Sicherheit

Konfigurieren Sie einen IKEv2-IPsec-VPN-Server in pfSense

0 4.805 7 Minuten gelesen

Das pfSense-Betriebssystem ermöglicht es uns, verschiedene VPN-Typen zu konfigurieren, einer der sichersten ist IPsec IKEv2, ein ziemlich neues Protokoll, das standardmäßig in Windows-Betriebssystemen sowie einigen mobilen Marken wie Samsung erstellt wird. Leider ist dieses Protokoll nicht mit vielen VPN-Clients kompatibel, die auf anderen Handys wie Huawei zu finden sind. Heute zeigen wir Ihnen in RedesZone, wie Sie einen IKEv2-IPsec-VPN-Server konfigurieren, damit Sie sich aus der Ferne sicher mit Ihrem lokalen Netzwerk verbinden können.

Wofür wird ein IKEv2-IPsec-VPN-Server verwendet?

Das IPsec-Protokoll ist eines der am weitesten verbreiteten und bekanntesten VPN-Protokolle, es wird sowohl auf privater als auch auf professioneller Ebene verwendet. Normalerweise wird das IKEv2-IPsec-Protokoll verwendet, um verschiedene Sites zu verbinden und ein Site-to-Site-VPN einzurichten, das es uns ermöglicht, verschiedene Sites auf sichere Weise über das Internet zu verbinden, da der gesamte Datenverkehr verschlüsselt, authentifiziert und die Datenintegrität gewährleistet ist überprüft. .

In diesem Fall verwenden wir das IKEv2-Protokoll, das für die Datenverschlüsselungsverhandlung zwischen verschiedenen Clients und Servern sicherer ist als IKEv1, zusätzlich erstellen wir eine PSK-basierte Authentifizierung zur Authentifizierung von Clients. Im IKEv2-IPsec-Protokoll haben wir zwei Authentifizierungsmethoden:

  • Mutual PSK: Es wird ein mit einer Identität verknüpfter Pre-Shared Key erstellt, einer für jeden VPN-Client, der eine Verbindung herstellen möchte. Dieser Schlüssel befindet sich sowohl auf dem Server als auch auf allen VPN-Clients.
  • Mutual RSA: Es muss eine CA mit Serverzertifikaten und auch Zertifikaten für VPN-Clients erstellt werden, sobald die Authentifizierung mit diesen Zertifikaten hergestellt ist, haben wir Zugriff auf das VPN, ohne ein Passwort eingeben zu müssen.

In diesem Tutorial sehen wir, wie Sie das IPsec IKEv2-Protokoll im pfSense-Betriebssystem konfigurieren, damit VPN-Clients eine Verbindung zum Unternehmensnetzwerk herstellen und mit der Datenfreigabe beginnen können.

Konfigurieren von IPsec IKEv2

Dieses IKEv2-IPsec-Protokoll ist auf Umgebungen ausgerichtet, in denen ein Site-to-Site-VPN erstellt und Standorte verbunden werden können, es eignet sich jedoch auch für die Konfiguration von Remote-Access-VPNs, sofern die Clients mit diesem VPN-Typ kompatibel sind. Kompatibel ist beispielsweise jedes Linux-Betriebssystem, aber auch die neueste Version von Windows 10 und Samsung-Smartphones, da diese einen IPsec IKEv2-Client beinhalten.

"Mobile Clients" konfigurieren

Das erste, was wir tun müssen, um den VPN-Server zu konfigurieren, ist, zum " VPN / IPsec / Mobile Clients ", Wir müssen die folgenden Optionen auswählen:

  • Aktivieren der IPsec Mobile Client-Unterstützung
  • Virtueller Adresspool: Stellen Sie den Clients eine virtuelle IP-Adresse bereit und wir legen ein Subnetz an, das nicht verwendet wird, z. B. 192.168.100.0/24.
  • DNS-Server: DNS-Server für Clients bereitstellen: Hier können wir lokales DNS oder öffentliches DNS wie Google oder Cloudflare eingeben.

Die endgültige Konfiguration wäre wie folgt:

Sobald wir es gespeichert haben, klicken wir auf „Speichern“ und darüber wird eine grüne Schaltfläche zum Übernehmen der Änderungen angezeigt, wir klicken auf Änderungen übernehmen und wenn es erneut geladen wird, müssen wir auf die grüne Schaltfläche von „Phase 1 erstellen“ klicken.

Beim IKEv2-IPsec-Protokoll wird der Verbindungsaufbau ebenfalls in zwei Phasen unterteilt, Phase 1 führt die Authentifizierung durch und Phase 2 handelt Tunnelverschlüsselung mit symmetrischer Kryptographie für den Informationsaustausch aus.

Zuerst müssen wir Phase 1 mit einem Satz von Verschlüsselungen konfigurieren, die mit den meisten Clients kompatibel sind. Im Prinzip ist IKEv2 bei der Auswahl robusterer Verschlüsselungen weniger problematisch, da es ein neueres Protokoll ist und wir keine Probleme haben werden, sicherere Verschlüsselungen auszuwählen.

