seçeneklerinin geri kalanı varsayılan olarak bırakılabilir.

«IPsec / Tunnels» ana menüsünde, yapılandırdığımız her şeyin bir özetini görebiliriz.

Şimdi “IPsec / Pre-Shared Keys” bölümüne gitmemiz ve yeni bir tanımlayıcı eklememiz gerekecek.

Bu yeni tanımlayıcı şöyle olmalıdır:

  • Tanımlayıcı: allusers (büyük harfler olmadan ve başka bir ad olmadan böyle olmalıdır)
  • Gizli Tip: PSK
  • Ön Paylaşımlı Anahtar: Bağlanacak olan tüm kullanıcılarla istediğimiz şifre paylaşılır.

Bu yapıldıktan sonra, L2TP/IPsec sunucusunu bağlantıları kabul etmeye hazır hale getireceğiz, ancak önce güvenlik duvarında ilgili kuralları oluşturmalıyız.

pfSense güvenlik duvarında bağlantı noktalarını açın

“Güvenlik Duvarı / Kurallar / WAN” bölümünde aşağıdaki bilgilerle bir kural oluşturmamız gerekecek:

  • Eylem: geçmek
  • arayüz: WAN
  • Adres Ailesi: IPv4
  • Protokol: UDP
  • Kaynak: herhangi
  • Hedef: L2TP bağlantı noktası olan 1701 numaralı bağlantı noktasındaki WAN Adresi.

Değişiklikleri kaydediyor ve uyguluyoruz, bu kurala uyulacağından emin oluyoruz.

L2TP/IPsec tipi bir VPN sunucusu oluşturduğumuzda, “Güvenlik Duvarı / Kurallar” da iki ek sekmemiz olacak, burada belirli alt ağlara gelen trafiğe izin verebilir veya engelleyebilir, farklı gelişmiş kurallar tanımlayabiliriz vb. İlk bağlantı için ve güvenlik duvarı düzeyinde olası yapılandırma hatalarını önlemek için “herhangi birini geçirin” kuralı oluşturmanızı ve değişiklikleri uygulamanızı öneririz. Daha sonra iletişim kurulduğunda, farklı kurallar tanımlamanız gerekiyorsa, evet, tüm gereksinimlerinizi karşılamak için daha spesifik kurallar düzenleyebilirsiniz.

Güvenlik duvarını başarıyla yapılandırdıktan sonra, bağlantıyı test etmek için VPN istemcisini yapılandırmamız gerekecek.

bağlantı testi

Bizim durumumuzda, bir Android akıllı telefonla, özellikle bir L2TP/IPsec PSK istemcisi içeren Huawei P30 ile bir VPN bağlantısı kurduk. Gerçekleştirmemiz gereken konfigürasyon şudur (işletim sistemi onu özel içerik olarak algıladığı için bir yakalama koyamıyoruz).

  • İsim: VPN’ye bir isim veriyoruz
  • Tür: L2TP/IPsec PSK
  • Sunucu: VPN sunucunuzun IP veya DDNS etki alanı
  • L2TP Gizli: 1234clavel2tp; tüm istemcilerle paylaşılan L2TP bölümüne koyduğumuz anahtar.
  • IPsec tanımlayıcısı: redeszone@redeszone.net
  • IPsec ilk paylaşılan anahtarı: 12345678; IPsec / Pre-Shares Key bölümünde “allusers” tanımlayıcısı için koyduğumuz anahtar.

Kaydet ve bağlan’a tıklayın. Bağlanırken bizden bir kullanıcı adı ve şifre isteyecek, bu kimlik bilgileri “L2TP Kullanıcıları”na koyduğumuz bilgilerdir. Bir kez yapıldığında, bizi sorunsuz bir şekilde VPN sunucusuna bağlayacak ve pfSense yönetimine ve herhangi bir ağa erişimimiz olacak.

Gördüğünüz gibi bağlantı başarıyla kuruldu ve herhangi bir sorun yaşanmadı.

Öneriler ve ipuçları

Kullandığınız VPN istemcisine bağlı olarak sunucu ayarları değişebilir. Güvenlik için her zaman en iyi kriptografik algoritmaların kullanılması tavsiye edilir, bu nedenle güvenlik seçeneklerini değiştirmenizi ve istemcileri her zaman en iyisini seçmeye zorlamanızı öneririz, ancak ne olduğunu görmek için IPsec günlüklerine bakmamız gerekecek. Bağlanırken farklı müşteriler tarafından gönderilen « teklif». Bazı akıllı telefonlar, en son şifreleri destekleyen bir L2TP/IPsec VPN istemcisi kullanır, ancak diğer modeller kullanmaz. Güvenlik ve kullanılabilirlik arasında denge kurarak küresel olarak mümkün olan en güvenli olanı seçmeye çalışmalıyız.

L2TP/IPsec’i ilk kez kullanacaksanız başka bir ipucu, istemcinin nasıl yapılandırıldığına bağlı olarak yapılandırma farklı olabileceğinden, Android, iOS, Windows bilgisayar vb. hangi istemcilere bağlanacağınızı önceden bilmektir. dahili olarak. Hepsinin aynı anda bir arada bulunamaması mümkündür, bu nedenle diğerleri arasında OpenVPN veya IPsec xAuth gibi diğer VPN’leri kullanabilirsiniz.

Bu aynı öğretici ile, L2TP/IPsec RSA’yı yapılandırabilecek, «Karşılıklı RSA» için «Karşılıklı PSK»yı değiştirebilecek ve ilgili sunucu ve istemci sertifikalarını yapılandırabileceksiniz, yakında size nasıl yapılacağını göstereceğiz. Bu aynı zamanda komplikasyonlar da getirir, çünkü en son algoritmaları kullanan bir istemci sertifikasına sahip bir CA oluşturursak, tanınmadıkları için bağlanırken bir hata döndürmesi olasıdır.

Güvenli bir şekilde göz atmak için pfSense’te bir L2TP/IPsec VPN sunucusunu yapılandırma makalesi RedesZone’da yayınlandı.

Orijinal kaynağı kontrol edin

Bunu severim:

Severim Yükleniyor…