pfSense işletim sistemi, farklı VPN türlerini yapılandırmamıza izin verir; en güvenli olanlardan biri, Windows işletim sistemlerinde ve ayrıca Samsung gibi bazı mobil markalarda varsayılan olarak bulunan oldukça yeni bir protokol olan IPsec IKEv2’dir. Ne yazık ki bu protokol, Huawei gibi diğer cep telefonlarında bulabileceğimiz birçok VPN istemcisiyle uyumlu değil. Bugün RedesZone’da, yerel ağınıza uzaktan güvenli bir şekilde bağlanabilmeniz için bir IPsec IKEv2 VPN sunucusunu nasıl yapılandıracağınızı öğreteceğiz.
IKEv2 IPsec VPN sunucusu ne işe yarar?
IPsec protokolü en çok kullanılan ve bilinen VPN protokollerinden biridir, hem yerel düzeyde hem de işletme düzeyinde kullanılmaktadır. Normalde, IPsec IKEv2 protokolü farklı konumları bağlamak için kullanılır, VPN Siteden Siteye yapılandırılır ve bu, tüm trafik şifreleneceği, kimliği doğrulanacağı ve verilerin bütünlüğü doğrulanacağı için farklı konumları İnternet üzerinden güvenli bir şekilde birbirine bağlamamıza olanak tanır. . . .
Bu durumda, farklı istemciler ve sunucu arasında veri şifreleme anlaşması için IKEv1’den daha güvenli bir protokol olan IKEv2 protokolünü kullanacağız, ayrıca istemcilerin kimliğini doğrulamak için PSK tabanlı bir kimlik doğrulama oluşturacağız. . IPsec IKEv2 protokolünde iki kimlik doğrulama yöntemimiz vardır:
- Karşılıklı PSK: Bağlanmak isteyen her VPN istemcisi için bir kimlikle ilişkili Önceden Paylaşılan Anahtar oluşturulur. Bu anahtar hem sunucuda hem de tüm VPN istemcilerinde olacaktır.
- Karşılıklı RSA: Sunucu sertifikaları ve ayrıca VPN istemcileri için sertifikalarla bir CA oluşturulmalıdır, bu sertifikalarla kimlik doğrulama oluşturulduktan sonra herhangi bir şifre girmeden VPN’ye erişebiliriz.
Bu öğreticide, VPN istemcilerinin şirket ağına bağlanabilmesi ve veri paylaşmaya başlayabilmesi için pfSense işletim sisteminde IPsec IKEv2 protokolünün nasıl yapılandırılacağını göreceğiz.
IPsec IKEv2 Protokol Yapılandırması
Bu IPsec IKEv2 protokolü, Siteden Siteye VPN ve ara bağlantı konumları oluşturabileceğimiz ortamlara yöneliktir, ancak istemciler bu tür VPN ile uyumlu olduğu sürece uzaktan erişim VPN’lerini yapılandırmak için de uygundur. Örneğin, herhangi bir Linux işletim sistemi uyumludur, ancak aynı zamanda bir IPsec IKEv2 istemcisi içerdiklerinden Windows 10 ve Samsung akıllı telefonların en son sürümleriyle uyumludur.
“Mobil İstemcileri” Yapılandırın
VPN sunucusunu yapılandırmak için yapmamız gereken ilk şey «VPN / IPsec / Mobil İstemciler«, aşağıdaki seçenekleri seçmeliyiz:
- IPsec Mobil İstemci Desteğini Etkinleştir
- Sanal Adres Havuzu: istemcilere sanal bir IP adresi sağlayın ve 192.168.100.0/24 gibi kullanılmayan bir alt ağ koyun.
- DNS Sunucusu: istemcilere bir DNS Sunucusu sağlayın: burada yerel DNS veya Google veya Cloudflare gibi genel DNS koyabiliriz.
Son yapılandırma aşağıdaki gibi olacaktır:
Kaydettikten sonra, “Kaydet”e tıklayın ve yukarıda değişiklikleri uygulamak için yeşil bir buton koyacak, değişiklikleri uygula üzerine tıklayın ve tekrar yüklendiğinde “Aşama 1 Oluştur”un yeşil düğmesine tıklamamız gerekiyor.
IPsec IKEv2 protokolü ile bağlantı kurulması da iki aşamaya bölünür, aşama 1 kimlik doğrulamasını gerçekleştirir ve aşama 2 bilgi alışverişi için simetrik kriptografi ile tünel şifrelerini müzakere eder.
İlk olarak faz 1’i çoğu istemciyle uyumlu bir şifre seti ile yapılandırmalıyız, prensipte IKEv2 daha yeni bir protokol olduğu için daha güçlü şifreler seçerken daha az sorun verir ve daha güvenli şifreler seçmekte sorun yaşamayacağız.
