Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

06.07.2020, aktualisiert 13.07.2020, 1438 Aufrufe, 8 Danke


Allgemeine Einleitung

Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von mobilen Benutzern mit Windows, Mac OS, Linux sowie Smartphones und Pads unter Apple iOS und Android an die Firewall pfSense (Netgate). Deren Fork OPNsense supportet (Stand heute) kein L2TP VPN so das OPNsense Nutzern derzeit nur die o.a. reine IPsec Variante bleibt.
Auch hier werden immer die bordeigenen VPN Clients verwendet. Eine Installation von extra Software für den VPN Zugriff ist in dieser L2TP / IPsec Variante ebenso wie bei der o.a. Variante NICHT erforderlich !
Entgegen der reinen IPsec IKEv2 Lösung oben, nutzt diese Variante das das L2TP Protokol. Durch die Verwendung von IKEv1 im Tunnelprotokoll statt IKEv2 gerät die Einrichtung durch das Fehlen der Zertifikats Prüfung etwas leichter. Sie hat aber die folgenden Nachteile:
  • Keine eindeutige und sichere VPN Server Identifizierung durch den Client mit einem Zertifikat was Einschränkung in der Sicherheit bedeutet.
  • Kein oder nur Client abhängiges Split Tunneling. L2TP supportet Client bedingt rein nur ein Gateway Redirect. Das bewirkt das sämtlicher Client Traffic durch den Tunnel muss. Das ist einerseits bequem, da es so auch problemlos den Zugriff auf weitere IP Netze an der Firewall supportet und oft ist die vollständige Verschlüsselung von Client Traffic z.B. an öffentlichen WLANs wie Hotspots usw. gewünscht. Andererseits stellt es dadurch eine Einschränkung der Tunnel Performance dar, da auch nicht relevanter Internet Traffic immer durch den Tunnel muss und diesen belastet und langsam macht.
Anwender müssen hier also entscheiden ob das eine oder andere Verfahren für sie günstiger und vor allem sicherer ist. Beide bieten in Summe eine problemlose Client Anbindung per VPN mit allen bordeigenen VPN Clients an die Firewall.
Los gehts....

pfSense Grundkonfiguration für L2TP:

Zuerst aktiviert man im Menüpunkt VPN --> L2TP den L2TP Server mit folgenden Einstellungen:
  • Haken aktiviert den L2TP Server
  • Interface = WAN (WAN IP Adresse der Firewall)
  • Server Address = Hier konfiguriert man eine VPN Server IP Adresse für das interne VPN Netzwerk. ACHTUNG: Dieses Netzwerk darf NICHT im Bereich der bestehenden Netzwerk IP Adressen der pfSense liegen ! Zudem sollte es niemals im Bereich verwendeter Standard IP Adressen wie z.B. FritzBox (192.168.178.0) liegen da das zu einer Überschneidung und zur Fehlfunktion führt. Ideal sind hier etwas exotische IP Netze. Dieser Thread gibt Tips_zum_richtigen_VPN_Adressdesign ! Es ist sehr wichtig hier keine 192.168er Allerweltsnetze zu definieren was oft zu Fehlfunktionen und Scheitern der VPNs führt !!
  • Remote Adresse Range = Adressbereich der VPN Clients. Dieses Netzwerk definiert den Client IP Bereich. Es darf sich NICHT mit der darüber liegenden Server IP überschneiden ! Das Beispiel hier nutzt das Subnetz 10.77.77.192 mit einer 26 Bit Maske (255.255.255.192) was damit insgesamt 62 VPN Clients erlaubt. Eine Maske von z.B. 25 Bit (255.255.255.128, Netzwerk: 10.77.77.128) erlaubt insgesamt 126 User usw.
  • Number of Users = Hier gibt man die maximale Anzahl der zu erwartenden VPN User an. Aufpassen: Die Anzahl muss zum obigen Bereich (Netzmaske) der VPN Adressen passen und immer kleiner sein als die maximale, durch die Netzmaske bedingte Anzahl !
  • Authentication Type = MS CHAPv2
  • L2TP DNS Server = (Optional) Hier definiert man z.B. interne DNS Server (Windows) die man dem Client bei VPN Einwahl automatisch übergeben will. Lässt man es weg wird normal wie auch im LAN die pfSense als DNS IP vergeben.
  • Radius = (Optional) Wer einen Radius Server zur externen User Authentisierung verwendet aktiviert ihn hier. Dann entfällt der Eintrag der lokalen Userdaten.
l2tp - Klicke auf das Bild, um es zu vergrößern

