pfSense — настройка удаленного доступа к сети (IPsec VPN) для iPhone, iPad

В понедельник уезжаю в командировку и на этот раз вместо ноутбука беру с собой iPad. В связи с этим встал вопрос удаленного доступа к ресурсам моей любимой сети с мобильного девайса. Открывать порты всех сервисов наружу на pfSense совсем не правильно с точки зрения безопасности, поэтому остался единственный приемлемый вариант — создать на pfSense VPN сервер.

Как это сделать я вам сейчас расскажу. Да, такой удаленный доступ можно организовать практически для любых интеллектуальных мобилок, не обязательно иметь iPhone или iPad.

На всякий случай напомню про наши предыдущие обзоры pfSense, с которыми вы можете быстренько ознакомиться не утруждая себя в поиске:

  1. Введение в pfSense
  2. Установка pfSense
  3. Настройка pfSense: сетевые интерфейсы
  4. Прокси-сервер в pfSense
  5. Прокси-сервер в pfSense — Часть 2 — анивирус и фильтры доступа
  6. MultiWAN в pfSense — подключение к двум провайдерам

Настраиваем pfSense IPSec VPN

Ну что, давайте перейдем к делу и зайдем в прекрасный web-интерфейс pfSense. Здесь нам надо залезть в меню VPNIPsec и затем перейти в закладку Mobile Clients:

Здесь ставим галку Enable IPsec Mobile Client Support и Provide a virtual IP address to clients, далее указываем какую-нибудь виртуальную сеть. Для примера я взял 192.168.2.0/24
Если у вас в сети развернут домен, то можно поставить галку Provide a default domain name to clients и указать домен.
Конечно, не забываем указать DNS-сервера для наших мобилок — ставим галку Provide a DNS server list to clients и указываем IP-адреса DNS’ов. Можно взять DNS вашего роутера, а можно публичный, например, 8.8.8.8 — принципиальной разницы нет.
В итоге должно получиться примерно так:

Обязятельно нажимаем кнопку Save внизу страницы. При этом в верхней части страницы появится уведомление о необходимости создания Phase1:

Нажимаем кнопку Create Phase1 и попадаем в новое окно:

Немного поясню что здесь надо выставить:

  • Interface — обычно WAN, но у меня несколько провайдеров и я выбрал WAN2.
  • Description — Описание вашего поделючения
  • Authenticated method — Mutual PSK + Xauth
  • Negotiation mode — aggressive
  • My identifier — My IP address
  • Peer identifier — Distinguished name, в поле правее придумайте и впишите имя группы (оно нам позже понадобится)
  • Pre-Shared Key — какой-нибудь пароль для группы (тоже понадобится позже)
  • Encryption algorithm — AES 256 bits
  • Hash algorithm — SHA1
  • DH key group — 2
  • Lifetime — 28800
  • Nat Travesal — Enable
  • Dead Peer Detection — вкл

Выставляем параметры, нажимаем Save внизу страницы и попадем в основное окно IPsec. Здесь нам нужно отметить одну галку и понажимать на кнопки, см скриншот:

После того как вы нажмете на кнопку + (номер 3 на скриншоте) появится еще одна кнопка, на которую нам надо нажать:

Далее появится диалог создания Phase2. В нем надо указать все как на скриншоте ниже:

и нажать кнопку Save внизу.
Затем не забываем применить все изменения:

Последнее, что нам надо сделать — создать пользователя для удаленного доступа. Для этого идем в меню SystemUser Manager

Создаем там нового пользователя. Вводим логин, желаемый пароль и жмем Save.

Затем, заходим в редактирование этого пользователя и находим вот такую кнопочку:

Там добавляются привилегии пользователя. Выбираем User — VPN — IPsec xauth и нажимаем Save два раза.

На этом настройка pfSense завершена, теперь нам остается настроить мобильный клиент.

Настраиваем iPad VPN

Здесь все еще проще. Идем в НастройкиСеть

Затем в VPN

Далее ждем кнопку Добавить конфигурацию VPN…

В новом окне выбираем тип IPSec

и указываем необходимые параметры:
Описание — пишите что хотите
Сервер — IP-адрес WAN интерфейса pfSense
Учетная запись — логин пользователя, которого мы создали
Пароль — пароль пользователя
Имя группы — тут имеется ввиду та группа, которую мы придумывали на этапе настройки Phase1
Общий ключ — пароль для этой групыы.

Всё, жмем кнопку Сохранить.
Затем выбираем созданное подключение, просто топнув но нему, чтобы слева загорелась галка, а потом можно нажимать на кнопку подключения:

Вот и всё.

Пара замечаний:
В firewall в закладке интерфейса IPSec надо разрешить весь трафик, а в закладке интерфейса WAN может понадобится создать правило, разрешающее исходящий трафик c UDP портов 500 и 4500

Успехов в освоении!

admin

4 комментария к “pfSense — настройка удаленного доступа к сети (IPsec VPN) для iPhone, iPad”

Вы можетеоставить отзыв или Обратную ссылку эта запись.
  1. Кирилл. - 10 апреля, 2014

    Настроил как написано в статье, при этом айпад после подключения к ipsec выходит в интернет (грузит сайты, whatismyip на ipad определяет внешний ип WAN на pfsense), но локальные IP не пингуются и не отвечают. В чем может быть косяк? Не могли бы вы приложить скриншот Firewall:Rule:ipsec?

    Сеть WAN — DHCP
    Сеть LAN — 172.16.3.0/16
    ipsec virtual address pool 172.16.93.0/16

  2. Maksim - 9 июня, 2014

    Спасибо с первого раза все заработало)))

  3. Аноним - 17 декабря, 2015

    Про Обратные маршруты нужно тоже не забывать

  4. Александр - 26 августа, 2021

    Очень интересная и полезная статья «Наверно». Хотелось бы ее прочитать, но нет не одного скрина. Обновите, если есть возможность и желание. Спасибо.

Нужно войти чтобы оставить комментарий.