手机使用IPsec VPN远程访问pfSense防火墙

前面介绍了在pfSense搭建中OpenVPN远程访问服务器,客户端远程访问防火墙的方法。本文介绍另一种远程访问方法,使用IPsec VPN远程访问pfSense防火墙。

本文所使用的防火墙版本为pfSense2.52,防火墙LAN接口IP:192.168.101.254 。

IPsec服务器配置

按照先配置移动客户端,再设置阶段1和阶段2,最后添加VPN用户的顺序进行IPsec服务器的各项配置。

移动客户端

导航到VPN > IPsec >移动客户端,各项参数设置如下:

IKE扩展 = 选中
用户认证 = local Database
组认证 = 不选
虚拟地址池 = 选中
10.10.10.0/24
其他不选
登录横幅(可选)= Login successfully!(注意:不支持中文)

点击保存后,会提示你创建阶段 1,点击确认创建阶段1。

阶段1设置

各项参数如下:

密钥交换版本 = IKEv1
协议 = IPv4
接口 = WAN1(示例网络为多WAN)
身份验证方法 = Mutual PSK + Xauth
协商模式 = 野蛮
本地ID类型 = 我的IP地址
远端ID类型 = 用户专有名称
vpnusers@example.com 
预共享密钥 = aabbcc。
加密算法 = AES,128 位,SHA1,2(1024 位)
生命时间 = (3600)
NAT-T = Auto 
DPB检测 = 选中 
延迟 10
重试上限 = 5

点击保存后,点开阶段2菜单,点击右侧添加阶段 2。

阶段2设置

各项参数如下:

模式 = IPv4隧道
本地网络 = 网络
地址 = 0.0.0.0/0
NAT/BINAT 转换 = None
协议 = ESP
加密算法 = 选中AES,设置为Auto
哈希算法 = 选中SHA1
PFS 密钥组 = 关
生存时间=86400

添加防火墙规则

导航到防火墙>规则策略选项卡,添加一条any to any的允许规则。

添加VPN用户

导航到系统>用户管理,添加一个VPN用户。

为了保证能正常访问所有防火墙的功能,添加的用户必须具有 WebCfg 所有页面的访问权限和 VPN IPsec xauth Dialin的权限。如下图所示:

注意:在添加新用户时,不会出现用户权限的选项。可以先添加用户,保存后返回到用户列表界面,再点右侧编辑,就可以添加用户权限了。

手机端设置

我使用的手机为iPhone系列,系统版本为14.7.1。导航到设置>通用> VPN页面,点击下方的添加VPN配置….,添加一个新的VPN,各项参数如下:

类型 = IPsec
描述 = Gz
服务器 = 防火墙WAN接口IP
帐户 = user 
密码 = 该用户的密码
群组名称 = 阶段1中的远程ID类型(vpnusers@example.com)
密钥 = 阶段1中的预共享密钥 (PSK)(aabbcc)

点击完成,回到VPN菜单,打开连接按钮进行连接!

点击好,VPN连接成功。

回到pfSense防火墙,导航到状态>IPsec,可以查看VPN连接的各项信息:

在手机端浏览器上输入防火墙的LAN接口地址,正常访问防火墙Web界面。