IPsec Aşama 1’i yapılandırın
Bu menüde, IKEv2 ile kullanmak için IPsec protokolünü yapılandırmamız gerekecek. Android, iOS, Windows için harici programlar vb. için VPN istemcileri kullanırsanız güvenlik ayarlarının değişmesi mümkündür, çünkü cihazlara entegre edilen yazılıma bağlı olarak bunlar daha yüksek veya daha düşük bir güvenlik seviyesini destekleyecektir. muhafazakar yapılandırma, ancak oldukça güvenli ve çoğu VPN istemcisiyle uyumlu, ancak bunu dikkate almalısınız, çünkü güvenliği azaltmak veya artırmak için bazı parametreleri değiştirmeniz gerekebilir.
Doğru çalışması için yapılandırmamız gereken seçenekler şunlardır:
- Genel bilgi
- Anahtar Değişimi sürümü: IKEv2
- İnternet Protokolü: IPv4 veya IPv6
- Arayüz: İnternet WAN’ı
- Açıklama: Bir açıklama koyduk.
- Aşama 1 Teklifi (Kimlik Doğrulama)
- Kimlik Doğrulama Yöntemi: Karşılıklı PSK
- Müzakere Modu: Agresif; “Ana”yı seçmek daha güvenlidir, ancak VPN istemcileri bağlanamayabilir. VPN size sunduğumuz konfigürasyonla iyi bir şekilde bağlanabiliyorsa, daha sonra çalışıp çalışmadığını kontrol etmek için “Ana”ya geçebilirsiniz.
- Tanımlayıcım: ayırt edici ad: vpn.redeszone.net
- 1. Aşama Teklifi (Şifreleme)
- Şifreleme Algoritması: AES 256 bit, SHA256, DH Grubu 14 (2048 bit).
pfSense çok daha yüksek güvenliği destekler ve hatta PFS’yi (Mükemmel İletim Gizliliği) etkinleştirmenize izin verir, sorun şu ki VPN istemcileri bunu desteklemeyebilir. Bu nedenle SHA-512 veya üzeri 4096 bit DH grubu gibi daha sağlam algoritmaları kullanmadık ve hatta EC’den faydalandık. En iyi güvenlikle yapılandırmak için, bağlanacak farklı IPsec istemcileri tarafından desteklenen farklı şifre paketlerini göreceğimiz bağlantı günlüklerini gözden geçirmemiz gerekir. Bu şekilde, hangi cihaz modellerinin ve işletim sisteminin bağlanacağını bilerek, hepsiyle uyumlu en güvenli konfigürasyonu seçebileceğiz.
Yapılandırma seçeneklerinin geri kalanı, varsayılan olarak geldikleri gibi bırakılabilir.
IPsec IKEv2’nin 1. aşamasını yapılandırdıktan sonra 2. aşamayı yapılandıracağız.
IPsec Aşama 2’yi yapılandırın
Bu menüde seçmemiz gereken ilk şey çalışma modudur, biz «Tunnel IPv4»ü seçtik. Ek olarak, VPN istemcilerinin erişmesini istediğimiz “Yerel Ağı” da koymamız gerekecek, birkaç seçeneğimiz var, en normal şey bir LAN alt ağı veya tanımladığımız belirli bir alt ağ seçmek. «NAT» seçeneğinde onu «none» olarak bırakacağız.
Bu yapılandırma menüsüne aşağıdakileri koymalıyız:
- Genel bilgi
- Mod: tünel IPv4.
- Yerel Ağ: LAN alt ağı.
- Açıklama: istediğimiz bir açıklama.
- 2. Aşama Teklifi (SA / Anahtar Değişimi):
- Protokol: ESP.
- Şifreleme Algoritması: AES otomatik ve AES-128-GCM otomatik.
- 2. Aşama Teklifi (SA / Anahtar Değişimi)
- Hash algoritmaları: SHA-1 ve SHA-256’yı seçiyoruz
- PFS Anahtar grubu: kapalı, istemciler tarafından desteklenmiyor.
Geri kalan seçenekleri varsayılan olarak koyabilir ve tüm değişiklikleri kaydetmek için kaydet’e tıklayabiliriz.
Bittiğinde “IPsec / Tüneller” bölümünde yapılan konfigürasyonun özetini görebiliriz.
