Différences
Ci-dessous, les différences entre deux révisions de la page.
tuto:pfsense:pfsense_ipsec_mobile [25/03/2020 09:49] dani créée |
tuto:pfsense:pfsense_ipsec_mobile [25/03/2020 09:53] (Version actuelle) dani |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== VPN IPSec roadwarriors ====== | + | ====== VPN IPsec roadwarriors ====== |
- | Firewall Services privilégie généralement OpenVPN pour les VPN, que ça soit pour du site à site, ou des itinérants (en attendant wireguard ...). Il est bien plus simple à manipuler qu'IPSec, utilise des interfaces " | + | Firewall Services privilégie généralement OpenVPN pour les VPN, que ça soit pour du site à site, ou des itinérants (en attendant wireguard ...). Il est bien plus simple à manipuler qu'IPsec, utilise des interfaces " |
Mais IPSec peut avoir des avantages. En performances d' | Mais IPSec peut avoir des avantages. En performances d' | ||
Ligne 11: | Ligne 11: | ||
Dans le menu **VPN** -> **IPsec**, aller sur l' | Dans le menu **VPN** -> **IPsec**, aller sur l' | ||
- | * Cocher | + | * Cocher |
* Sélectionner les sources d' | * Sélectionner les sources d' | ||
- | * Laisser Group authentication à **none** | + | * Laisser |
- | * Cocher Provide a virtual IP address to clients et saisir une plage d' | + | * Cocher |
- | * Cocher Provide a list of accessible networks to clients | + | * Cocher |
- | * Cocher Allow clients to save Xauth passwords (Cisco VPN client only) | + | * Cocher |
- | * Cocher Provide a default domain name to clients et saisir le domaine de recherche à donner aux clients | + | * Cocher |
- | * Cocher Provide a DNS server list to clients et saisir l' | + | * Cocher |
Après avoir sauvegardé, | Après avoir sauvegardé, | ||
Ligne 27: | Ligne 27: | ||
===== Créer la phase 1 ===== | ===== Créer la phase 1 ===== | ||
Dans la fenêtre de création de la phase 1, il faut : | Dans la fenêtre de création de la phase 1, il faut : | ||
- | * Pour Key Exchange Version, choisir IKEv1 | + | * Pour **Key Exchange Version**, choisir IKEv1 |
- | * Internet protocol : selon votre environnement (probablement IPv4) | + | |
- | * Interface : généralement WAN | + | |
- | * Description : IPSec Mobile | + | |
- | * Authentication Method : Mutual PSK + Xauth | + | |
- | * Negociation mode : agressive | + | |
- | * My identifier : My IP address | + | |
- | * Peer identifier : User distinguished name -> vpn@mobile (chaîne arbitraire, il faudra simplement mettre à la même sur les clients) | + | |
- | * Pre-Shared Key : une passphrase. De préférence longue, et aléatoire. Elle devra être tapée sur les clients lors de la configuration | + | |
- | * Encryption Algorithm | + | |
* AES | * AES | ||
* 128 bits | * 128 bits | ||
* SHA256 | * SHA256 | ||
* 2 (1024 bit) | * 2 (1024 bit) | ||
- | * Lifetime : 28800 | + | |
- | * NAT Traversal : Force | + | |
{{ : | {{ : | ||
Ligne 53: | Ligne 53: | ||
===== Créer la phase 2 ===== | ===== Créer la phase 2 ===== | ||
- | * Mode : Tunnel | + | |
- | * Local Network : saisir ici le réseau qui doit être joignable depuis les clients. Si vous voulez que tout le trafic soit envoyé dans le tunnel, saisir 0.0.0.0/0 | + | |
- | * NAT / BINAT : Laisser à None | + | |
- | * Protocol : ESP | + | |
- | * Encryption Algorithms | + | |
* AES 128 bits | * AES 128 bits | ||
- | | + | * **Hash algorithms** : SHA256 |
- | * PFS key group : off | + | * **PFS key group** : off |
- | * Lifetime : 3600 | + | * **Lifetime** : 3600 |
{{ : | {{ : | ||
Ligne 70: | Ligne 70: | ||
===== Ajout des règles sur l' | ===== Ajout des règles sur l' | ||
- | Il faut maintenant autoriser (ou non) les clients VPN à se connecter à vos différentes zones. Ça se passe dans Firewall -> Rules -> IPsec | + | Il faut maintenant autoriser (ou non) les clients VPN à se connecter à vos différentes zones. Ça se passe dans **Firewall** -> **Rules** -> IPsec |
<note tip>Il n'y a qu'un seul onglet IPsec même si vous utilisez plusieurs tunnels différents. On peut discriminer en utilisant l'IP source</ | <note tip>Il n'y a qu'un seul onglet IPsec même si vous utilisez plusieurs tunnels différents. On peut discriminer en utilisant l'IP source</ | ||
Ligne 76: | Ligne 76: | ||
===== Configuration d'un android ===== | ===== Configuration d'un android ===== | ||
- | Pour configurer un Android, il faut aller dans le menu Réseau -> VPN -> Ajouter puis le configurer comme sur la capture | + | Pour configurer un Android, il faut aller dans le menu **Réseau** -> **VPN** -> **Ajouter** puis le configurer comme sur la capture |
- | {{ : | + | {{ : |
===== Ajustement MSS ===== | ===== Ajustement MSS ===== | ||
- | Sur le réseau de certains opérateurs mobiles, il faut ajuster le paramètre Maximum MSS pour que le trafic passe. Dans VPN -> IPsec -> Advanced Settings | + | Sur le réseau de certains opérateurs mobiles, il faut ajuster le paramètre |
{{ : | {{ : |