pfSense işletim sistemi, Android ve iOS ile akıllı telefonlarımıza ve tabletlerimize ve ayrıca bilgisayarlarımıza veya Mac’imize bağlanmamızı sağlayacak bir VPN türü olan IPsec IKEv1 xAuth dahil olmak üzere farklı VPN türlerini yapılandırmamıza olanak tanır. bu tür protokollerle uyumlu ilgili yazılımı yüklediğimiz için. Bugün RedesZone’da, yerel ağınıza uzaktan güvenli bir şekilde bağlanabilmeniz için bir IPsec IKEv1 xAuth VPN sunucusunu nasıl yapılandıracağınızı öğreteceğiz.
IPsec IKEv1 xAuth VPN sunucusu ne işe yarar?
IPsec protokolü en çok kullanılan ve bilinen VPN protokollerinden biridir, hem evde hem de evimize kolay ve hızlı bir şekilde bağlanmak için kullanılır (AVM FRITZ! gibi yönlendiriciler bu tür güvenli VPN’i içerir) ve ayrıca kurumsal düzeyde ofise veya küçük ve orta ölçekli işletmelere bağlanmak için. Bu VPN, farklı istemciler ve sunucu arasında şifreleme konusunda anlaşmak için IKEv1 (İnternet Anahtar Değişimi) protokolünü kullanır, ayrıca, farklı istemcilere bağlandıklarında kimlik doğrulamamızı sağlayacak kullanıcı adı ve parola (xAuth) ile kimlik doğrulaması kullanır. sunucu VPN’i. IPsec IKEv1 xAuth protokolünde iki kimlik doğrulama yöntemimiz vardır:
- Mutual PSK + xAuth: Bağlanmak isteyen VPN istemcilerinin her birinin sahip olacağı bir parola oluşturulur, bu anahtar hem sunucuda hem de tüm istemcilerde bulunur. Ardından, VPN’de bireysel olarak kimlik doğrulaması yapmak için bir kullanıcı adı ve şifre istenir.
- Karşılıklı RSA + xAuth: Sunucu sertifikaları ve ayrıca VPN istemcileri için sertifikalarla bir CA oluşturulmalıdır, bu sertifikalarla kimlik doğrulama oluşturulduktan sonra, VPN’de kimlik doğrulaması için bir kullanıcı adı ve şifre de istenecektir.
Çok önemli bir detay ise bu tip VPN ile uyumlu olmadığı için IKEv2 protokolünü kullanamayacağız, VPN clientlarının doğru bağlanabilmesi için IKEv1 kullanmamız gerekiyor.
Bu öğreticide, VPN istemcilerinin şirket ağına bağlanabilmesi ve veri paylaşmaya başlayabilmesi için pfSense işletim sisteminde IPsec IKEv1 xAuth protokolünün nasıl yapılandırılacağını göreceğiz.
IPsec protokolü yapılandırması
IPsec IKEv1 xAuth protokolünü yapılandırmaya başlamadan önce, bu protokolün uzaktan erişim VPN’lerine, yani “Mobil İstemciler” olarak bilinenlere yönelik olduğunu, bu nedenle VPN istemcilerinin cep telefonları, tabletler veya bilgisayarlar olacağını unutmamalıyız, ancak Siteden Siteye tünel kurulmayacaktır, bunu yapmak için burada ele alacağımız xAuth olmadan doğrudan IPsec IKEv2 gibi bir protokol kullanmak daha iyidir.
“Mobil İstemcileri” Yapılandırın
VPN sunucusunu yapılandırmak için yapmamız gereken ilk şey “VPN / IPsec / Mobil İstemciler” bölümüne gitmek, aşağıdaki seçenekleri seçmeliyiz:
- IPsec Mobil İstemci Desteğini Etkinleştir
- Genişletilmiş Kimlik Doğrulama (xAuth)
- Kullanıcı kimlik doğrulaması: Yerel Veritabanı
Genişletilmiş Kimlik Doğrulama bölümünde, bağlanan VPN istemcilerinin yerleştirileceği alt ağı da tanımlamak gerekir.
