В понедельник уезжаю в командировку и на этот раз вместо ноутбука беру с собой iPad. В связи с этим встал вопрос удаленного доступа к ресурсам моей любимой сети с мобильного девайса. Открывать порты всех сервисов наружу на pfSense совсем не правильно с точки зрения безопасности, поэтому остался единственный приемлемый вариант — создать на pfSense VPN сервер.
Как это сделать я вам сейчас расскажу. Да, такой удаленный доступ можно организовать практически для любых интеллектуальных мобилок, не обязательно иметь iPhone или iPad.
На всякий случай напомню про наши предыдущие обзоры pfSense, с которыми вы можете быстренько ознакомиться не утруждая себя в поиске:
- Введение в pfSense
- Установка pfSense
- Настройка pfSense: сетевые интерфейсы
- Прокси-сервер в pfSense
- Прокси-сервер в pfSense — Часть 2 — анивирус и фильтры доступа
- MultiWAN в pfSense — подключение к двум провайдерам
Настраиваем pfSense IPSec VPN
Ну что, давайте перейдем к делу и зайдем в прекрасный web-интерфейс pfSense. Здесь нам надо залезть в меню VPNIPsec и затем перейти в закладку Mobile Clients:
Здесь ставим галку Enable IPsec Mobile Client Support и Provide a virtual IP address to clients, далее указываем какую-нибудь виртуальную сеть. Для примера я взял 192.168.2.0/24
Если у вас в сети развернут домен, то можно поставить галку Provide a default domain name to clients и указать домен.
Конечно, не забываем указать DNS-сервера для наших мобилок — ставим галку Provide a DNS server list to clients и указываем IP-адреса DNS’ов. Можно взять DNS вашего роутера, а можно публичный, например, 8.8.8.8 — принципиальной разницы нет.
В итоге должно получиться примерно так:
Обязятельно нажимаем кнопку Save внизу страницы. При этом в верхней части страницы появится уведомление о необходимости создания Phase1:
Нажимаем кнопку Create Phase1 и попадаем в новое окно:
Немного поясню что здесь надо выставить:
- Interface — обычно WAN, но у меня несколько провайдеров и я выбрал WAN2.
- Description — Описание вашего поделючения
- Authenticated method — Mutual PSK + Xauth
- Negotiation mode — aggressive
- My identifier — My IP address
- Peer identifier — Distinguished name, в поле правее придумайте и впишите имя группы (оно нам позже понадобится)
- Pre-Shared Key — какой-нибудь пароль для группы (тоже понадобится позже)
- Encryption algorithm — AES 256 bits
- Hash algorithm — SHA1
- DH key group — 2
- Lifetime — 28800
- Nat Travesal — Enable
- Dead Peer Detection — вкл
Выставляем параметры, нажимаем Save внизу страницы и попадем в основное окно IPsec. Здесь нам нужно отметить одну галку и понажимать на кнопки, см скриншот:
После того как вы нажмете на кнопку + (номер 3 на скриншоте) появится еще одна кнопка, на которую нам надо нажать:
Далее появится диалог создания Phase2. В нем надо указать все как на скриншоте ниже:
и нажать кнопку Save внизу.
Затем не забываем применить все изменения:
Последнее, что нам надо сделать — создать пользователя для удаленного доступа. Для этого идем в меню SystemUser Manager
Создаем там нового пользователя. Вводим логин, желаемый пароль и жмем Save.
Затем, заходим в редактирование этого пользователя и находим вот такую кнопочку:
Там добавляются привилегии пользователя. Выбираем User — VPN — IPsec xauth и нажимаем Save два раза.
На этом настройка pfSense завершена, теперь нам остается настроить мобильный клиент.
Настраиваем iPad VPN
Здесь все еще проще. Идем в НастройкиСеть
Затем в VPN
Далее ждем кнопку Добавить конфигурацию VPN…
В новом окне выбираем тип IPSec
и указываем необходимые параметры:
Описание — пишите что хотите
Сервер — IP-адрес WAN интерфейса pfSense
Учетная запись — логин пользователя, которого мы создали
Пароль — пароль пользователя
Имя группы — тут имеется ввиду та группа, которую мы придумывали на этапе настройки Phase1
Общий ключ — пароль для этой групыы.
Всё, жмем кнопку Сохранить.
Затем выбираем созданное подключение, просто топнув но нему, чтобы слева загорелась галка, а потом можно нажимать на кнопку подключения:
Вот и всё.
Пара замечаний:
В firewall в закладке интерфейса IPSec надо разрешить весь трафик, а в закладке интерфейса WAN может понадобится создать правило, разрешающее исходящий трафик c UDP портов 500 и 4500
Успехов в освоении!
4 комментария к “pfSense — настройка удаленного доступа к сети (IPsec VPN) для iPhone, iPad”
Кирилл. - 10 апреля, 2014
Настроил как написано в статье, при этом айпад после подключения к ipsec выходит в интернет (грузит сайты, whatismyip на ipad определяет внешний ип WAN на pfsense), но локальные IP не пингуются и не отвечают. В чем может быть косяк? Не могли бы вы приложить скриншот Firewall:Rule:ipsec?
Сеть WAN — DHCP
Сеть LAN — 172.16.3.0/16
ipsec virtual address pool 172.16.93.0/16
Maksim - 9 июня, 2014
Спасибо с первого раза все заработало)))
Аноним - 17 декабря, 2015
Про Обратные маршруты нужно тоже не забывать
Александр - 26 августа, 2021
Очень интересная и полезная статья «Наверно». Хотелось бы ее прочитать, но нет не одного скрина. Обновите, если есть возможность и желание. Спасибо.