L2TP / Ipsec

L2TP / IPsec é um tipo comum de VPN que envolve o L2TP, um protocolo de encapsulamento
inseguro, dentro de um canal seguro construído usando o modo de transporte IPsec.

L2TP / IPsec é suportado a partir de pfSense 2.2-RELEASE. Este artigo explicará como configurar
o serviço e clientes de configuração.

Atenção
Os usuários relataram problemas com clientes Windows L2TP / IPsec por trás de NAT. Se os
clientes estiverem protegidos por NAT, os clientes Windows provavelmente não funcionarão.
Considere uma implementação IKEv2.

Configurar L2TP
Configurar servidor L2TP
Navegue para VPN> L2TP

Selecione Ativar servidor L2TP

Definir interface para WAN

Defina o endereço do servidor para um IP de sub-rede privada não utilizado, como 192.168.32.1

Nota
-Este não é um endereço IP público ou IP de “escuta” para o serviço L2TP, é um endereço IP local
definido como “gateway” nos clientes
-Defina o intervalo de endereços remotos para uma sub-rede privada não utilizada, como
192.168.32.128
-Defina a máscara de sub-rede com um valor apropriado para o intervalo de endereços do cliente,
como 25
-Defina o Número de usuários L2TP para o maior número simultâneo de usuários L2TP esperados,
como 8
-Deixe o segredo em branco
-Defina o tipo de autenticação para CHAP
-Defina servidores DNS L2TP conforme necessário ou deixe em branco
-Defina as opções RADIUS se desejar

Adicionar usuários L2TP

Se o RADIUS não estiver sendo usado, adicione usuários L2TP ao pfSense.

Navegue para VPN> L2TP, guia Usuários

Clique em + para adicionar um novo usuário
Preencha o nome de usuário, senha / confirmação
Defina um endereço IP estático, se necessário, na sub-rede escolhida
Clique em Salvar
Repita conforme necessário para usuários adicionais.

Configurar IPsec
Com o servidor L2TP preparado, a próxima tarefa é definir as configurações de IPsec necessárias.
As configurações abaixo foram testadas e funcionam, mas outras configurações semelhantes
também podem funcionar. Sinta-se à vontade para tentar outros algoritmos de criptografia, hashes,
etc. Relate quaisquer combinações adicionais que funcionem ou não no fórum.
Guia Clientes Móveis
Navegue para VPN> IPsec, guia Clientes móveis no pfSense
-Marque Habilitar Suporte ao Cliente Móvel IPsec
-Definir autenticação do usuário para banco de dados local (não usado, mas a opção deve ter algo
selecionado)
-Desmarque Fornecer um endereço IP virtual aos clientes
-Desmarque Fornecer uma lista de redes acessíveis aos clientes
Clique em Salvar

Fase 1
Clique na guia Túneis
-Marque Habilitar IPsec
-Clique em Salvar

Clique no botão Criar Fase1 na parte superior se ele aparecer ou edite o IPsec móvel Fase 1
existente

Se não houver Fase 1 e o botão Criar Fase1 não aparecer, navegue de volta para a guia Clientes
Móveis e clique nele.
-Defina a versão do Key Exchange para v1
-Insira uma descrição apropriada
-Defina o método de autenticação para PSK mútuo
-Defina o modo de negociação para principal
-Defina Meu identificador como Meu endereço IP
-Defina o algoritmo de criptografia para AES 256
-Defina o algoritmo Hash para SHA1
-Defina o grupo de chaves DH para 14 (2048 bits)

Nota
iOS e outras plataformas podem funcionar com um grupo de chaves DH de 2.

-Definir Lifetime para 28800

-Desmarque Disable Rekey
-Desmarque Disable Reauth
-Defina NAT Traversal para Auto
-Marque Habilitar DPD, defina para 10 segundos e 5 tentativas

Clique em Salvar

Fase 2
-Clique em + para mostrar a lista Mobile IPsec Fase 2
-Clique + para adicionar uma nova entrada da Fase 2 se não existir, ou clique “editar” para editar
uma entrada existente
-Definir modo como transporte
-Insira uma descrição apropriada
-Definir protocolo para ESP
-Defina algoritmos de criptografia para SOMENTE AES 128
-Defina algoritmos de Hash para SOMENTE SHA1
-Desative o Grupo de Chaves PFS
-Defina o tempo de vida para 3600
Clique em Salvar
Chave Pré-Compartilhada
Com o próprio túnel IPsec pronto, agora a chave pré-compartilhada deve ser configurada de uma
forma especial, comum a todos os clientes.

Navegue até VPN> IPsec, guia Chaves pré-compartilhadas no pfSense

-Clique em + para adicionar um novo PSK

-Defina o identificador para allusers

Nota
O nome “allusers” é uma palavra-chave especial usada pelo pfSense para configurar um PSK
curinga, que é necessário para que o L2TP / IPsec funcione. Não use nenhum outro identificador
para este PSK!