- Genişletilmiş Kimlik Doğrulama (xAuth)
- Sanal Adres Havuzu: istemcilere sanal bir IP adresi sağlayın ve 192.168.100.0/24 gibi kullanılmayan bir alt ağ koyun.
- DNS Sunucusu: istemcilere bir DNS Sunucusu sağlayın: burada yerel DNS veya Google veya Cloudflare gibi genel DNS koyabiliriz.
Son yapılandırma aşağıdaki gibi olacaktır:
Kaydettikten sonra, “Kaydet”e tıklayın ve yukarıda değişiklikleri uygulamak için yeşil bir buton koyacak, değişiklikleri uygula üzerine tıklayın ve tekrar yüklendiğinde “Aşama 1 Oluştur”un yeşil düğmesine tıklamamız gerekiyor.
IPsec protokolünün açıkça iki aşamaya ayrıldığını hatırlamalıyız, aşama 1 kimlik doğrulama aşamasıdır ve aşama 2, bilgi alışverişi için simetrik şifrelerin müzakere edildiği aşamadır. İlk önce aşama 1’i, daha sonra aşama 2’yi yapılandırmak için çoğu istemciyle uyumlu bir dizi şifre ile yapılandırmamız gerekir.
IPsec Aşama 1’i yapılandırın
Bu menüde, xAuth ile IKEv1 ile kullanmak için IPsec protokolünü doğru şekilde yapılandırmamız gerekecek, tüm yapılandırmalar bu protokolle çalışmayacaktır. Ek olarak, çok önemli bir ayrıntı, Android, iOS, Windows için harici programlar vb. için VPN istemcileri kullanıyorsanız güvenlik ayarlarının değişmesinin mümkün olmasıdır. Çoğu VPN istemcisiyle uyumlu muhafazakar bir yapılandırma kullanacağız, ancak bazı parametreleri değiştirmeniz gerekebileceğinden bunu dikkate almalısınız.
Doğru çalışması için yapılandırmamız gereken seçenekler şunlardır:
- Genel bilgi
- Anahtar Değişimi sürümü: IKEv1, başka birini seçersek çalışmayacaktır.
- İnternet Protokolü: IPv4 veya IPv6
- Arayüz: İnternet WAN’ı
- Açıklama: Bir açıklama koyduk.
- Aşama 1 Teklifi (Kimlik Doğrulama)
- Kimlik Doğrulama Yöntemi: Karşılıklı PSK + xAuth
- Müzakere Modu: Agresif; “Ana”yı seçmek daha güvenlidir, ancak VPN istemcileri bağlanamayabilir. VPN size sunduğumuz konfigürasyonla iyi bir şekilde bağlanabiliyorsa, daha sonra çalışıp çalışmadığını kontrol etmek için “Ana”ya geçebilirsiniz.
- Tanımlayıcım: IP adresim
- Eş tanımlayıcı: Kullanıcının ayırt edici adı – redeszone@redeszone.net veya ne istersen.
- Önceden Paylaşılan Anahtar: 12345678
- 1. Aşama Teklifi (Şifreleme)
- Şifreleme Algoritması: AES 128 bit, SHA1, DH Grup 2 (1024 bit).
pfSense profesyonel bir işletim sistemidir, sorun şu ki VPN istemcileri daha yüksek güvenliği desteklemeyebilir, bu nedenle SHA-512 veya daha yüksek DH havuzu gibi daha sağlam algoritmalar kullanmadık. Maksimum güvenlikle yapılandırmak için IPsec günlüklerini görmeli ve VPN istemcilerinin bağlanmak için bize hangi “teklifleri” göndereceğini bilmeliyiz, alınan bu tekliflere dayanarak hepsinden en güvenli olanı seçebileceğiz.
Yapılandırma seçeneklerinin geri kalanı, varsayılan olarak geldikleri gibi bırakılabilir.
Aşama 1’i yapılandırdıktan sonra, burada görebileceğiniz gibi, az önce yapılandırdıklarımızın küçük bir özetini alacağız:
IPsec xAuth’un 1. aşamasını yapılandırdıktan sonra 2. aşamayı yapılandıracağız.
IPsec Aşama 2’yi yapılandırın
Bu menüde seçmemiz gereken ilk şey çalışma modudur, resimde gördüğünüz gibi «Tunnel IPv4»ü seçtik. Ek olarak, VPN istemcilerinin erişmesini istediğimiz “Yerel Ağı” da koymamız gerekecek, onlara bir erişim yolu gönderilecek. Onlara belirli bir IP adresi, istediğimiz bir alt ağ, WAN alt ağı ve hatta pfSense’deki LAN alt ağımızı verme olanağına sahip olacağız. «NAT» seçeneğinde onu «none» olarak bırakacağız.
Bu yapılandırma menüsüne aşağıdakileri koymalıyız:
- Genel bilgi
- Mod: tünel IPv4
- Yerel Ağ: LAN alt ağı
- Açıklama: istediğimiz bir açıklama.
- 2. Aşama Teklifi (SA / Anahtar Değişimi):
- Protokol: ESP
- Şifreleme Algoritması: AES 128 bit ve AES-128-GCM 128 bit
Aşağıdaki fotoğrafta son halini görebilirsiniz:
- 2. Aşama Teklifi (SA / Anahtar Değişimi)
- Hash algoritmaları: SHA-1 ve SHA-256’yı seçiyoruz
- PFS Anahtar grubu: kapalı, protokol tarafından desteklenmiyor.
Geri kalan seçenekleri varsayılan olarak koyabilir ve tüm değişiklikleri kaydetmek için kaydet’e tıklayabiliriz.
Bittiğinde, yapılan konfigürasyonun özetini görebiliriz.
Artık IPsec xAuth VPN sunucusunu yapılandırdığımıza göre, kullanıcıları pfSense’de oluşturup onlara VPN’ye bağlantı izinleri vermemiz gerekiyor, aksi takdirde bağlanamayacaklar ve hata verecekler.
xAuth ile kimlik doğrulaması yapmak için pfSense’de kullanıcılar oluşturun
Farklı kullanıcılar oluşturmak için «Sistem/Kullanıcı yöneticisi» ve ilgili kullanıcı adı ve parolasıyla yeni bir kullanıcı oluşturun, kaydet’e tıklayın ve ardından düzenlemek için geri dönün. Artık farklı hizmetlere ve pfSense işletim sisteminin bölümlerine erişim izinleri ekleyebiliriz. Şunlara izin eklememiz gerekiyor:
- Atanan ayrıcalıklar: Kullanıcı – VPN-IPsec xauth Dialin
Seçildikten sonra değişiklikleri kaydetmek için “Kaydet”e tıklayın. Şu andan itibaren, bu kullanıcı ilgili şifresi ile VPN sunucusuna bağlanabilecektir.
pfSense güvenlik duvarında bağlantı noktalarını açın
Bu VPN’de ayrıca İnternet WAN’ında bağlantı noktaları açmak gerekir, özellikle 500 UDP bağlantı noktasını ve 4500 UDP bağlantı noktasını açmamız gerekecek. Aşağıda, her iki bağlantı noktasını da açmak için tüm ayrıntılara sahipsiniz.
“Güvenlik Duvarı / Kurallar / WAN” bölümünde aşağıdaki bilgilerle bir kural oluşturmamız gerekecek:
- Eylem: geçmek
- arayüz: WAN
- Adres Ailesi: IPv4
- Protokol: UDP
- Kaynak: herhangi
- Hedef: 500 numaralı bağlantı noktasındaki WAN Adresi
İkinci kural şöyle olurdu:
- Eylem: geçmek
- arayüz: WAN
- Adres Ailesi: IPv4
- Protokol: UDP
- Kaynak: herhangi
- Hedef: 4500 numaralı bağlantı noktasındaki WAN Adresi
Gördüğünüz gibi, trafiğe izin vermek için her iki kuralımız da kabul ediliyor.
