pfSense L2TP和IPsec的設置

L2TP / IPsec是一種常見的×××類型，它將L2TP（一種不安全的隧道協議）包含在使用IPsec傳輸模式構建的安全通道內。從pfSense 2.2-RELEASE開始支持L2TP / IPsec。 本文將介紹如何配置服務器和設置客戶端。

L2TP設置

配置 L2TP 服務器

· 導航到××× > L2TP

· 選擇啟用L2TP服務器

· 選擇WAN接口

· 將Server Address （服務器地址）設置為未使用的專用子網IP，如192.168.32.1   注意: 這不是公共IP地址或L2TP服務的“監聽”IP，它是一個本地IP地址，用作客戶端上的“網關”

· 將 Remote Address Range （遠程地址范圍）設置為未使用的專用子網，如192.168.32.128

· 將Subnet Mask（子網掩碼）設置為客戶端地址范圍的適當值，例如25

· 將Number of L2TP Users （L2TP用戶數）設置為預期的L2TP用戶的最高并發數，例如8個

· 把Secret（密碼）選項留空

· 設置Authentication Type （認證類型）為CHAP

· 設置L2TP DNS 服務器或留空

· 如果需要，設置RADIUS選項

添加 L2TP 用戶

如果未使用RADIUS，請將L2TP用戶添加到pfSense。

· 導航到××× > L2TP, Users（用戶）選項卡

· 單擊 “+”添加新用戶

· 填寫 Username（用戶名）, Password/Confirmation（密碼和確認密碼）

· 如果需要，在所選擇的子網中設置靜態IP address （IP地址）

· 單擊保存

· 根據需要重復添加更多用戶

IPsec設置

設置好L2TP服務器后，我們來進行IPsec的設置。 以下設置已經過測試并有效，但是其他類似的設置也可能會起作用。

Mobile Clients Tab（移動客戶端）

· 導航到××× > IPsec, Mobile Clients（移動客戶端）選項卡

· Enable IPsec Mobile Client Support（啟用IPSec移動客戶端支持）

· 將User Authentication （用戶身份驗證）設置為本地數據庫

· 不要選中Provide a virtual IP address to clients（為客戶端提供虛擬IP地址）

·  不要選中Provide a list of accessible networks to clients（提供可訪問的網絡列表給客戶端）

· 單擊Save（保存）

Phase 1

· 單擊Tunnels（隧道）選項卡

· 設置 Enable IPsec（啟用IPsec）

· 單擊Save（保存）

· 單擊Create Phase1（創建Phase1）按鈕，或編輯現有的移動IPsec Phase 1

· 如果沒有Phase 1, 并且沒有出現創建Phase1按鈕，請返回到移動客戶端選項卡，然后單擊它。

· 設置 Key Exchange version （密鑰交換版本）為 1KEv1

· 填寫Description（描述說明）

· 設置Authentication method （認證方法）為Mutual PSK

· 設置Negotiation Mode（談判模式）為 Main

· 設置 My Identifier（我的標識符）為 My IP address

· 設置Encryption algorithm （加密算法）為 AES 256

· 設置 Hash algorithm（哈希算法）為 SHA1

· 設置 DH key group（DH密鑰組）為14 (2048 bit)

· 注意: IOS和其他平臺可能與DH key group  2 配合使用

· 設置Lifetime（有效期） 為 28800

· 不要選中 Disable Rekey（禁用預授密鑰）

· 不要選中Disable Reauth（禁用預認證 ）

· 設置 NAT Traversal（NAT穿透）為 Auto

· 設置 Enable DPD（啟用失效對等體檢測）, 設置10秒和5次重試

· 單擊 Save（保存）

Phase 2

· 單擊 “+”顯示Mobile IPsec Phase 2列表

· 單擊“+”添加新的 Phase 2 條目，或單擊 “e”編輯已有條目

· 設置 Mode（模式）為 Transport

· 填寫Description（描述說明）

· 設置Protocol（協議） 為 ESP

· 設置 Encryption algorithms（加密算法）為AES 128

· 設置 Hash algorithms（哈希算法） 為SHA1

· 設置 PFS Key Group（密鑰組）為off

· 設置 Lifetime（有效期）為 3600

· 單擊 Save（保存）

Pre-Shared Key（預共享密鑰）

IPsec隧道已配置完成，現在必須以特殊的方式配置預共享密鑰，這對所有客戶端都是常見的。

· 導航到 ××× > IPsec, Pre-Shared Keys選項卡

· 單擊 “+” 添加新的PSK

· 設置Identifier（標識符）為 allusers

· 注意： “allusers”名稱是pfSense用于配置通配符PSK的特殊關鍵字，這對于L2TP / IPsec來說是必需的。 不要為此PSK使用任何其他標識符!