IPsec-Phase 1 konfigurieren

In diesem Menü müssen wir das IPsec-Protokoll für die Verwendung mit IKEv2 konfigurieren. Es ist möglich, dass sich die Sicherheitseinstellungen ändern, wenn Sie VPN-Clients für Android, iOS, externe Programme für Windows usw. verwenden, da diese je nach der in die Geräte integrierten Software mehr oder weniger Sicherheit unterstützen. konservative Konfiguration, aber ziemlich sicher und kompatibel mit den meisten VPN-Clients, aber Sie sollten dies berücksichtigen, da Sie möglicherweise einige Einstellungen ändern müssen, um die Sicherheit zu verringern oder zu erhöhen.

Die Optionen, die wir konfigurieren müssen, um ordnungsgemäß zu funktionieren, sind:

  • Hintergrundinformationen

    • Schlüsselaustauschversion: IKEv2
    • Internetprotokoll: IPv4 oder IPv6
    • Schnittstelle: Internet-WAN
    • Beschreibung: Wir geben eine Beschreibung ein.
  • Vorschlag für Phase 1 (Authentifizierung)

    • Authentifizierungsmethode: Gegenseitige PSK
    • Verhandlungsmodus: aggressiv; Die Auswahl von „Primär“ ist sicherer, aber VPN-Clients können möglicherweise keine Verbindung herstellen. Wenn sich das VPN mit der von uns angebotenen Konfiguration gut verbinden kann, können Sie dann zu „Primär“ wechseln, um zu sehen, ob dies auch funktioniert.
    • Mein Benutzername: Distinguished Name: vpn.redeszone.net
  • Vorschlag für Phase 1 (Verschlüsselung)

    • Verschlüsselungsalgorithmus: AES 256 Bit, SHA256, DH Group 14 (2048 Bit).

pfSense unterstützt eine viel höhere Sicherheit und ermöglicht Ihnen sogar die Aktivierung von Perfect Forward Secrecy (PFS). Das Problem ist, dass VPN-Clients dies möglicherweise nicht unterstützen. Aus diesem Grund haben wir auf die robusteren Algorithmen wie SHA-512 oder eine höhere 4096-Bit-DH-Gruppe verzichtet und sogar EC verwendet. Um es mit der besten Sicherheit zu konfigurieren, müssen Sie sich die Verbindungsprotokolle ansehen, in denen wir die verschiedenen Verschlüsselungssätze sehen, die die verschiedenen IPsec-Clients, die eine Verbindung herstellen, unterstützen. Auf diese Weise und mit dem Wissen, welche Gerätemodelle und Betriebssysteme verbunden werden, können wir die sicherste Konfiguration auswählen, die mit allen kompatibel ist.

Die restlichen Konfigurationsoptionen können standardmäßig unverändert belassen werden.

Sobald wir Phase 1 von IPsec IKEv2 konfiguriert haben, konfigurieren wir Phase 2.

IPsec-Phase 2 konfigurieren

In diesem Menü müssen wir als erstes den Betriebsmodus auswählen, wir haben "IPv4 Tunnel" gewählt. Darüber hinaus müssen wir auch das "Lokale Netzwerk" einstellen, auf das die VPN-Clients Zugriff haben sollen. Wir haben mehrere Optionen. Die gebräuchlichste ist die Auswahl eines LAN-Subnetzes oder eines bestimmten von uns definierten Subnetzes. Bei der Option "NAT" belassen wir es auf "none".

In diesem Konfigurationsmenü müssen wir Folgendes eingeben:

  • Hintergrundinformationen

    • Modus: IPv4-Tunnel.
    • Lokales Netzwerk: LAN-Subnetz.
    • Beschreibung: eine Beschreibung, die wir wollen.
  • Vorschlag Phase 2 (SA / Schlüsselaustausch):

    • Protokoll: ESP.
    • Verschlüsselungsalgorithmus: Automatisches AES und automatisches AES-128-GCM.

  • Vorschlag Phase 2 (SA / Schlüsselaustausch)

    • Hash-Algorithmen: Wir wählen SHA-1 und SHA-256
    • PFS-Schlüsselgruppe: Deaktiviert, wird von Clients nicht unterstützt.

Bei den restlichen Optionen können wir die Standardeinstellungen festlegen und auf Speichern klicken, um alle Änderungen zu speichern.

Nach Abschluss sehen Sie die Zusammenfassung der durchgeführten Konfiguration im Abschnitt „IPsec / Tunnels“.

Sie müssen nun einen Benutzernamen und ein Passwort erstellen, um darauf zugreifen zu können:

Nachdem wir nun den IKEv2-IPsec-VPN-Server konfiguriert haben, müssen wir die Ports der WAN-Firewall öffnen.

Offene Ports in der pfSense-Firewall

In diesem VPN müssen auch Ports im Internet-WAN geöffnet werden. Wir müssen Port 500 UDP und Port 4500 UDP öffnen. Dann haben Sie alle Details, um beide Ports zu öffnen.

Wir müssen im Abschnitt „Firewall / Regeln / WAN“ eine Regel mit den folgenden Informationen erstellen:

  • Aktion: Pass
  • Schnittstelle: WAN
  • Adressfamilie: IPv4
  • Protokoll: UDP
  • Quelle: beliebig
  • Ziel: WAN-Adresse auf Port 500

Die zweite Regel wäre:

  • Aktion: Pass
  • Schnittstelle: WAN
  • Adressfamilie: IPv4
  • Protokoll: UDP
  • Quelle: beliebig
  • Ziel: WAN-Adresse auf Port 4500

Wie Sie sehen können, müssen wir die beiden Regeln akzeptieren, um Verkehr zuzulassen.

Wir speichern und übernehmen Änderungen und stellen sicher, dass diese Regel eingehalten wird. Jetzt gehen wir zum Abschnitt „IPsec“, wo wir ein „Alles zulassen“ durchführen. Wenn wir uns dann anmelden, wenn wir den Zugriff einschränken möchten, können wir dies tun, indem wir die entsprechenden Regeln hier eingeben.

  • Aktion: Pass
  • Schnittstelle: IPsec
  • Adressfamilie: IPv4
  • Protokoll: alle
  • Quelle: beliebig
  • Ziel: beliebig

Nachdem wir nun den IKEv2 IPsec VPN Server konfiguriert und auch in der Firewall geöffnet haben, werden wir einen Verbindungstest mit Android durchführen.

Verbindungstest

In unserem Fall haben wir eine VPN-Verbindung mit einem Android-Smartphone aufgebaut, insbesondere dem Samsung S8 Plus, das einen IPsec IKEv2 PSK-Client integriert. Die Konfiguration, die wir vornehmen müssen, ist wie folgt (wir können kein Capture erstellen, da das Betriebssystem es als privaten Inhalt erkennt).

  • Name: Wir geben dem VPN einen Namen
  • Typ: IPsec IKEv2 PSK
  • Server: IP- oder DDNS-Domain Ihres VPN-Servers
  • IPsec-ID: [E-Mail geschützt]
  • Anfänglicher gemeinsamer IPsec-Schlüssel: 12345678; der Schlüssel, den wir im Abschnitt "Pre-Shared Key" abgelegt haben.

Wir klicken auf Speichern und verbinden. Sobald dies erledigt ist, verbindet es uns problemlos mit dem VPN-Server und wir haben Zugriff auf die Verwaltung von pfSense und jedem Netzwerk.

Empfehlungen und Tipps

Obwohl IPsec IKEv2 in Bezug auf die Kompatibilität besser abschneidet als andere Arten von IPsec-basierten VPNs, müssen wir den Verschlüsselungsalgorithmen, die wir in den VPN-Server einbauen, besondere Aufmerksamkeit schenken, da dies einige IPsec-Clients daran hindern könnte, eine Verbindung herzustellen. . Dies ist beim IPsec-Protokoll durchaus üblich, da wir von der von den Geräten getragenen IPsec-Client-Software und den unterstützten Algorithmen abhängen. Logischerweise ist es aus Sicherheitsgründen immer ratsam, die sicherste zu wählen, aber dies könnte uns daran hindern, VPN-Clients zu verbinden.

Es ist ratsam, die Protokolle der verschiedenen IPsec-Verbindungen einzusehen und zu überprüfen, welchen "Vorschlag" die IPsec-Clients für die IKE-Aushandlung an den Server senden. Auf diese Weise können wir den Server zwingen, nur auf die besten kryptografischen Algorithmen zuzugreifen. , und verwenden Sie diejenigen, die sich nicht sicher sind.

Mit diesem Tutorial können Sie IKEv2 RSA IPsec konfigurieren, den "Mutual PSK" für "Mutual RSA" ändern und die entsprechenden Server- und Client-Zertifikate konfigurieren. Wir zeigen Ihnen in Kürze, wie es geht. Es verursacht auch zusätzliche Komplikationen, da der VPN-Client aufgrund zu sicherer Algorithmen möglicherweise nicht in der Lage ist, das konfigurierte RSA- oder ECDSA-Zertifikat zu lesen.

0 4.805 7 Minuten gelesen

Ähnliche Artikel

Foto von So können Sie die Windows 10-Firewall so konfigurieren, dass sie geschützt ist

So können Sie die Windows 10-Firewall so konfigurieren, dass sie geschützt ist

Juni 21, 2021
Foto zum Passwortschutz des Google-Verlaufs

So schützen Sie den Google-Verlauf mit einem Passwort

Juni 21, 2021
Foto von Uber Driver Background Check erklärt: Status und Anforderungen

Uber Driver Background Check erklärt: Status und Anforderungen

Dezember 29, 2020
Foto der häufigsten Angriffe auf IoT-Geräte

Die häufigsten Angriffe auf IoT-Geräte

Juni 22, 2021

Hinterlasse eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

Button zurück nach oben