Değişiklikleri kaydediyor ve uyguluyoruz, bu kurala uyulacağından emin oluyoruz. Şimdi “tümüne izin ver” yapacağımız “IPsec” bölümüne gidiyoruz. Daha sonra bağlantı kurduğumuzda, erişimi sınırlamak istiyorsak, ilgili kuralları buraya koyarak bunu yapabiliriz.
- Eylem: geçmek
- Arayüz: IPsec
- Adres Ailesi: IPv4
- Protokol: herhangi
- Kaynak: herhangi
- Hedef: herhangi
Aşağıda, sahip olduğumuz tek kural olan yeni oluşturulan kuralı görebilirsiniz.
IPsec VPN sunucusunu yapılandırdığımıza göre, kullanıcıyı ilgili izinlerle oluşturduk ve güvenlik duvarında da açtık, Android ile bir bağlantı testi yapacağız.
bağlantı testi
Bizim durumumuzda, bir Android akıllı telefonla, özellikle bir IPsec xAuth PSK istemcisi içeren Huawei P30 ile bir VPN bağlantısı kurduk. Gerçekleştirmemiz gereken konfigürasyon şudur (işletim sistemi onu özel içerik olarak algıladığı için bir yakalama koyamıyoruz).
- İsim: VPN’ye bir isim veriyoruz
- Tür: IPsec Xauth PSK
- Sunucu: VPN sunucunuzun IP veya DDNS etki alanı
- IPsec tanımlayıcısı: redeszone@redeszone.net
- IPsec ilk paylaşılan anahtarı: 12345678; “Ön Paylaşımlı Anahtar” bölümüne koyduğumuz anahtar.
Kaydet ve bağlan’a tıklayın. Bağlanırken bizden bir kullanıcı adı ve şifre isteyecek, bu kimlik bilgileri işletim sisteminin kendisinde kaydettiğimiz bilgilerdir ve daha sonra doğru şekilde bağlanmasına izin verdik. Bir kez yapıldığında, bizi sorunsuz bir şekilde VPN sunucusuna bağlayacak ve pfSense yönetimine ve herhangi bir ağa erişimimiz olacak.
Öneriler ve ipuçları
Çok güvenli şifreleme algoritmaları koyarsak bazı VPN istemcileriyle bağlantı sorunları yaşamamız mümkündür, bu tamamen normal bir şeydir, ayrıca her cihazda bulunan yazılıma bağlı olarak, daha sağlam veya daha zayıf yapılandırabileceğiz. algoritmalar. Güvenlik için her zaman en güvenli olanları seçmeniz önerilir, ancak bu birçok VPN istemcisinin bağlanmasını engeller.
Bir IPsec istemcisi ne zaman bağlanacaksa, günlükleri görüntülemeniz ve farklı istemcilerin bağlanırken ne “teklif” gönderdiğini kontrol etmeniz önerilir. Bazı akıllı telefonlar, tabletler veya IPsec istemcileri daha güncel şifrelemeyi destekler, bu nedenle, tüm istemcilerin doğru şekilde bağlanabilmesi için mümkün olan en güvenli paketi yapılandırmamız gerekir.
Bu aynı öğretici ile, “Karşılıklı RSA + xAuth” için “Karşılıklı PSK + xAuth”u değiştirerek ve ilgili sunucu ve istemci sertifikalarını yapılandırarak IPsec IKEv1 xAuth’u yapılandırabileceksiniz, yakında size bunun nasıl yapılacağını göstereceğiz. Bu aynı zamanda komplikasyonlar da getirir, çünkü en son algoritmaları kullanan bir istemci sertifikasına sahip bir CA oluşturursak, onları tanımadıkları için bağlanırken bir hata döndürmesi olasıdır.
PfSense’de IPsec IKEv1 xAuth VPN sunucusu yapılandırma makalesi RedesZone’da yayınlandı.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…