· 設置Secret Type （加密類型）為PSK

· 輸入 Pre-Shared Key（預共享密鑰）, 如aaabbbccc – 可以比這個更長一些，那將更隨機、更安全！

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

Firewall Rules and NAT（防火墻規則和NAT）

從客戶端主機通過IPsec傳輸流量以建立L2TP隧道，并且在L2TP內部將實際的隧道×××流量傳遞到跨×××的系統，必須要設置防火墻規則。

IPsec Rules（IPsec規則）

· 導航到Firewall > Rules, IPsec選項卡

· 查看當前規則。 如果有一個“允許全部”樣式規則，則不需要另外添加。 可以繼續下一個任務。

· 單擊 “+”添加新規則

· 設置 Protocol （協議）為any，設置 Source（源）和 Destination （目標）為any 

注意： 這不必通過所有流量，但至少必須通過L2TP（UDP端口1701）到防火墻的WAN IP地址

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

L2TP Rules（L2TP 規則）

· 導航到 Firewall > Rules, L2TP ×××選項卡

· 查看當前規則。 如果有一個“允許全部”樣式規則，則不需要另外添加。 可以繼續下一個任務。

· 單擊 “+”添加新規則

· 設置 Protocol （協議）為any，設置 Source（源）和 Destination （目標）為any 

注意：這不必傳遞所有流量，更嚴格的規則是可以限制客戶端可以去的地方

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

Outbound NAT（出站NAT）

如果客戶端必須通過×××，然后再返回到Internet，則很有可能需要出站NAT。

· 導航到Firewall > NAT, Outbound 選項卡

· 檢查規則，看看它們是否適用于L2TP客戶端。 在自動或混合模式下，L2TP子網應列在自動規則部分。

· 如果啟用手動出站NAT，并且不存在相應規則，則添加規則來覆蓋L2TP客戶端。

DNS Configuration（DNS配置）

如果DNS服務器提供給客戶端，并且如果使用未綁定DNS解析器，則為L2TP客戶端選擇的子網必須添加到它的訪問列表。

· 導航到 Services > DNS Resolver, Access Lists（訪問列表） 選項卡

· 單擊“+”添加新的訪問列表

· 輸入 Access List Name（訪問列表名稱）, 如××× Users

· 設置Action（動作）為 Allow（允許）

· 單擊 “+”添加Networks（網絡）

· 在“網絡”框中輸入×××客戶端子網，例如。192.168.32.128

· 選擇正確的CIDR值，例如： 25

· 單擊Save（保存）

· 單擊Apply Changes（應用更改）

Client Setup（客戶端設置）

Windows

現在我來創建客戶端×××連接。 根據正在使用的Windows的版本，有幾種方法來添加這樣的連接。 你可以根據需要來進行調整。

· 在客戶端電腦上打開網絡和共享中心

· 單擊設置新的連接或網絡

· 選擇連接到工作區

· 單擊下一步

· 如果沒有就創建一個新的連接

· 單擊下一步

· 單擊使用我的Internet連接(×××)

· 在Internet地址欄輸入IP地址或主機名

· 輸入目標名稱以標識連接

· 單擊創建

連接已創建，但有幾個默認值還必須進行修改才能正確使用。 例如，類型默認為自動，如果存在PPTP連接，則會鎖定到PPTP連接，這將是非常糟糕的。 所以一定要先修改部分默認：

· 在Windows中的網絡連接/適配器設置中，找到剛才創建的連接

· 在連接上單擊右鍵

· 單擊屬性

單擊安全選項

· 設置×××類型為使用IPsec（L2TP / IPsec）的2層隧道協議 IPsec (L2TP/IPsec)

· 單擊高級設置

· 選擇使用預共享的密鑰作身份驗證

· 輸入密鑰，例如： aaabbbccc

· 單擊確認

· 設置數據加密為：需要加密（如果服務器拒絕將斷開連接）

· 設置身份驗證/允許使用這些協議為質詢握手身份驗證協議 (CHAP) （H）– 以匹配L2TP中的設置

· 單擊確認

Try it Out（試試看）

經過上面的設置，現在應該可以連接到×××了。

Troubleshooting（故障排查）

Firewall traffic blocked outbound（防火墻流量阻塞了出站）

如果防火墻日志顯示L2TP上的流量阻塞“out”，則添加一個浮動防火墻規則來解決該問題發生：

· 導航到 Firewall > Rules, Floating（浮動）選項卡

· 單擊 “+”添加新規則

· 設置Action（動作） 為 Pass（通過）

· 設置 Quick（快速）

· 接口選擇為L2TP ××× 

· 設置 Direction（方向）為 Out

· 設置Protocol （協議）為 TCP

· 根據需要設置 Source/Destination （源和目標），或設置為any

· 高級選項：

· 設置TCP Flags（TCP標識） 為 Any flags

· 設置State Type （狀態類型）為Sloppy State

Precautions（注意事項）

如果客戶端在NAT后面，Windows客戶端將不能連接到服務器。 可以考慮通過IKEv2來實現×××連接（如果你通過路由上網，而不是直接分配外網IP上網，將不能使用L2TP / IPsec類型的×××）。可以參考這篇文章：http://fxn2025.blog.51cto.com/24757/1983419。

原文地址：https://doc.pfsense.org/index.php/L2TP/IPsec

2017年5月31日