PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Mitglied: aqui

back-to-topAllgemeine Einleitung


Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von mobilen Benutzern oder Homeoffice Nutzern mit Windows, Mac OS, Linux sowie Smartphones und Pads unter Apple iOS und Android an die Firewall pfSense (Netgate). Deren Fork OPNsense supportet (Stand Okt. 20) derzeit kein L2TP VPN so das OPNsense Nutzern derzeit nur die o.a. reine IPsec Variante bleibt. pfSense Nutzer haben die Wahl zw. IPsec und L2TP.

Auch mit L2TP Protokoll werden immer die bordeigenen VPN Clients verwendet. Eine Installation von extra Software für den VPN Zugriff ist in dieser L2TP Variante ebenso wie bei der reinen IPsec Variante NICHT erforderlich !
Entgegen der reinen IPsec IKEv2 Lösung oben, nutzt diese Variante das das L2TP Protokol. Durch die Verwendung von IKEv1 im Tunnelprotokoll bei L2TP statt IKEv2 bei IPsec gerät die Einrichtung durch das Fehlen der Zertifikats Prüfung etwas leichter. Sie hat aber die folgenden Nachteile:
  • Keine eindeutige und sichere VPN Server Identifizierung durch den Client mit einem Zertifikat was Einschränkung in der Sicherheit bedeutet.
  • Kein oder nur Client abhängiges Split Tunneling. L2TP supportet Client bedingt rein nur ein Gateway Redirect. Das bewirkt das sämtlicher Client Traffic durch den Tunnel muss. Das ist einerseits bequem, da es so auch problemlos den Zugriff auf weitere IP Netze hinter der Firewall supportet und oft ist die vollständige Verschlüsselung von Client Traffic z.B. an öffentlichen WLANs wie Hotspots usw. gewünscht. Andererseits stellt es dadurch eine Einschränkung der Tunnel Performance dar, da auch nicht relevanter Internet Traffic generell immer durch den Tunnel muss und diesen belastet und langsam macht.
Anwender müssen hier also entscheiden ob das eine oder andere Verfahren für sie günstiger und vor allem sicherer ist. Beide bieten in Summe eine problemlose Client Anbindung per VPN mit allen bordeigenen VPN Clients an die Firewall.
Los gehts....

back-to-toppfSense Grundkonfiguration für L2TP


Zuerst aktiviert man im Menüpunkt VPN --> L2TP den L2TP Server mit folgenden Einstellungen:
  • Haken aktiviert den L2TP Server
  • Interface = WAN (WAN IP Adresse der Firewall)
  • Server Address = Hier konfiguriert man eine VPN Server IP Adresse für das interne VPN Netzwerk. ACHTUNG: Dieses Netzwerk darf NICHT im Bereich der bestehenden Netzwerk IP Adressen der pfSense liegen ! Zudem sollte es niemals im Bereich verwendeter Standard IP Adressen wie z.B. FritzBox (192.168.178.0) liegen da das zu einer Überschneidung und zur Fehlfunktion führt. Ideal sind hier etwas exotische IP Netze. Dieser Thread gibt Tips_zum_richtigen_VPN_Adressdesign ! Es ist sehr wichtig hier keine 192.168er Allerweltsnetze zu definieren was oft zu Fehlfunktionen und Scheitern der VPNs führt !!
  • Remote Adresse Range = Adressbereich der VPN Clients. Dieses Netzwerk definiert den Client IP Bereich. Es darf sich NICHT mit der darüber liegenden Server IP überschneiden ! Das Beispiel hier nutzt das Subnetz 10.77.77.192 mit einer 26 Bit Maske (255.255.255.192) was damit insgesamt 62 VPN Clients erlaubt. Eine Maske von z.B. 25 Bit (255.255.255.128, Netzwerk: 10.77.77.128) erlaubt insgesamt 126 User usw.
  • Number of Users = Hier gibt man die maximale Anzahl der zu erwartenden VPN User an. Aufpassen: Die Anzahl muss zum obigen Bereich (Netzmaske) der VPN Adressen passen und immer kleiner sein als die maximale, durch die Netzmaske bedingte Anzahl !
  • Authentication Type = MS CHAPv2
  • L2TP DNS Server = (Optional) Hier definiert man z.B. interne DNS Server (Windows) die man dem Client bei VPN Einwahl automatisch übergeben will. Lässt man es weg wird normal wie auch im LAN die pfSense als DNS IP vergeben.
  • Radius = (Optional) Wer einen Radius Server zur externen User Authentisierung verwendet aktiviert ihn hier. Dann entfällt der Eintrag der lokalen Userdaten.
l2tp

back-to-topL2TP Benutzernamen einrichten


Im VPN -> L2TP User Menü konfiguriert man nun die Benutzernamen und Passwort zur VPN Einwahl.
WICHTIG: Unter IP Address kann man optional jedem Benutzer eine spezifische IP zuweisen lassen. Das ist wichtig wenn man später bestimmte Benutzer mit Zugriffen auf einzelne Netze oder Rechner oder auch Anwendungsdienste über die Firewall Regeln steuern will !
l2tpuser

back-to-topL2TP Tunnelprotokoll konfigurieren


Der L2TP Tunnel nutzt IPsec ESP mit IKEv1 als Verschlüsselung was entsprechend im Menüpunkt VPN -> IPsec, Mobile Clients eingerichtet werden muss.
  • User Authentication = Local Database
Der Rest bleibt LEER ! Optional kann bei Bedarf unter "Login Banner" eine Begrüßungs Message bei VPN Einwahl mitgesendet werden.
mobclient
ACHTUNG:
Die folgende IPsec Phase 1 muss aus diesem Mobile Client Menü heraus eingerichtet werden !! Von dort also unbedingt rechts auf "Create Phase 1" klicken !
mobp1