Şimdi erişmek için bir kullanıcı adı ve şifre oluşturmamız gerekecek:
- Tanımlayıcı: redeszone@redeszone.net
- Gizli Tip: PSK
- Önceden Paylaşılan Anahtar: 12345678
Artık IKEv2 IPsec VPN sunucusunu yapılandırdığımıza göre, WAN güvenlik duvarındaki bağlantı noktalarını açmamız gerekiyor.
pfSense güvenlik duvarında bağlantı noktalarını açın
Bu VPN’de ayrıca İnternet WAN’ında bağlantı noktaları açmak gerekiyor, 500 UDP bağlantı noktasını ve 4500 UDP bağlantı noktasını açmamız gerekecek. Aşağıda, her iki bağlantı noktasını da açmak için tüm ayrıntılara sahipsiniz.
“Güvenlik Duvarı / Kurallar / WAN” bölümünde aşağıdaki bilgilerle bir kural oluşturmamız gerekecek:
- Eylem: geçmek
- arayüz: WAN
- Adres Ailesi: IPv4
- Protokol: UDP
- Kaynak: herhangi
- Hedef: 500 numaralı bağlantı noktasındaki WAN Adresi
İkinci kural şöyle olurdu:
- Eylem: geçmek
- arayüz: WAN
- Adres Ailesi: IPv4
- Protokol: UDP
- Kaynak: herhangi
- Hedef: 4500 numaralı bağlantı noktasındaki WAN Adresi
Gördüğünüz gibi, trafiğe izin vermek için her iki kuralımız da kabul ediliyor.
Değişiklikleri kaydediyor ve uyguluyoruz, bu kurala uyulacağından emin oluyoruz. Şimdi “tümüne izin ver” yapacağımız “IPsec” bölümüne gidiyoruz. Daha sonra bağlantı kurduğumuzda, erişimi sınırlamak istiyorsak, ilgili kuralları buraya koyarak bunu yapabiliriz.
- Eylem: geçmek
- Arayüz: IPsec
- Adres Ailesi: IPv4
- Protokol: herhangi
- Kaynak: herhangi
- Hedef: herhangi
Artık IPsec IKEv2 VPN sunucusunu yapılandırdığımıza ve güvenlik duvarında da açtığımıza göre, Android ile bir bağlantı testi yapacağız.
bağlantı testi
Bizim durumumuzda, bir Android akıllı telefonla, özellikle bir IPsec IKEv2 PSK istemcisi içeren Samsung S8 Plus ile bir VPN bağlantısı kurduk. Gerçekleştirmemiz gereken konfigürasyon şudur (işletim sistemi onu özel içerik olarak algıladığı için bir yakalama koyamıyoruz).
- İsim: VPN’ye bir isim veriyoruz
- Tür: IPsec IKEv2 PSK
- Sunucu: VPN sunucunuzun IP veya DDNS etki alanı
- IPsec tanımlayıcısı: redeszone@redeszone.net
- IPsec ilk paylaşılan anahtarı: 12345678; “Ön Paylaşımlı Anahtar” bölümüne koyduğumuz anahtar.
Kaydet ve bağlan’a tıklayın. Bir kez yapıldığında, bizi sorunsuz bir şekilde VPN sunucusuna bağlayacak ve pfSense yönetimine ve herhangi bir ağa erişimimiz olacak.
Öneriler ve ipuçları
IPsec IKEv2, uyumluluk açısından diğer IPsec tabanlı VPN türlerinden daha iyi çalışsa da, bazı IPsec istemcilerinin bağlanamamasına neden olabileceğinden, VPN sunucusuna koyduğumuz şifreleme algoritmalarına özellikle dikkat etmeliyiz. Bu, IPsec protokolünde oldukça yaygındır, çünkü cihazların hangi IPsec istemci yazılımına sahip olduğuna ve hangi algoritmaların desteklendiğine bağlıyız. Mantıksal olarak, güvenlik için her zaman en güvenli olanı seçmeniz önerilir, ancak bu, VPN istemcilerini bağlamamızı engelleyebilir.
Farklı IPsec bağlantılarının günlüklerini görmeniz ve IPsec istemcilerinin IKE anlaşması için sunucuya ne “teklif” gönderdiğini kontrol etmeniz önerilir, bu şekilde sunucuyu yalnızca en iyi şifreleme algoritmalarına erişmeye zorlayabiliriz, ve güvenli olmayanları kullanmaya bırakın.
Aynı öğreticiyle, IPsec IKEv2 RSA’yı, «Karşılıklı RSA» için «Karşılıklı PSK»yı değiştirerek ve ilgili sunucu ve istemci sertifikalarını yapılandırarak yapılandırabileceksiniz, yakında size nasıl yapılacağını göstereceğiz. VPN istemcisi, kullanılan çok güvenli algoritmalar nedeniyle yapılandırılmış RSA veya ECDSA sertifikasını okuyamayabileceğinden, bu ayrıca ek komplikasyonlar da getirir.
PfSense’te IPsec IKEv2 VPN sunucusu yapılandırma makalesi RedesZone’da yayınlandı.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