-Defina o tipo de segredo para PSK

-Insira uma chave pré-compartilhada, como aaabbbccc - de preferência, uma muito mais longa e
mais aleatória / segura do que este exemplo!

Clique em Salvar

Clique em Aplicar Mudanças

Regras de firewall e NAT

As regras de firewall são necessárias para passar o tráfego do host do cliente por IPsec para
estabelecer o túnel L2TP e dentro do L2TP para passar o tráfego VPN encapsulado real para os
sistemas através da VPN.

Regras IPsec
Navegue até Firewall> Regras, guia IPsec

Reveja as regras atuais. Se houver uma regra de estilo “permitir todos”, não há necessidade de
adicionar outra. Continue para a próxima tarefa.

-Clique em + para adicionar uma nova regra

-Defina o protocolo como qualquer e defina a origem e o destino como qualquer também

Nota
Isso não precisa passar todo o tráfego, mas deve pelo menos passar L2TP (porta UDP 1701) para o
endereço IP WAN do firewall

Clique em Salvar

Clique em Aplicar Mudanças

Regras L2TP
Navegue até Firewall> Regras, guia L2TP VPN

Reveja as regras atuais. Se houver uma regra de estilo “permitir todos”, não há necessidade de
adicionar outra. Continue para a próxima tarefa.

-Clique em + para adicionar uma nova regra

Defina o protocolo como qualquer e defina a origem e o destino como qualquer também

Nota
Isso não precisa passar por todo o tráfego, regras mais rígidas são possíveis para limitar onde os
clientes poder ir

Clique em Salvar

Clique em Aplicar Mudanças

NAT de saída
Se os clientes precisarem passar pela VPN e depois voltar para a Internet, o NAT de saída
provavelmente será necessário. Navegue até Firewall> NAT, guia Outbound Verifique as regras e
veja se elas se aplicam a clientes L2TP. Nos modos automático ou híbrido, a sub-rede L2TP deve
ser listada na seção de regras automáticas. Adicione regra (s) para cobrir os clientes L2TP se o NAT
de saída manual estiver habilitado e nenhum estiver presente.

Configuração DNS
Se os servidores DNS forem fornecidos aos clientes e se o Resolvedor DNS não conectado for
usado, a sub-rede escolhida para os clientes L2TP deve ser adicionada à sua lista de acesso.

Navegue até Serviços> Resolvedor de DNS, guia Listas de acesso

Clique em + para adicionar uma nova lista de acesso
Digite um nome de lista de acesso, como usuários VPN
Definir ação para permitir
Clique em + em Redes para adicionar uma nova rede
Insira a sub-rede do cliente VPN na caixa Rede, por exemplo 192.168.32.128
Escolha o CIDR adequado, por exemplo 25
Clique em Salvar
Clique em Aplicar Mudanças
Configuração do cliente
janelas
Agora é hora de criar a conexão VPN do cliente. Existem várias maneiras de adicionar essa
conexão, dependendo da versão do Windows usada. Adapte conforme necessário.

Abra o Centro de Rede e Compartilhamento no PC cliente

Clique em Configurar uma nova conexão ou rede
Selecione Conectar a um local de trabalho
Clique Próximo
Selecione Não, crie uma nova conexão
Clique Próximo
Clique em Usar minha conexão com a Internet (VPN)
Digite o endereço IP ou nome de host do servidor no campo de endereço da Internet
Insira um nome de destino para identificar a conexão
Clique em Criar
A conexão foi adicionada, mas com vários padrões indesejáveis. Por exemplo, o padrão do tipo é
automático e travará em uma conexão PPTP, se houver, o que é muito ruim. Portanto, algumas
configurações devem ser definidas manualmente primeiro:

Em Configurações de conexão / adaptador de rede no Windows, encontre a conexão criada acima

Clique com o botão direito na conexão
Clique em Propriedades
Clique na guia Segurança
Definir tipo de VPN para protocolo de encapsulamento de camada 2 com IPsec (L2TP / IPsec)
Clique em Configurações avançadas
Selecione Usar chave pré-compartilhada para autenticação
Insira a chave usada acima, por exemplo aaabbbccc
Clique OK
Defina a criptografia de dados para exigir criptografia (desconecte se o servidor recusar)
Definir autenticação / permitir que esses protocolos desafiem o protocolo de autenticação de
handshake (CHAP) - defina para corresponder ao valor escolhido em L2TP
Clique OK

Solução de problemas
Tráfego de firewall bloqueado na saída
Se os logs do firewall mostrarem o tráfego bloqueado “para fora” no L2TP, adicione uma regra de
firewall flutuante para contornar o bloqueio:

Navegue até Firewall> Regras, guia Flutuante

Clique em + para adicionar uma nova regra
Defina a ação para passar
Verifique rápido
Selecione VPN L2TP para a interface
Definir direção para fora
Definir protocolo para TCP
Defina a fonte / destino conforme necessário ou defina para qualquer
Características avançadas:
Definir sinalizadores TCP para qualquer sinalizador
Defina o tipo de estado para estado desleixado