Escolar Documentos
Profissional Documentos
Cultura Documentos
L2TP / IPsec é um tipo comum de VPN que envolve o L2TP, um protocolo de encapsulamento
inseguro, dentro de um canal seguro construído usando o modo de transporte IPsec.
L2TP / IPsec é suportado a partir de pfSense 2.2-RELEASE. Este artigo explicará como configurar
o serviço e clientes de configuração.
Atenção
Os usuários relataram problemas com clientes Windows L2TP / IPsec por trás de NAT. Se os
clientes estiverem protegidos por NAT, os clientes Windows provavelmente não funcionarão.
Considere uma implementação IKEv2.
Configurar L2TP
Configurar servidor L2TP
Navegue para VPN> L2TP
Defina o endereço do servidor para um IP de sub-rede privada não utilizado, como 192.168.32.1
Nota
-Este não é um endereço IP público ou IP de “escuta” para o serviço L2TP, é um endereço IP local
definido como “gateway” nos clientes
-Defina o intervalo de endereços remotos para uma sub-rede privada não utilizada, como
192.168.32.128
-Defina a máscara de sub-rede com um valor apropriado para o intervalo de endereços do cliente,
como 25
-Defina o Número de usuários L2TP para o maior número simultâneo de usuários L2TP esperados,
como 8
-Deixe o segredo em branco
-Defina o tipo de autenticação para CHAP
-Defina servidores DNS L2TP conforme necessário ou deixe em branco
-Defina as opções RADIUS se desejar
Configurar IPsec
Com o servidor L2TP preparado, a próxima tarefa é definir as configurações de IPsec necessárias.
As configurações abaixo foram testadas e funcionam, mas outras configurações semelhantes
também podem funcionar. Sinta-se à vontade para tentar outros algoritmos de criptografia, hashes,
etc. Relate quaisquer combinações adicionais que funcionem ou não no fórum.
Guia Clientes Móveis
Navegue para VPN> IPsec, guia Clientes móveis no pfSense
-Marque Habilitar Suporte ao Cliente Móvel IPsec
-Definir autenticação do usuário para banco de dados local (não usado, mas a opção deve ter algo
selecionado)
-Desmarque Fornecer um endereço IP virtual aos clientes
-Desmarque Fornecer uma lista de redes acessíveis aos clientes
Clique em Salvar
Fase 1
Clique na guia Túneis
-Marque Habilitar IPsec
-Clique em Salvar
Clique no botão Criar Fase1 na parte superior se ele aparecer ou edite o IPsec móvel Fase 1
existente
Se não houver Fase 1 e o botão Criar Fase1 não aparecer, navegue de volta para a guia Clientes
Móveis e clique nele.
-Defina a versão do Key Exchange para v1
-Insira uma descrição apropriada
-Defina o método de autenticação para PSK mútuo
-Defina o modo de negociação para principal
-Defina Meu identificador como Meu endereço IP
-Defina o algoritmo de criptografia para AES 256
-Defina o algoritmo Hash para SHA1
-Defina o grupo de chaves DH para 14 (2048 bits)
Nota
iOS e outras plataformas podem funcionar com um grupo de chaves DH de 2.
Clique em Salvar
Fase 2
-Clique em + para mostrar a lista Mobile IPsec Fase 2
-Clique + para adicionar uma nova entrada da Fase 2 se não existir, ou clique “editar” para editar
uma entrada existente
-Definir modo como transporte
-Insira uma descrição apropriada
-Definir protocolo para ESP
-Defina algoritmos de criptografia para SOMENTE AES 128
-Defina algoritmos de Hash para SOMENTE SHA1
-Desative o Grupo de Chaves PFS
-Defina o tempo de vida para 3600
Clique em Salvar
Chave Pré-Compartilhada
Com o próprio túnel IPsec pronto, agora a chave pré-compartilhada deve ser configurada de uma
forma especial, comum a todos os clientes.
Nota
O nome “allusers” é uma palavra-chave especial usada pelo pfSense para configurar um PSK
curinga, que é necessário para que o L2TP / IPsec funcione. Não use nenhum outro identificador
para este PSK!
Clique em Salvar
Regras IPsec
Navegue até Firewall> Regras, guia IPsec
Reveja as regras atuais. Se houver uma regra de estilo “permitir todos”, não há necessidade de
adicionar outra. Continue para a próxima tarefa.
Nota
Isso não precisa passar todo o tráfego, mas deve pelo menos passar L2TP (porta UDP 1701) para o
endereço IP WAN do firewall
Clique em Salvar
Regras L2TP
Navegue até Firewall> Regras, guia L2TP VPN
Reveja as regras atuais. Se houver uma regra de estilo “permitir todos”, não há necessidade de
adicionar outra. Continue para a próxima tarefa.
Nota
Isso não precisa passar por todo o tráfego, regras mais rígidas são possíveis para limitar onde os
clientes poder ir
Clique em Salvar
NAT de saída
Se os clientes precisarem passar pela VPN e depois voltar para a Internet, o NAT de saída
provavelmente será necessário. Navegue até Firewall> NAT, guia Outbound Verifique as regras e
veja se elas se aplicam a clientes L2TP. Nos modos automático ou híbrido, a sub-rede L2TP deve
ser listada na seção de regras automáticas. Adicione regra (s) para cobrir os clientes L2TP se o NAT
de saída manual estiver habilitado e nenhum estiver presente.
Configuração DNS
Se os servidores DNS forem fornecidos aos clientes e se o Resolvedor DNS não conectado for
usado, a sub-rede escolhida para os clientes L2TP deve ser adicionada à sua lista de acesso.
Solução de problemas
Tráfego de firewall bloqueado na saída
Se os logs do firewall mostrarem o tráfego bloqueado “para fora” no L2TP, adicione uma regra de
firewall flutuante para contornar o bloqueio: