tuto:pfsense:pfsense_ipsec_mobile

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

tuto:pfsense:pfsense_ipsec_mobile [25/03/2020 09:49]
dani créée 		tuto:pfsense:pfsense_ipsec_mobile [25/03/2020 09:53] (Version actuelle)
dani
Ligne 1: Ligne 1:
-====== VPN IPSec roadwarriors ======+====== VPN IPsec roadwarriors ======
  
-Firewall Services privilégie généralement OpenVPN pour les VPN, que ça soit pour du site à site, ou des itinérants (en attendant wireguard ...). Il est bien plus simple à manipuler qu'IPSec, utilise des interfaces "standards", ajoute des entrées standards à la table de routage, bref tout est plus simple.+Firewall Services privilégie généralement OpenVPN pour les VPN, que ça soit pour du site à site, ou des itinérants (en attendant wireguard ...). Il est bien plus simple à manipuler qu'IPsec, utilise des interfaces "standards", ajoute des entrées standards à la table de routage, bref tout est plus simple.
 Mais IPSec peut avoir des avantages. En performances d'abord, mais aussi et surtout : il est supporté nativement par pas mal de systèmes, dont Android par exemple. Mais IPSec peut avoir des avantages. En performances d'abord, mais aussi et surtout : il est supporté nativement par pas mal de systèmes, dont Android par exemple.
  
Ligne 11: Ligne 11:
 Dans le menu **VPN** -> **IPsec**, aller sur l'onglet **Mobile Client** Dans le menu **VPN** -> **IPsec**, aller sur l'onglet **Mobile Client**
  
-  * Cocher "Enable IPSec Mobile Client support"+  * Cocher **Enable IPSec Mobile Client support**
   * Sélectionner les sources d'authentification pour les utilisateurs (dans cet exemple, 2 annuaires LDAP)   * Sélectionner les sources d'authentification pour les utilisateurs (dans cet exemple, 2 annuaires LDAP)
-  * Laisser Group authentication à **none** +  * Laisser **Group authentication** à **none** 
-  * Cocher Provide a virtual IP address to clients et saisir une plage d'adresse (qui n'est pas utilisée ailleurs !) +  * Cocher **Provide a virtual IP address to clients** et saisir une plage d'adresse (qui n'est pas utilisée ailleurs !) 
-  * Cocher Provide a list of accessible networks to clients +  * Cocher **Provide a list of accessible networks to clients** 
-  * Cocher Allow clients to save Xauth passwords (Cisco VPN client only) +  * Cocher **Allow clients to save Xauth passwords (Cisco VPN client only)** 
-  * Cocher Provide a default domain name to clients et saisir le domaine de recherche à donner aux clients +  * Cocher **Provide a default domain name to clients** et saisir le domaine de recherche à donner aux clients 
-  * Cocher Provide a DNS server list to clients et saisir l'adresse du serveur DNS à donner aux clients. Vous pouvez utiliser une adresse IP du PfSense (par exemple, son adresse IP LAN), mais attention dans ce cas : il faut ajouter une ACL autorisant la plage réseau VPN à requêter (Dans Services -> DNS Resolver -> Access List)+  * Cocher **Provide a DNS server list to clients** et saisir l'adresse du serveur DNS à donner aux clients. Vous pouvez utiliser une adresse IP du PfSense (par exemple, son adresse IP LAN), mais attention dans ce cas : il faut ajouter une ACL autorisant la plage réseau VPN à requêter (Dans **Services** -> **DNS Resolver** -> **Access List**)
  
