云服务器搭建VPN系列教程

Part1. 搭建pfsense服务端

随着通信技术的快速发展,各企业内部的各个业务系统基本都已经数字化,业务流程已经全部网络化了,企业基本要求能够7*24小时业务在线,员工在线,所以大部分企业都租用电信运营商的专线网络,采购硬件防火墙或者VPN设备,搭建自己的VPN网络,这样保证全员在线的同时也保证了业务系统的安全性。
目前企业主要采用的VPN基本都是硬件VPN,协议采用SSL VPN,L2TP VPN, IPsec VPN等,但是这些VPN设备昂贵,客户端兼容性较差,需要不断去更新换代设备。如果直接租用第三方的VPN又存在安全性的疑虑。
本文就介绍如何用一个成熟的开源免费防火墙软件pfSense和搭建基于IPsec IKEv2协议的VPN网络,让员工无论是在国内还是身处海外都可以借助互联网通过VPN安全访问服务器端的资源和网站。

准备材料:云服务器,pfSense软件,StrongSwan APK安装包(安卓手机),Windows10(拨号连接),IOS/Mac OS(原生支持IPsec VPN)

1、登录控制台,购买包含pfsense镜像的云服务器,生成服务器后我们可以直接通过云服务器的IP访问pfsense的控制台。

2、通过公网地址进入pfSense的登陆页面:输入默认的用户名:admin,密码:pfsense

3、配置IPsec VPN将要使用的证书:进入主控制面板:选择system->Cert.Manager

选择"CAs",然后选择右下角"Add"

配置证书颁发机构,信息填写完毕后,保存。

制作证书:选择"Certificates",然后点击右下角绿色按钮"Add";

填写证书相关信息:
选择新创建"Create an internal Certificate",
描述名字根据自己情况可以自己命名,实例写"XRC VPN 2020"。
颁发机构,选择刚才在”CAs”里面创建的那个颁发机构,这个不要选错。
通用名也是自己命名,实例写:www.xrcloud.com。
最重要的是证书类型,选择"Server Certificate",这个不能选错。
可用名选择IP Address,后面填写你这台云服务器对应的公网地址。

保存后,我们就可以看到我们创建的证书了,可以导出证书为.Crt和.P12的格式。

4. 创建IPSec VPN:点击"VPN",选择"IPsec"。

选择"Mobile Clients"

选中"Enable IPsec Mobile Client Support".
选择"Local Database"。
选择"System"
选中"Provide a Virtual IP Address to clients",然后根据自己习惯配置内网地址,实例配置"172.25.53.0",后面掩码选择"24"。
然后配置DNS,根据云服务商提供的DNS填写,或者配置公用的DNS,比如1.2.4.8,或者8.8.8.8.最后保存,这样Mobile部分配置完毕,下一步进入IPSec Tunnel的配置了。

配置"IPSec Tunnels",选择"IKEv2",选择IPv4或者"Both"
最重要的是认证方式选择"EAP-MSchapv2"
我的标识,选择"IP Address",后面输入云服务器的公网地址,和之前证书里面的公网地址保持一致。
报文加密方式选择"3DES","SHA1","2(1024bit)"。
NAT选择打开"FORCE".
MOBIKE启用"ENABLE"
保存配置。

然后开始进入配置"P2"阶段。
选择"Show Phase 2 Entries",点击右下角绿色按钮"Add P2",进入配置P2.
选择"IPv4",Local Network 选择"Network",地址配置"0.0.0.0",掩码配置为"0",协议选择"ESP",勾选"3DES",勾选"SHA1",PFS选择"2(1024bit)"这样P2阶段就配置完毕,最后一步配置用户。

配置用户进入"Pre Shared Keys",选择右下角绿色按钮 "Add"
配置Identifier,这个地方配置的将是你IPsec IKEv2的用户名,实例配置为abcd@xrcloud.com,加密方式选择"EAP",共享密钥输入密级较高的数字字母组合,这里配置为" dfeijfiejif8!829",这是客户端的密码。选择保存这样服务端的配置就完成了。

至此VPN配置完成,下面我们要配置防火墙的出入站规则.
我们选择Firewalls->Rules->IPsec,然后我们选择"ADD",弹出一个配置页面。
我们选择
Action选项配置"Pass";
Interface选项配置为"IPsec";
Address Family选项配置为"IPv4+IPv6";
Source和Destination选项均配置为"Any"
最后选择"Save"
这样就完成了pfsense关于IPsec规则的配置.

最后我们还需要对防火墙的WAN端口规则进行配置,对IPsec服务所使用端口进行放行。
我们选择Firewalls->Rules->WAN,然后我们选择"ADD",弹出一个配置页面。
Action选项配置"Pass";
Interface选项配置为"IPsec";
Address Family选项配置为"IPv4+IPv6";
Protocol 配置为"TCP/UDP";
Source配置为"Any";
Destination配置为"any"
Destination Port Range 选择"IPsec NAT-T(4500)"
最后"Save"
这样就放行了Port 4500

接下来我们对Port 500配置放行。同样Firewalls->Rules->WAN,然后我们选择"ADD",弹出一个配置页面。
Action选项配置"Pass";
Interface选项配置为"IPsec";
Address Family选项配置为"IPv4+IPv6";
Protocol 配置为"TCP/UDP";
Source配置为"Any";
Destination配置为"any"
Destination Port Range 选择"ISAKMP(500)"
最后"Save"
这样就放行了Port 500

这样我们完成了整个IPsec IKEv2 VPN的服务端配置;
接下来我们将介绍客户端的配置,他们包括:
iPhone/Mac OS客户端:敬请期待更新!
StrongSwan安卓客户端:敬请期待更新!
配置Windows客户端:敬请期待更新!

No comments

Comment

Your email address will not be disclosed. The required fields are marked with*.

Related recommendation

No related articles!

微信扫一扫,分享到朋友圈

云服务器搭建VPN系列教程