通过VPN连接远程管理pfSense防火墙

Memoryn
Memoryn
2阅读
本文摘要一般远程管理防火墙,多采用开放特定外网端口来进行远程访问,方法简单但存在安全隐患。通过建立VPN连接进行远程管理则相对安全得多。本教程使用L2TP建立VPN连接,实现远程管理防火墙的目的。注意:演示使用的pfSense防火墙为双WAN接口,教程中的所有连接和策略设置均在 WAN2 接口上完成。一、启用L2TP服务器导航到 VPN → L2TP → 配置,按下图所示填写L2TP服务器各项参数。服务器...

一般远程管理防火墙,多采用开放特定外网端口来进行远程访问,方法简单但存在安全隐患。通过建立VPN连接进行远程管理则相对安全得多。本教程使用L2TP建立VPN连接,实现远程管理防火墙的目的。

注意:演示使用的pfSense防火墙为双WAN接口,教程中的所有连接和策略设置均在 WAN2 接口上完成。

一、启用L2TP服务器

导航到 VPN → L2TP → 配置,按下图所示填写L2TP服务器各项参数。服务器地址和远程地址范围根据实际情况填写,不能与内网任何地址冲突。密钥无需填写。

L2TP服务器配置

二、新建L2TP用户

导航到 VPN → L2TP → 用户,新建一个VPN用户。

新建L2TP用户

三、IPsec设置

1. 启用IPSec移动客户端支持

导航到 VPN → IPsec → 移动客户端,启用IPSec移动客户端支持,参数设置见下图。

启用IPSec移动客户端支持

2. 设置阶段1

根据提示设置阶段1,各项参数见下图。

IPsec阶段1设置

3. 设置阶段2

添加阶段2,各项参数见下图。注意模式必须选择 传输

IPsec阶段2设置

完成后如下图所示:

IPsec隧道列表

4. 设置预共享密钥

导航到 VPN → IPsec → 预共享密钥,添加预共享密钥。

添加预共享密钥

四、添加防火墙规则

1. 开放WAN2接口的1701端口

L2TP连接必须开放WAN接口的UDP 1701端口。导航到 防火墙 → 规则策略 → WAN2 接口,单击右下角添加规则,设置如下:

添加1701端口规则

添加完成后,防火墙规则列表如下:

WAN2规则列表

2. 允许VPN用户访问防火墙内部网络

导航到 防火墙 → 规则策略 → L2TP VPN 接口,单击右下角添加规则,设置如下:

L2TP VPN规则配置

添加完成后,L2TP接口规则列表如下:

L2TP VPN规则列表

导航到 防火墙 → 规则策略 → IPSEC 接口,添加允许访问的规则,设置后如下图所示:

IPsec接口规则列表

至此,防火墙端的设置完成。

五、客户端设置

(一)Windows客户端VPN设置

  1. 右键单击系统托盘中的无线/网络图标。
  2. 选择打开“网络和 Internet 设置”,然后在打开的页面中单击“网络和共享中心”。
  3. 单击“设置新的连接或网络”。
  4. 选择“连接到工作区”,然后单击“下一步”。
  5. 单击“使用我的Internet连接 (VPN)”。
  6. 在“Internet 地址”字段中输入VPN服务器的IP地址。
  7. 在“目标名称”字段中输入任意名称,单击“创建”。
  8. 返回“网络和共享中心”,单击左侧的“更改适配器设置”。
  9. 右键单击新创建的VPN连接,选择“属性”。
  10. 单击“安全”选项卡,从“VPN 类型”下拉菜单中选择“使用 IPsec 的第 2 层隧道协议 (L2TP/IPSec)”。
  11. 单击“允许使用这些协议”,确保选中“质询握手身份验证协议 (CHAP)”复选框。
  12. 单击“高级设置”,填入在pfSense防火墙中设置的预共享密钥。

Windows VPN属性安全设置

Windows VPN高级设置

预共享密钥配置

Win10额外设置

1. 检查IPsec Policy Agent服务
按下 Win + R 打开运行,输入 services.msc,确认 IPsec Policy Agent 服务已开启。

IPsec Policy Agent服务

2. 修改注册表
Win + R,输入 regedit 打开注册表编辑器,找到以下子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

  • 新建一个 DWORD 值,命名为 ProhibitIpSec,数值设为 1
  • 找到 AllowL2TPWeakCrypto,将其数值改为 1

再找到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

  • 新建一个 DWORD 值,命名为 AssumeUDPEncapsulationContextOnSendRule,数值设为 2

注册表设置示意

(二)手机客户端

在 iPhone 上进入 设置 → VPN → 添加VPN配置,类型选择 L2TP,输入相应参数即可。

iPhone L2TP配置

手机VPN连接成功后,可以在防火墙的 状态 → IPsec → 概况 菜单下查看连接状态。在手机浏览器上输入防火墙内网地址即可进入防火墙Web管理界面。如果需要通过远程防火墙中转上网,请开启“发送所有流量”选项,此时手机查询到的外网地址将是防火墙的WAN地址。

IPsec连接概况

六、如何在pfSense中查看L2TP连接

导航到 状态 → 系统日志 → VPN → L2TP登录,可查看哪些用户登录了L2TP服务器。

L2TP登录日志

七、远程管理防火墙

L2TP成功连接后,即可通过内网地址访问防火墙。使用 ping 命令测试与网关的通信,确认可达。本案例防火墙内网网关为 192.168.111.1,管理端口为 5678,只需在浏览器中输入 https://192.168.111.1:5678 即可正常访问。

通过L2TP远程访问防火墙

八、其他

若需要通过远程防火墙网关上网,需要额外进行以下设置:
在VPN连接上右键 → “属性” → “网络” → “Internet协议版本4 (TCP/IPv4)” → “高级”,勾选“在远程网络上使用默认网关”并设置“自动跃点”。

觉得内容不错?我要

版权声明
本文作者:Memoryn
本文链接:https://www.memoryn.com/archives/2739/
转载需注明文章出处,若本文内容有侵犯到您合法权益,请联系站长删除
评论 暂无评论
暂无评论,快来抢沙发吧~