PfSense - удалённый доступ к офисной сети через VPN (IPSec/L2TP)

Оцените материал
(14 голосов)

Иногда сотрудникам компаний требуется возможность воспользоваться внутренними локальными ресурсами компании (базы, файловые хранилища и т.д.) в дороге (с мобильных рабочих мест) или из дома (с домашних компьютеров).

Для удалённого доступа к ресурсам офисной сети компании очень хорошим решением является создание VPN соединения. PfSense для этих задач достаточно удобен и функционален.

Исходные данные:

рабочая сеть (офис): 192.168.1.0/24

интенет шлюз (PfSense 2.4.3): 192.168.1.102(LAN), 192.168.4.232(WAN)

Настройка L2TP

В верхнем меню выбираем VPN - L2TP

pfsense L2TP configuration

после включения L2TP и сохранения настроек, переходим на вкладку Users и добавляем пользователя

pfsense l2tp users

Настройка IPsec

В верхнем меню выбираем VPN - IPsec - Mobile Clients

pfsense ipsec mobile clients

после сохранения и применения изменений нажимаем кнопку + Create Phase 1

pfsense ipsec mobile clients 2

создаём первую фазу

pfsense ipsec mobile clients edit phase1 1

pfsense ipsec mobile clients edit phase1 2

после сохранения и применения изменений раскрываем список второй фазы

pfsense ipsec tunnels

создаём вторую фазу

pfsense ipsec mobile clients edit phase2

сохраняем затем применяем изменения и переходим на вкладку Pre-Shared Keys и добавляем ключ с идентификатором any (этот ключ будет использоваться для любого пользователя)

pfsense ipsec pre shared key

Настройка правил сетевой защиты

переходим в раздел Firewall - Rules и создаём следующие правила:

IPSEC

pfsense Firewall Rules ipsec

L2TP VPN

pfsense firewall rules l2tp vpn

WAN

pfsense firewall rules wan

Floating

pfsense firewall rules floating

pfsense firewall rules floating 2

Настройка клиента WINDOWS 7

Центр управления сетями и общим доступом - Настройка нового подключения или сети - Подключение к рабочему месту - Использовать моё подключение к интернету

windows7 vpn ip

windows7 vpn user

После сбоя подключения выбрать вариант Всё равно создать это подключение

windows7 vpn error 800

Перейти в раздел Сетевые подключения открыть свойства созданого VPN-подключения

windows7 vpn connection security

Чтобы удалённый компьютер не использовал VPN канал для доступа в интернет убираем галку Использовать основной шлюз в удалённой сети

windows7 vpn connection network

На этом настройка закончена.

Для проверки подключаемся по созданому VPN-подключению и проверяем ping 192.168.1.102 (или любое другое сетевое устройство в офисной сети).

Ошибка 788 и 789

Запустите редактор реестра и перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters. Далее для параметра AllowL2TPWeakCrypto установите значение 1, а также создайте DWORD-параметр ProhibitIpSec и для него также установите значение 1 . После этого нужо перезагрузить компьютер. Данное решение универсальное и подходит, как для Windows 7, так и для Windows 10.

Для написания использовались следующие материалы:

https://www.xelent.ru/blog/nastroyka-vpn-pfsense/

https://knasys.ru/4-настройка-l2tp-в-pfsense/

Добавить комментарий


Комментарии  
alexey
0 # alexey 18.03.2020 08:01
Доброго дня! настроил все как в инструкции, возник вопрос, я могу одновременно подключаться по одной учетке с разных устройств и сетей, как поправить этот момент? типо я одновременно подключился с ПК и с телефона по одной и той же учетке
Ответить | Ответить с цитатой | Цитировать
pon
0 # pon 18.03.2020 11:56
Для каждого пользователя создаётся только одно соединение, поэтому одновременная работа с двух устройств под одной учётной записью не возможна.
Создавайте отдельного пользователя для телефона.
Ответить | Ответить с цитатой | Цитировать
itsecforu
0 # itsecforu 29.03.2019 15:27
Приветствую! а что за адрес 100.3 ? надо сделать доп. виртуальный или как? или просто прописать несуществующий физически?
Ответить | Ответить с цитатой | Цитировать
pon
+1 # pon 29.03.2019 15:39
Уточните пожалуйста, где именно в статье Вы нашли такие параметры сети?
Ответить | Ответить с цитатой | Цитировать
itsecforu
0 # itsecforu 01.04.2019 15:47
Первый скриншот , значение server address
Ответить | Ответить с цитатой | Цитировать
pon
+1 # pon 01.04.2019 17:16
Вы опечатались в первом посте (адрес 192.168.1.103).
Этот адрес назначается из существующей домашней сети - исключительно для работы данной службы L2TP
Ответить | Ответить с цитатой | Цитировать
Яндекс.Метрика

По всем вопросам, связанным с сайтом просьба обращаться на e-mail: pontin@mail.ru