Veiligheid

Configureer een IPsec IKEv1 xAuth VPN-server in pfSense

0 1.576 8 minuten om te lezen

Met het pfSense-besturingssysteem kunnen we verschillende soorten VPN configureren, waaronder IPsec IKEv1 xAuth, een type VPN waarmee we verbinding kunnen maken met onze smartphones en tablets met Android en iOS, en ook met onze computers of Macs, beide die we installeer de bijbehorende software die compatibel is met dit type protocol. Vandaag gaan we u in RedesZone leren hoe u een IPsec IKEv1 xAuth VPN-server configureert, zodat u op afstand veilig verbinding kunt maken met uw lokale netwerk.

Waarvoor wordt een IKEv1 xAuth IPsec VPN-server gebruikt?

Het IPsec-protocol is een van de meest gebruikte en bekende VPN-protocollen, het kan ook thuis worden gebruikt om eenvoudig en snel verbinding te maken met ons huis (routers zoals AVM FRITZ! Integreer dit type veilige VPN), dat om verbinding te maken op het ondernemingsniveau op kantoor of in het midden- en kleinbedrijf. Deze VPN gebruikt het IKEv1-protocol (Internet Key Exchange) om te onderhandelen over de codering tussen de verschillende clients en de server, daarnaast gebruikt het authenticatie met gebruikersnaam en wachtwoord (xAuth) waarmee we ze kunnen authenticeren. de VPN-server. In het IPsec IKEv1 xAuth-protocol hebben we twee authenticatiemethoden:

  • Mutual PSK + xAuth: er wordt een wachtwoord vastgesteld dat elke VPN-client die verbinding wil maken heeft, deze sleutel bevindt zich zowel op de server als op alle clients. Vervolgens zijn een gebruikersnaam en wachtwoord vereist om individueel te authenticeren met de VPN.
  • Mutual RSA + xAuth: er moet een CA worden aangemaakt met servercertificaten en ook certificaten voor VPN-clients, zodra authenticatie met deze certificaten tot stand is gebracht, zal ook een gebruikersnaam en wachtwoord worden gevraagd om te authenticeren in de VPN.

Een heel belangrijk detail is dat we het IKEv2-protocol niet kunnen gebruiken omdat het niet compatibel is met dit type VPN, we moeten ja of ja IKEv1 gebruiken zodat de VPN-clients correct verbinding kunnen maken.

In deze zelfstudie zullen we zien hoe u het IPsec IKEv1 xAuth-protocol in het pfSense-besturingssysteem kunt configureren, zodat VPN-clients verbinding kunnen maken met het bedrijfsnetwerk en gegevens kunnen gaan delen.

Het IPsec-protocol configureren

Voordat we beginnen met het configureren van het IKEv1 xAuth IPsec-protocol, moeten we er rekening mee houden dat dit protocol is gericht op VPN's voor externe toegang, dat wil zeggen degenen die "Mobiele clients" worden genoemd, daarom zullen de VPN-clients mobiele telefoons, tablets of computers zijn, maar er zal geen Site-to-Site-tunnel tot stand worden gebracht, om dit te doen is het beter om rechtstreeks een protocol zoals IPsec IKEv2 te gebruiken, zonder de xAuth die we hier zullen bespreken.

Configureer "Mobiele klanten"

Het eerste dat we moeten doen om de VPN-server te configureren, is door naar de sectie "VPN / IPsec / Mobile Clients" te gaan, we moeten de volgende opties selecteren:

  • Ondersteuning voor IPsec Mobile-client inschakelen
  • Uitgebreide authenticatie (xAuth)

    • Gebruikersauthenticatie: Lokale database

In het gedeelte Uitgebreide authenticatie is het ook nodig om het subnet te definiëren waar de verbindende VPN-clients worden geplaatst.

  • Uitgebreide authenticatie (xAuth)

    • Virtuele adrespool: geef een virtueel IP-adres aan de clients en we plaatsen een subnet dat niet in gebruik is, zoals 192.168.100.0/24.
    • DNS-server: bied DNS-server voor klanten: hier kunnen we lokale DNS of openbare DNS plaatsen, zoals Google of Cloudflare.

De uiteindelijke configuratie zou als volgt zijn:

Zodra we het hebben opgeslagen, klikken we op "Opslaan" en daarboven wordt een groene knop geplaatst om de wijzigingen toe te passen, we klikken op wijzigingen toepassen en wanneer het opnieuw wordt geladen, moeten we op de groene knop van "Fase 1 maken" klikken.

We moeten niet vergeten dat het IPsec-protocol duidelijk in twee fasen is verdeeld, fase 1 is de authenticatiefase en fase 2 is de fase waarin symmetrische cijfers worden onderhandeld voor de uitwisseling van informatie. Eerst moeten we fase 1 configureren met een set cijfers die compatibel zijn met de meeste clients, om fase 2 later te configureren.