 Après avoir sauvegardé, un bouton vert vous proposera de créer la phase 1 associée, il faut le faire Après avoir sauvegardé, un bouton vert vous proposera de créer la phase 1 associée, il faut le faire
Ligne 27: Ligne 27:
 ===== Créer la phase 1 ===== ===== Créer la phase 1 =====
 Dans la fenêtre de création de la phase 1, il faut : Dans la fenêtre de création de la phase 1, il faut :
-  * Pour Key Exchange Version, choisir IKEv1 +  * Pour **Key Exchange Version**, choisir IKEv1 
-  * Internet protocol : selon votre environnement (probablement IPv4) +  * **Internet protocol** : selon votre environnement (probablement IPv4) 
-  * Interface : généralement WAN +  * **Interface** : généralement WAN 
-  * Description : IPSec Mobile +  * **Description** : IPSec Mobile 
-  * Authentication Method : Mutual PSK + Xauth +  * **Authentication Method** : Mutual PSK + Xauth 
-  * Negociation mode : agressive +  * **Negociation mode** : agressive 
-  * My identifier : My IP address +  * **My identifier** : My IP address 
-  * Peer identifier : User distinguished name -> vpn@mobile (chaîne arbitraire, il faudra simplement mettre à la même sur les clients) +  * **Peer identifier** : User distinguished name -> vpn@mobile (chaîne arbitraire, il faudra simplement mettre à la même sur les clients) 
-  * Pre-Shared Key : une passphrase. De préférence longue, et aléatoire. Elle devra être tapée sur les clients lors de la configuration +  * **Pre-Shared Key** : une passphrase. De préférence longue, et aléatoire. Elle devra être tapée sur les clients lors de la configuration 
-  * Encryption Algorithm+  * **Encryption Algorithm**
     * AES     * AES
     * 128 bits     * 128 bits
     * SHA256     * SHA256
     * 2 (1024 bit)     * 2 (1024 bit)
-  * Lifetime : 28800 +  * **Lifetime** : 28800 
-  * NAT Traversal : Force+  * **NAT Traversal** : Force
  
 {{ :tuto:pfsense:pfs_ipsec_3.png |}} {{ :tuto:pfsense:pfs_ipsec_3.png |}}
Ligne 53: Ligne 53:
 ===== Créer la phase 2 ===== ===== Créer la phase 2 =====
  
-  * Mode : Tunnel +  * **Mode** : Tunnel 
-  * Local Network : saisir ici le réseau qui doit être joignable depuis les clients. Si vous voulez que tout le trafic soit envoyé dans le tunnel, saisir 0.0.0.0/0 +  * **Local Network** : saisir ici le réseau qui doit être joignable depuis les clients. Si vous voulez que tout le trafic soit envoyé dans le tunnel, saisir 0.0.0.0/0 
-  * NAT / BINAT : Laisser à None +  * **NAT / BINAT** : Laisser à None 
-  * Protocol : ESP +  * **Protocol** : ESP 
-  * Encryption Algorithms+  * **Encryption Algorithms**
     * AES 128 bits     * AES 128 bits
-    * Hash algorithms : SHA256 +  * **Hash algorithms** : SHA256 
-    * PFS key group : off +  * **PFS key group** : off 
-    * Lifetime : 3600+  * **Lifetime** : 3600
  
 {{ :tuto:pfsense:pfs_ipsec_7.png |}} {{ :tuto:pfsense:pfs_ipsec_7.png |}}
Ligne 70: Ligne 70:
  
 ===== Ajout des règles sur l'interface IPSec ===== ===== Ajout des règles sur l'interface IPSec =====
-Il faut maintenant autoriser (ou non) les clients VPN à se connecter à vos différentes zones. Ça se passe dans Firewall -> Rules -> IPsec+Il faut maintenant autoriser (ou non) les clients VPN à se connecter à vos différentes zones. Ça se passe dans **Firewall** -> **Rules** -> IPsec
  
 <note tip>Il n'y a qu'un seul onglet IPsec même si vous utilisez plusieurs tunnels différents. On peut discriminer en utilisant l'IP source</note> <note tip>Il n'y a qu'un seul onglet IPsec même si vous utilisez plusieurs tunnels différents. On peut discriminer en utilisant l'IP source</note>
Ligne 76: Ligne 76:
 ===== Configuration d'un android ===== ===== Configuration d'un android =====
  
-Pour configurer un Android, il faut aller dans le menu Réseau -> VPN -> Ajouter puis le configurer comme sur la capture +Pour configurer un Android, il faut aller dans le menu **Réseau** -> **VPN** -> **Ajouter** puis le configurer comme sur la capture 
-{{ :tuto:pfsense:pfs_ipsec_9.png |}}+{{ :tuto:pfsense:pfs_ipsec_9.png?300 |}}
  
 ===== Ajustement MSS ===== ===== Ajustement MSS =====
-Sur le réseau de certains opérateurs mobiles, il faut ajuster le paramètre Maximum MSS pour que le trafic passe. Dans VPN -> IPsec -> Advanced Settings+Sur le réseau de certains opérateurs mobiles, il faut ajuster le paramètre **Maximum MSS** pour que le trafic passe. Dans **VPN** -> **IPsec** -> **Advanced Settings**
  
 {{ :tuto:pfsense:pfs_ipsec_10.png |}} {{ :tuto:pfsense:pfs_ipsec_10.png |}}
  • tuto/pfsense/pfsense_ipsec_mobile.1585126162.txt.gz
  • Dernière modification: 25/03/2020 09:49
  • de dani