Per dar modo a dispositivi mobili (cellulari, tablet, portatili etc.) di potersi collegare ad un computer remoto tramite una VPN configurare pfSense nel seguente modo:
- Dal menù in alto scegliere la voce “VPN”
- Scegliere la scheda “Mobile clients”
- Verrà visualizzato in alto un messaggio che avverte che per creare la VPN client-to-site bisogna creare la Phase 1, premere sul relativo tasto “Create Phase 1”
- Una volta comparso il menù VPN: IPsec: Edit Phase 1: Mobile Client, impostare i seguenti parametri:
Sezione General information :
* Key Exchange version = v1
* Internet Protocol = IPv4
* Interface = WAN
* Description = Inserire una descrizione (es. Vpn clients)
Sezione Phase 1 proposal (Autentication) :
* Authentication method = Mutual PSK + Xauth
* Negotiation mode = Main (preferibile all'agressive mode per questioni di sicurezza)
* My identifier = My IP address
* Peer identifier => Distinguished Name = Inserire un nome (es. VpnClients)
* Pre-Shared Key = in questo campo impostare una chiave segreta (es. VpN@0nL41N)
Sezione Phase 1 proposal (Algorithms) :
* Encryption algorithm = qui scegliere l'algoritmo di criptazione (per questioni di sicurezza consiglio la AES 256 bits)
* Hash algorithm = qui scegliere l'algoritmo di hash (SHA1 è impostato di default e può andare bene)
* DH key group = qui a vostra scelta impostate il gruppo
* Lifetime = 28800
Sezione Advanced Options :
* Disable Rekey = non spuntata
* Disable Reauth = non spuntata
* NAT Traversal = Auto
* Dead Peer Detection = per motivi di stabilità non va spuntata
Terminata l'impostazione dei vari parametri, premere su “save” (comparirà in alto una scrittà che vi avvertirà che sono state effettuate delle modifiche e che se si vuole confermarle bisogna premere sul tasto “Apply changes” e poi su “close”.
Ora si procede con la creazione della “Phase 2” nella seguente maniera:
- Premere sul tasto “+ - Show 0 Phase-2 entries ” che compare sotto la tabella riassuntiva della Phase1
- Premere il tasto ”+” a destra della tabella riassuntiva della Phase2
- All'apertura della finestra VPN: IPsec: Edit Phase 2: Mobile Client inserire i seguenti parametri:
* Mode = Tunnel IPv4
* Local Network = Lasciate sulla voce “LAN subnet”
* Remote Network = Inserite la rete remota lato LAN (es. 192.168.50.0)
* Protocol = lasciate su “ESP”
* Encryption algorithms = la stessa della Phase1
* Hash algorithms = la stessa della Phase1
* PFS key group = lasciate pure su “Off”
* Lifetime = 28800
Infine premete sul tasto “save”, alla comparsa dell'avviso che sono state effettuate delle modifiche premete su “apply changes” e poi “close”.
Come ultimo passaggio creiamo le utenze con le quali si potrà accedere alla VPN:
- Dal menù in alto “System”
- Andare all'ultima voce “User Manager”
- Andare alla seconda scheda “Groups”
- Premere il tasto a destra “+” e inseriamo il nome del gruppo e la relativa descrizione (es. nome gruppo: VpnClients) e scegliamo come privilegi “User - VPN - IPsec xauth Dialin” infine premiamo Save per confermare la creazione del gruppo.
- Andiamo alla scheda “Users”
- Premere il tasto a destra “+” e inseriamo il nome dell'utente, la password, un'eventuale descrizione dell'utenza e alla sezione “Group Memberships” selezioniamo il gruppo precedentemente creato (es. VpnClients) e lo spostiamo sul riquadro a destra “Member Of” (non inserire nessuna pre-shared key in quanto è stata inserita precedentemente nella creazione della Phase 1) infine premiamo su “save” per confermare la creazione dell'utente.
Nessun commento:
Posta un commento