Configureer IPsec Fase 1

In dit menu moeten we het IPsec-protocol correct configureren voor gebruik met IKEv1 met xAuth, niet alle configuraties werken met dit protocol. Daarnaast is een heel belangrijk detail dat de beveiligingsinstellingen kunnen veranderen als je VPN-clients gebruikt voor Android, iOS, externe programma's voor Windows, enz. We zullen een conservatieve setup gebruiken die compatibel is met de meeste VPN-clients, maar u moet hier rekening mee houden omdat u mogelijk enkele instellingen moet wijzigen.

De opties die we moeten configureren om correct te werken zijn:

  • Algemene informatie

    • Key Exchange-versie: IKEv1, als we een andere selecteren, werkt deze niet.
    • Internetprotocol: IPv4 of IPv6
    • Interface: Internet WAN
    • Beschrijving: we plaatsen een beschrijving.
  • Fase 1 voorstel (Authenticatie)

    • Authenticatiemethode: Mutual PSK + xAuth
    • Wijze van onderhandelen: agressief; het selecteren van "Primair" is veiliger, maar VPN-clients kunnen mogelijk geen verbinding maken. Als de VPN goed verbinding kan maken met de configuratie die we aanbieden, kun je vervolgens overschakelen naar "Primair" om te zien of dat ook werkt.
    • Mijn gebruikersnaam: Mijn IP-adres
    • Peer-ID: DN-naam van de gebruiker - [e-mail beveiligd] of wat je maar wilt.
    • Vooraf gedeelde sleutel: 12345678
  • Fase 1 voorstel (Encryptie)

    • Encryptie-algoritme: AES 128 bits, SHA1, DH Group 2 (1024 bits).

pfSense is een professioneel besturingssysteem, het probleem is dat VPN-clients mogelijk geen hogere beveiliging ondersteunen, om deze reden hebben we geen robuustere algoritmen zoals SHA-512 of group DH hoger gebruikt. Om het met maximale beveiliging te configureren, moeten we de IPsec-logboeken zien en weten welke "voorstellen" de VPN-clients ons zullen sturen om verbinding te maken, op basis van de ontvangen voorstellen kunnen we de veiligste van allemaal kiezen.

De rest van de configuratie-opties kunnen standaard worden gelaten zoals ze zijn.

Zodra we fase 1 hebben geconfigureerd, krijgen we een korte samenvatting van wat we zojuist hebben geconfigureerd, zoals je hier kunt zien:

Zodra we fase 1 van IPsec xAuth hebben geconfigureerd, gaan we fase 2 configureren.

Configureer IPsec Fase 2

In dit menu is het eerste dat we moeten kiezen de werkmodus, we hebben gekozen voor "IPv4 Tunnel" zoals je op de afbeelding kunt zien. Daarnaast zullen we ook het "Lokale netwerk" moeten instellen waartoe we willen dat de VPN-clients toegang hebben, er wordt een route naar hen verzonden om er toegang toe te krijgen. We zullen ze een specifiek IP-adres kunnen geven, een subnet dat we willen, het WAN-subnet en zelfs het LAN-subnet dat we in pfSense hebben. In de "NAT"-optie laten we deze op "none" staan.

In dit configuratiemenu moeten we het volgende plaatsen:

  • Algemene informatie

    • Modus: IPv4-tunnel
    • Lokaal netwerk: LAN-subnet
    • Beschrijving: een beschrijving die we willen.
  • Fase 2 voorstel (SA / Sleuteluitwisseling):

    • Protocol: ESP
    • Versleutelingsalgoritme: 128-bit AES en 128-bit AES-128-GCM

Op de volgende foto ziet u de definitieve versie:

  • Fase 2 voorstel (SA / sleuteluitwisseling)

    • Hash-algoritmen: we selecteren SHA-1 en SHA-256
    • PFS-sleutelgroep: Uitgeschakeld, niet ondersteund door het protocol.

De rest van de opties kunnen we de standaardopties plaatsen en op Opslaan klikken om alle wijzigingen op te slaan.

Eenmaal voltooid, kunt u de samenvatting van de uitgevoerde configuratie zien.

Nu we de xAuth IPsec VPN-server hebben geconfigureerd, moeten we de gebruikers in pfSense maken en ze de VPN-verbindingsrechten geven, anders kunnen ze geen verbinding maken en wordt er een fout gegenereerd.

Maak gebruikers in pfSense om te authenticeren met xAuth

Om de verschillende gebruikers aan te maken, ga naar " Systeem- / gebruikersbeheerder »En maak een nieuwe gebruiker aan met zijn bijbehorende gebruikersnaam en wachtwoord, klik op opslaan en voer vervolgens opnieuw in om het te wijzigen. We kunnen nu toegangsrechten toevoegen aan verschillende services en delen van het pfSense-besturingssysteem. We moeten toestemming toevoegen voor:

  • Toegewezen rechten: Gebruiker - VPN-IPsec xauth Dialin Dia

Eenmaal geselecteerd, klik op "Opslaan" om de wijzigingen op te slaan. Vanaf nu kan deze gebruiker met zijn bijbehorende wachtwoord verbinding maken met de VPN-server.

