Configura il server VPN IKEv2 IPsec con PSK o RSA in pfSense

A cosa serve un server VPN IPsec IKEv2?

Il protocollo IPsec è uno dei protocolli VPN più utilizzati e conosciuti, viene utilizzato sia a livello domestico che a livello aziendale. Normalmente il protocollo IPsec IKEv2 viene utilizzato per connettere diversi siti, configurando Site-to-Site VPN che ci consentirà di interconnettere diversi siti tramite Internet in modo sicuro, poiché tutto il traffico sarà crittografato, autenticato e l'integrità dei dati sarà essere controllato. .

In questo caso, utilizzeremo il protocollo IKEv2, che è un protocollo più sicuro di IKEv1 per la negoziazione della crittografia dei dati tra i diversi client e il server, inoltre creiamo un'autenticazione basata su PSK per autenticare i client. All'interno del protocollo IPsec IKEv2, abbiamo due metodi di autenticazione:

• PSK reciproca: viene stabilita una chiave precondivisa associata a un'identità, una per ogni client VPN che desidera connettersi. Questa chiave sarà sia sul server che su tutti i client VPN.
• RSA reciproca: è necessario creare una CA con certificati server e anche certificati per i client VPN, una volta stabilita l'autenticazione con questi certificati avremo accesso alla VPN senza dover inserire alcuna password.

In questo tutorial vedremo come configurare il protocollo IPsec IKEv2 nel sistema operativo pfSense, in modo che i client VPN possano connettersi alla rete aziendale e iniziare a condividere i dati.

Configurazione protocollo IPsec IKEv2

Questo protocollo IKEv2 IPsec è orientato agli ambienti in cui possiamo creare una VPN da sito a sito e interconnettere sedi, tuttavia, è anche adatto per la configurazione di VPN di accesso remoto, purché i client siano compatibili con questo tipo di VPN. Ad esempio, any Linux il sistema operativo è compatibile, ma anche l'ultima versione di Windows 10 e gli smartphone Samsung, poiché incorporano un client IPsec IKEv2.

Configura i «client mobili»

La prima cosa che dobbiamo fare per configurare il server VPN è andare al " VPN / IPsec / client mobili ", Dobbiamo selezionare le seguenti opzioni:

• Abilita supporto client mobile IPsec
• Virtual Address Pool: fornisci un indirizzo IP virtuale ai client e mettiamo una sottorete che non è in uso, come 192.168.100.0/24.
• DNS Server: fornire un server DNS ai client: qui possiamo mettere DNS locali o DNS pubblici come Google o Cloudflare.

La configurazione finale sarebbe la seguente:

Una volta salvato, clicchiamo su «Salva» e sopra ci metterà un pulsante verde per applicare le modifiche, clicchiamo su applica modifiche e quando si carica di nuovo, dobbiamo fare clic sul pulsante verde di «Crea fase 1».

Con il protocollo IPsec IKEv2, anche l'instaurazione della connessione è divisa in due fasi, la fase 1 effettuerà l'autenticazione e la fase 2 negozierà la crittografia del tunnel con crittografia simmetrica per lo scambio di informazioni.

Per prima cosa dobbiamo configurare la fase 1 con una serie di cifrature compatibili con la maggior parte dei client, in linea di principio, IKEv2 dà meno problemi quando si selezionano cifrature più robuste, perché è un protocollo più recente e non avremo problemi a scegliere cifrature più sicure.

Configurare IPsec Fase 1

In questo menu dovremo configurare il protocollo IPsec per usarlo con IKEv2. È possibile che la configurazione della sicurezza cambi se si utilizzano client VPN per Android, iOS, programmi esterni per Windows, ecc., perché a seconda del software integrato nei dispositivi stessi, supporteranno un livello di sicurezza superiore o inferiore. Useremo una configurazione conservativa, ma abbastanza sicura e compatibile con la maggior parte dei client VPN, ma è necessario tenerne conto, perché potrebbe essere necessario modificare alcuni parametri per abbassare o aumentare la sicurezza.

Le opzioni che dobbiamo configurare perché funzioni correttamente sono le seguenti:

• Informazione generale
  • Versione Key Exchange: IKEv2
  • Protocollo Internet: IPv4 o IPv6
  • Interfaccia: Internet WAN
  • Descrizione: inseriamo una descrizione.
• Proposta di fase 1 (autenticazione)
  • Metodo di autenticazione: PSK reciproca
  • Modalità di negoziazione: aggressiva; selezionando "Principale" è più sicuro, ma i client VPN potrebbero non connettersi. Se la VPN è in grado di connettersi bene con la configurazione che offriamo, puoi passare successivamente a "Principale" per vedere se funziona anche tu.
  • Il mio identificatore: nome distinto: vpn.redeszone.net
• Proposta Fase 1 (crittografia)
  • Algoritmo di crittografia: AES 256 bit, SHA256, DH Gruppo 14 (2048 bit).

pfSense supporta una sicurezza molto più elevata e consente persino di attivare PFS (Perfect Forward Secrecy), il problema è che i client VPN potrebbero non supportarlo. Per questo motivo, non abbiamo utilizzato gli algoritmi più robusti come SHA-512 o un gruppo DH superiore di 4096 bit e abbiamo persino fatto uso di EC. Per configurarlo con la massima sicurezza, è necessario rivedere i log di connessione, dove vedremo i diversi set di crittografia che i diversi client IPsec che si collegheranno per supportare supportano. In questo modo, e sapendo quali modelli di dispositivo e sistema operativo verranno collegati, possiamo scegliere la configurazione più sicura e compatibile con tutti loro.