back-to-topEinrichtung IPsec Phase 1


  • Key Exchange Version = IKEv1
  • Authentication method = Mutual PSK
  • Negotiation Mode = Main
  • My Identifier = My IP address
  • Encryption algorithm = AES 256
  • Hash algorithm = SHA1
  • DH key group = 14 (2048 bit) (Bei Fehlfunktion im VPN Aufbau mit älteren Smartphones und einigen Android Modellen DH key group = 2 (1024 bit) verwenden !)
p1-1
p1-2

back-to-topEinrichtung IPsec Phase 2


  • Mode = Transport
  • Protocol = ESP
  • Encryption algorithms = nur AES 128
  • Hash algorithms = nur SHA1
  • PFS Key Group = off (muss auf AUS sein !)
p2-1
p2-2

back-to-topSetzen des globalen Pre Shared Key (vorinstallierter Schlüssel)


Im Menü VPN -> IPsec, Pre-Shared Keys
  • Identifier = MUSS hier allusers sein ! Der String allusers ist eine Wildcard für den vorinstallierten L2TP Schlüssel. Er darf nicht verändert werden.
l2tppsk

Hat man alles richtig konfiguriert sieht die Übersicht des IPsec Tunnel Protokolls so aus:
ipsecuebersicht

back-to-topFirewall Regeln richtig einstellen


Es sind 3 Regelwerke einzustellen damit der VPN Zugriff klappt !
Einmal den Zugriff von L2TP auf die WAN IP Adresse der Firewall:
FW Regel WAN Port:
Hier definiert man die L2TP Ports idealerweise, der Übersicht halber, vorher in einem Firewall Port Alias Eintrag mit UDP 500, 4500 und 1701. Zusätzlich ist das ESP Protokoll freizugeben.
l2tpports
wanregel
(Anmerkung: UDP 1701 ist mit der IPsec Verschlüsselung nicht zwingend nötig und muss nur sein wenn man auch natives L2TP nutzt. Er kann also auch komplett entfallen. Es schadet aber auch nicht ihn zu belassen, da so auch natives L2TP in der FW Regel mitberücksichtigt wird.)

FW Regel L2TP Tunnel Port:
Hier nutzt man meist die bekannte "Scheunentor" Regel. Bei Bedarf kann (und sollte) sie später aber strikter eingestellt werden.
l2tpregelneu
FW Regel IPsec Tunnel Port:
ipsecrule

back-to-topL2TP Client Setup für alle Plattformen


back-to-topWindows Client Setup

Den Windows Client legt man mit dem bordeigenen Windows Setup an:
l2tpvpnwin
WICHTIG: Im Windows L2TP Client müssen zusätzlich noch ein paar spezifische Einstellungen vorgenommen werden !:
l2tpvpnwin2

back-to-topApple Mac OS Client Setup


Analog funktioniert die Einrichtung des Apple MacOS L2TP Clients:
maceinr
macuebers
Authentifizierungseinstellungen:
macauth

back-to-topApple iPhone/iPad Setup


Der Apple iOS Client hat als einziger L2TP Client die Option "Split Tunneling" zu machen oder alles in den Tunnel zu senden:

ios-l2tp

back-to-topAndroid Client Setup


android

Achtung:
Einige ältere und einfache Android Smartphones (und vereinzelt alte Apple iPhones) supporten keine DH Key Gruppe 14 (2048 Bit) und dann scheitert der L2TP Verbindungsversuch.
In diesem Falle muss man für den Support älterer Geräte oben in den IPsec Settings auf DH key group = 2 (1024 bit) umstellen !

back-to-topLinux Client Setup (CLI)


Eine detailierte Anleitung zur Anbindung eines Linux Clients (Server etc.) an ein L2TP VPN findet man HIER.
Die GUI Variante über die grafische Oberfläche hier.


back-to-topWeiterführende Links


NetGate L2TP/IPsec Handbuch:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/l2tp-ipsec.html

pfSense/OPNsense Zertifikats gesichertes IKEv2 VPN für mobile Benutzer mit bordeigener VPN Software:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

Mikrotik L2TP/IPsec VPN für alle onboard Clients und Smartphones:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...

Mikrotik als SSTP VPN Server für Windows Clients:
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/

Windows 10: Schneller VPN Aufbau per einfachem Mausklick:
https://www.heise.de/ct/ausgabe/2017-19-VPN-und-Remote-Desktop-Verbindun ...

Automatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates:
https://www.administrator.de/content/detail.php?id=378502&token=736

FritzBox 7412 als preiswertes VDSL "nur" Modem für pfSense/OPNsense:
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254

pfSense auf ESXi 6.7:
https://administrator.de/content/detail.php?id=639239&nid=1030243#co ...
https://administrator.de/forum/sophos-software-appliance-utm-vlan-cisco- ...

Seriellen Terminal Anschluss richtig handhaben:
https://administrator.de/content/detail.php?id=620563&token=523#comm ...

OpenVPN auf der pfSense einrichten:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...

AdGuard DNS Filter auf pfSense/OPNsense installieren:
https://broadbandforum.co/t/205884/

Content-Key: 585307

Url: https://administrator.de/contentid/585307

Ausgedruckt am: 24.07.2021 um 15:07 Uhr

Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 16 StundenFrageBenchmarks41 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...

question
Abschlussprojekt - FiSi gelöst VerbranntesHuhnVor 1 TagFrageWeiterbildung6 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem Abschlussprojekt (max. 35 Stunden) - Abgabe des Antrags - Stichtag 02.08.2021. Ich weiß jedoch nicht ...