Open poorten in pfSense-firewall

In deze VPN is het ook noodzakelijk om poorten op het internet WAN te openen, met name zullen we poort 500 UDP en poort 4500 UDP moeten openen. Dan heb je alle details om beide poorten te openen.

We moeten een regel maken in de sectie "Firewall / Regels / WAN" met de volgende informatie:

  • Actie: Pass
  • Interface: WAN
  • Adresfamilie: IPv4
  • Protocol: UDP
  • Bron: any
  • Bestemming: WAN-adres op poort 500

De tweede regel zou zijn:

  • Actie: Pass
  • Interface: WAN
  • Adresfamilie: IPv4
  • Protocol: UDP
  • Bron: any
  • Bestemming: WAN-adres op poort 4500

Zoals u kunt zien, moeten we de twee regels accepteren om verkeer toe te staan.

We slaan wijzigingen op en passen deze toe, waarbij we ervoor zorgen dat deze regel wordt gevolgd. Nu gaan we naar het gedeelte "IPsec" waar we een "alles toestaan" zullen doen. Als we dan inloggen, als we de toegang willen beperken, kunnen we dat doen door de bijbehorende regels hier te plaatsen.

  • Actie: Pass
  • Interface: IPsec
  • Adresfamilie: IPv4
  • Protocol: alles
  • Bron: any
  • Bestemming: elke

Dan kunt u de nieuw gemaakte regel zien, de enige die we hebben.

Nu we de IPsec VPN-server hebben geconfigureerd, de gebruiker met de bijbehorende machtigingen hebben aangemaakt en deze ook in de firewall hebben geopend, gaan we een verbindingstest uitvoeren met Android.

Verbindingstest

In ons geval hebben we een VPN-verbinding tot stand gebracht met een Android-smartphone, in het bijzonder de Huawei P30 die een IPsec xAuth PSK-client integreert. De configuratie die we moeten doen is als volgt (we kunnen geen opname plaatsen omdat het besturingssysteem het als privé-inhoud detecteert).

  • Naam: we geven de VPN een naam
  • Type: IPsec Xauth PSK
  • Server: IP- of DDNS-domein van uw VPN-server
  • IPsec-ID: [e-mail beveiligd]
  • Initiële gedeelde IPsec-sleutel: 12345678; de sleutel die we in het gedeelte 'Vooraf gedeelde sleutel' hebben geplaatst.

We klikken op opslaan en verbinden. Op het moment van inloggen zal het ons om een ​​gebruikersnaam en wachtwoord vragen, deze inloggegevens zijn degene die we in het besturingssysteem zelf hebben opgeslagen en later hebben we het toestemming gegeven om correct verbinding te maken. Eenmaal gedaan, zal het ons zonder probleem verbinden met de VPN-server en hebben we toegang tot het beheer van pfSense en elk netwerk.

Aanbevelingen en tips

We kunnen verbindingsproblemen hebben met sommige VPN-clients als we te veilige coderingsalgoritmen gebruiken, dit is heel normaal, bovendien kunnen we, afhankelijk van de software die in elk apparaat is ingebouwd, sterkere of meer algoritmen configureren. Om veiligheidsredenen is het altijd raadzaam om de meest veilige te kiezen, maar dit zal voorkomen dat veel VPN-clients verbinding kunnen maken.

Elke keer dat een IPsec-client verbinding gaat maken, is het raadzaam om de logs te raadplegen en na te gaan welk “voorstel” de verschillende clients tijdens de verbinding sturen. Sommige smartphones, tablets of IPsec-clients ondersteunen modernere codering, dus we moeten de meest veilige suite configureren zodat alle clients correct verbinding kunnen maken.

Met dezelfde zelfstudie kunt u de IPsec IKEv1 xAuth configureren, de "Mutual PSK + xAuth" wijzigen in "Mutual RSA + xAuth" en de bijbehorende server- en clientcertificaten configureren. Het veroorzaakt ook complicaties, want als we een CA maken met een clientcertificaat dat de nieuwste algoritmen gebruikt, kan het een foutmelding geven wanneer we inloggen omdat ze deze niet herkennen.

0 1.576 8 minuten om te lezen

Vergelijkbare items

Foto van Al het verkeer omleiden via VPN: wat is het en waar is het voor?

Leid al het verkeer om via VPN: wat is het en waar is het voor?

Juni 21, 2021
Foto van HTTPS betekent dat het veilig is om openbare wifi te gebruiken?

Betekent HTTPS dat je veilig openbare wifi kunt gebruiken?

Juni 22, 2021
Foto van versleutelde e-mails verzenden met PGP in Gmail en Outlook

Verstuur versleutelde e-mails met PGP in Gmail en Outlook

Juni 21, 2021
Foto van Controleer of iemand uw Outlook- of Gmail-account heeft ingevoerd

Controleer of iemand uw Outlook- of Gmail-account heeft ingevoerd

Juni 22, 2021

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Terug naar boven knop