Il resto delle opzioni di configurazione possono essere lasciate come vengono fornite per impostazione predefinita.

Dopo aver configurato la fase 1 di IPsec IKEv2, configureremo la fase 2.

Configurare IPsec Fase 2

In questo menu, la prima cosa che dovremo scegliere è la modalità operativa, abbiamo scelto «Tunnel IPv4». Inoltre, dovremo anche inserire il «Local Network NetPoulSafe»A cui vogliamo che i client VPN abbiano accesso, abbiamo diverse opzioni, la più comune è scegliere una sottorete LAN o una sottorete specifica che definiamo. Nell'opzione «NAT» lo lasceremo su «nessuno».

In questo menu di configurazione dobbiamo inserire quanto segue:

• Informazione generale
  • Modalità: tunnel IPv4.
  • Rete locale: sottorete LAN.
  • Descrizione: una descrizione che vogliamo.
• Proposta di fase 2 (SA / Key Exchange):
  • Protocollo: ESP.
  • Algoritmo di crittografia: AES auto e AES-128-GCM auto.

• Proposta di fase 2 (SA / Key Exchange)
  • Algoritmi di hash: selezioniamo SHA-1 e SHA-256
  • Gruppo chiavi PFS: disattivato, non supportato dai client.

Il resto delle opzioni possiamo mettere quelle predefinite e fare clic su Salva per salvare tutte le modifiche.

Una volta terminato, potremo vedere il riepilogo della configurazione effettuata nella sezione “IPsec / Tunnel”.

Ora dovremo creare un nome utente e una password per accedere:

• Identificatore: redeszone@redeszone.net
• Tipo Secrey: PSK
• Chiave precondivisa: 12345678

Ora che abbiamo configurato il server VPN IKEv2 IPsec, dobbiamo aprire le porte sulla WAN firewall.

Apri le porte nel firewall pfSense

In questa VPN è anche necessario aprire le porte su Internet WAN, dovremo aprire la porta 500 UDP e la porta 4500 UDP. Successivamente, hai tutti i dettagli per aprire entrambe le porte.

Dovremo creare una regola nella sezione "Firewall / Regole / WAN" con le seguenti informazioni:

• Azione: passaggio
• Interfaccia: WAN
• Famiglia di indirizzi: IPv4
• Protocollo: UDP
• Fonte: qualsiasi
• Destinazione: indirizzo WAN sulla porta 500

La seconda regola sarebbe:

• Azione: passaggio
• Interfaccia: WAN
• Famiglia di indirizzi: IPv4
• Protocollo: UDP
• Fonte: qualsiasi
• Destinazione: indirizzo WAN sulla porta 4500

Come puoi vedere, abbiamo le due regole da accettare per consentire il traffico.

Salviamo e applichiamo le modifiche, assicurandoci che questa regola venga seguita. Ora andiamo alla sezione "IPsec" dove faremo un "consenti tutto". Quindi quando ci connettiamo, se vogliamo limitare l'accesso, possiamo farlo inserendo qui le regole corrispondenti.

• Azione: passaggio
• Interfaccia: IPsec
• Famiglia di indirizzi: IPv4
• Protocollo: qualsiasi
• Fonte: qualsiasi
• Destinazione: qualsiasi

Ora che abbiamo configurato il server VPN IKEv2 IPsec e lo abbiamo anche aperto nel firewall, eseguiremo un test di connessione con Android.

Test di connessione

Nel nostro caso, abbiamo stabilito una connessione VPN con uno smartphone Android, in particolare il Samsung S8 Plus che incorpora un client PSK IKEv2 IPsec. La configurazione che dobbiamo effettuare è la seguente (non possiamo mettere la cattura perché il sistema operativo la rileva come contenuto privato).

• Nome: diamo un nome alla VPN
• Tipo: IPsec IKEv2 PSK
• Server: IP o dominio DDNS del tuo server VPN
• Identificatore IPsec: redeszone@redeszone.net
• Chiave condivisa IPsec iniziale: 12345678; la chiave che abbiamo inserito nella sezione "Chiave pre-condivisa".

Facciamo clic su Salva e ci colleghiamo. Una volta fatto, ci collegherà senza problemi al server VPN e avremo accesso all'amministrazione di pfSense ea qualsiasi rete.

Raccomandazioni e consigli

Sebbene IPsec IKEv2 funzioni meglio di altri tipi di VPN basate su IPsec in termini di compatibilità, dobbiamo prestare particolare attenzione agli algoritmi di crittografia che inseriamo nel server VPN, perché potrebbe impedire ad alcuni client IPsec di connettersi. Questo è abbastanza comune con il protocollo IPsec, perché dipendiamo dal software client IPsec trasportato dai dispositivi e dagli algoritmi supportati. Logicamente, per motivi di sicurezza è sempre consigliabile scegliere quelli più sicuri, ma potrebbe impedirci di connettere i client VPN.

Si consiglia di vedere i log delle diverse connessioni IPsec, e controllare quale "proposta" i client IPsec inviano al server per la negoziazione IKE, in questo modo possiamo forzare il server ad avere accesso solo ai migliori algoritmi crittografici, e consentire di utilizzare quelli che non sono sicuri.

Con questo stesso tutorial, sarai in grado di configurare IPsec IKEv2 RSA, modificando "Mutual PSK" con "Mutual RSA" e configurando i corrispondenti certificati server e client. Ti mostreremo presto come farlo. Ciò comporta anche ulteriori complicazioni, perché il client VPN potrebbe non essere in grado di leggere il certificato RSA o ECDSA configurato, a causa dell'utilizzo di algoritmi troppo sicuri.