通过VPN连接远程管理pfSense防火墙

一般远程管理防火墙,多采用开放特定外网端口来进行远程访问,方法简单,但存在一定的安全隐患。通过建立VPN连接来进行远程管理,则相对安全的多。在本教程中,我们通过使用L2TP来建立VPN连接,实现远程管理防火墙的目的。

注意:由于我的pfSense防火墙为双WAN接口,该教程所有的连接和策略设置都在WAN2接口上完成。

一、启用L2TP服务器

导航到VPN>L2TP>配置,按下图所示填写L2TP服务器各项参数。服务器地址和远程地址范围根据需要进行填写,这些地址不能与你内网的任何地址冲突。密钥不用填写。

二、新建L2TP用户

导航到VPN>L2TP>用户,新建一个VPN用户。

三、IPsec设置

1、启用IPSec移动客户端支持

导航到VPN>IPsec>移动客户端,启用IPSec移动客户端支持。设置参数见下图。

2、设置阶段1

根据提示,设置阶段1,各项参数见下图。

3、设置阶段2

添加阶段2,各项参数见下图。注意模式选传输

完成后如下图所示

4、设置预共享密钥

导航到VPN>IPsec>预共享密钥,添加预共享密钥。

四、添加防火墙规则

1、开放WAN2接口的1701端口

L2TP连接必须开放WAN接口的1701 UDP端口才能正常连接。导航到防火墙-规则策略-WAN2接口,在右下角单击添加规则,设置如下:

添加完成后,防火墙规则列表如下:

2、允许VPN用户访问防火墙内部网络

导航到防火墙-规则策略-L2TP  VPN接口,在右下角单击添加,设置如下:

添加完成后,防火墙规则列表如下:

导航到防火墙-规则策略-IPSEC接口,添加允许访问的规则,设置后如下图所示:

至此,防火墙的设置完成。

五、客户端设置

(一)、Windows客户端VPN设置

  • 右键单击系统托盘中的无线/网络图标。
  • 选择打开网络和 Internet设置,然后在打开的页面中单击网络和共享中心
  • 单击设置新的连接或网络
  • 选择连接到工作区,然后单击 下一步。
  • 单击使用我的Internet连接 (VPN)
  • 在 Internet地址 字段中输入你的 VPN 服务器 IP。
  • 目标名称字段中输入任意内容。单击 创建。
  • 返回 网络和共享中心。单击左侧的 更改适配器设置。
  • 右键单击新创建的 VPN 连接,并选择 属性。
  • 单击安全选项卡,从 VPN 类型 下拉菜单中选择 “使用 IPsec 的第 2 层隧道协议 (L2TP/IPSec)”。
  • 单击允许使用这些协议。确保选中 “质询握手身份验证协议 (CHAP)” 复选框。
  • 单击高级设置,填入在pfsense防火墙中设置的预共享密钥。

在Win10系统中还要进行以下额外设置。

1、检查IPsec Policy Agent服务
Windows + R -> 运行 ,输入 services.msc,打开“服务”窗口。确认 IPsec Policy Agent 服务开启。

2、修改注册表

同时按快捷键“Win + R”,打开“运行”窗口,输入 regedit 命令,然后点击“确定”

在“注册表编辑器”中,找到以下注册表子项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一个DWORD类型,名为ProhibitIpSec,然后然后创建DWORD值为1

找到“AllowL2TPWeakCrypto”,然后把值改成“1”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

新建一个DWORD类型,名为AssumeUDPEncapsulationContextOnSendRule的键,将值修改为2 。

(二)手机客户端

在iphone中,设置VPN连接,进入设置-VPN-添加VPN配置,在类型中选L2TP,输入相应参数就可以了。

手机VPN连接成功以后,在防火墙的状态>ipsec>概况菜单下可以查看连接状态。在手机浏览器上输入防火墙内网地址就可以进入防火墙Web管理界面。如果需要通过远程防火墙中转来访问互联网,请选中发送所有流量,这时候手机上查询的外网地址将是防火墙的WAN地址。

六、如何在pfSense中查看L2TP连接

导航到状态-系统日志-VPN-L2TP登录,这里可以看到哪些用户登录了L2TP服务器。

七、远程管理防火墙

L2TP成功连接以后,就可以通过内网地址访问防火墙。使用ping命令测试与网关的连接,证明是可以访问的。我的防火墙内网网关为192.168.111.1,端口为5678,只需要在浏览器输入地址加端口就可以正常访问!

八、其他

如果需要通过远程防火墙网关上网,必须进行如下设置。

在VPN连接上单击右键,选属性,进入TCP/ IPV4连接,选高级。选中“在远程网络上使用默认网关”和“自动跃点”。