一般远程管理防火墙,多采用开放特定外网端口来进行远程访问,方法简单,但存在一定的安全隐患。通过建立VPN连接来进行远程管理,则相对安全的多。在本教程中,我们通过使用L2TP来建立VPN连接,实现远程管理防火墙的目的。
注意:由于我的pfSense防火墙为双WAN接口,该教程所有的连接和策略设置都在WAN2接口上完成。
一、启用L2TP服务器
导航到VPN>L2TP>配置,按下图所示填写L2TP服务器各项参数。服务器地址和远程地址范围根据需要进行填写,这些地址不能与你内网的任何地址冲突。密钥不用填写。
二、新建L2TP用户
导航到VPN>L2TP>用户,新建一个VPN用户。
三、IPsec设置
1、启用IPSec移动客户端支持
导航到VPN>IPsec>移动客户端,启用IPSec移动客户端支持。设置参数见下图。
2、设置阶段1
根据提示,设置阶段1,各项参数见下图。
3、设置阶段2
添加阶段2,各项参数见下图。注意模式选传输。
完成后如下图所示
4、设置预共享密钥
导航到VPN>IPsec>预共享密钥,添加预共享密钥。
四、添加防火墙规则
1、开放WAN2接口的1701端口
L2TP连接必须开放WAN接口的1701 UDP端口才能正常连接。导航到防火墙-规则策略-WAN2接口,在右下角单击添加规则,设置如下:
添加完成后,防火墙规则列表如下:
2、允许VPN用户访问防火墙内部网络
导航到防火墙-规则策略-L2TP VPN接口,在右下角单击添加,设置如下:
添加完成后,防火墙规则列表如下:
导航到防火墙-规则策略-IPSEC接口,添加允许访问的规则,设置后如下图所示:
至此,防火墙的设置完成。
五、客户端设置
(一)Windows客户端VPN设置
- 右键单击系统托盘中的无线/网络图标。
- 选择打开网络和 Internet设置,然后在打开的页面中单击网络和共享中心。
- 单击设置新的连接或网络。
- 选择连接到工作区,然后单击 下一步。
- 单击使用我的Internet连接 (VPN)。
- 在 Internet地址 字段中输入你的 VPN 服务器 IP。
- 在目标名称字段中输入任意内容。单击 创建。
- 返回 网络和共享中心。单击左侧的 更改适配器设置。
- 右键单击新创建的 VPN 连接,并选择 属性。
- 单击安全选项卡,从 VPN 类型 下拉菜单中选择 “使用 IPsec 的第 2 层隧道协议 (L2TP/IPSec)”。
- 单击允许使用这些协议。确保选中 “质询握手身份验证协议 (CHAP)” 复选框。
- 单击高级设置,填入在pfsense防火墙中设置的预共享密钥。
在Win10系统中还要进行以下额外设置。
1、检查IPsec Policy Agent服务
Windows + R -> 运行 ,输入 services.msc,打开“服务”窗口。确认 IPsec Policy Agent 服务开启。
2、修改注册表
同时按快捷键“Win + R”,打开“运行”窗口,输入 regedit 命令,然后点击“确定”
在“注册表编辑器”中,找到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
新建一个DWORD类型,名为ProhibitIpSec,然后然后创建DWORD值为1
找到“AllowL2TPWeakCrypto”,然后把值改成“1”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
新建一个DWORD类型,名为AssumeUDPEncapsulationContextOnSendRule的键,将值修改为2 。
(二)手机客户端
在iphone中,设置VPN连接,进入设置-VPN-添加VPN配置,在类型中选L2TP,输入相应参数就可以了。
手机VPN连接成功以后,在防火墙的状态>ipsec>概况菜单下可以查看连接状态。在手机浏览器上输入防火墙内网地址就可以进入防火墙Web管理界面。如果需要通过远程防火墙中转来访问互联网,请选中发送所有流量,这时候手机上查询的外网地址将是防火墙的WAN地址。
六、如何在pfSense中查看L2TP连接
导航到状态-系统日志-VPN-L2TP登录,这里可以看到哪些用户登录了L2TP服务器。
七、远程管理防火墙
L2TP成功连接以后,就可以通过内网地址访问防火墙。使用ping命令测试与网关的连接,证明是可以访问的。我的防火墙内网网关为192.168.111.1,端口为5678,只需要在浏览器输入地址加端口就可以正常访问!
八、其他
如果需要通过远程防火墙网关上网,必须进行如下设置。
在VPN连接上单击右键,选属性,进入TCP/ IPV4连接,选高级。选中“在远程网络上使用默认网关”和“自动跃点”。