L2TP Benutzernamen einrichten:

Im VPN -> L2TP User Menü konfiguriert man nun die Benutzernamen und Passwort zur VPN Einwahl.
WICHTIG: Unter IP Address kann man optional jedem Benutzer eine spezifische IP zuweisen lassen. Das ist wichtig wenn man später bestimmte Benutzer mit Zugriffen auf einzelnen Netze oder Rechner oder auch Dienste über Firewall Regeln mit fester Benutzer Adresse steuern will !
l2tpuser - Klicke auf das Bild, um es zu vergrößern

L2TP Tunnelprotokoll konfigurieren:

Der L2TP Tunnel nutzt IPsec ESP mit IKEv1 als Verschlüsselung was entsprechend im Menüpunkt VPN -> IPsec, Mobile Clients eingerichtet werden muss.
  • User Authentication = Local Database
Der Rest bleibt LEER ! Optional kann bei Bedarf unter "Login Banner" eine Begrüßungs Message bei VPN Einwahl mitgesendet werden.
mobclient - Klicke auf das Bild, um es zu vergrößern
ACHTUNG:
Die folgende IPsec Phase 1 muss aus diesem Mobile Client Menü heraus eingerichtet werden !! Von dort also unbedingt rechts auf "Create Phase 1" klicken !
mobp1 - Klicke auf das Bild, um es zu vergrößern

Einrichtung IPsec Phase 1:

  • Key Exchange Version = IKEv1
  • Authentication method = Mutual PSK
  • Negotiation Mode = Main
  • My Identifier = My IP address
  • Encryption algorithm = AES 256
  • Hash algorithm = SHA1
  • DH key group = 14 (2048 bit) (Bei Fehlfunktion im VPN Aufbau mit älteren Smartphones und einigen Android Modellen DH key group = 2 (1024 bit) verwenden !)
p1-1 - Klicke auf das Bild, um es zu vergrößern
p1-2 - Klicke auf das Bild, um es zu vergrößern

Einrichtung IPsec Phase 2:

  • Mode = Transport
  • Protocol = ESP
  • Encryption algorithms = nur AES 128
  • Hash algorithms = nur SHA1
  • PFS Key Group = off (muss auf AUS sein !)
p2-1 - Klicke auf das Bild, um es zu vergrößern
p2-2 - Klicke auf das Bild, um es zu vergrößern

Setzen des globalen Pre Shared Key (vorinstallierter Schlüssel):

Im Menü VPN -> IPsec, Pre-Shared Keys
  • Identifier = MUSS hier allusers sein ! Der String allusers ist eine Wildcard für den vorinstallierten L2TP Schlüssel. Er darf nicht verändert werden.
l2tppsk - Klicke auf das Bild, um es zu vergrößern

Hat man alles richtig konfiguriert sieht die Übersicht des IPsec Tunnel Protokolls so aus:
ipsecuebersicht - Klicke auf das Bild, um es zu vergrößern

Firewall Regeln richtig einstellen:

Es sind 3 Regelwerke einzustellen damit der VPN Zugriff klappt !
Einmal den Zugriff von L2TP auf die WAN IP Adresse der Firewall:
FW Regel WAN Port:
Hier definiert man die L2TP Ports idealerweise, der Übersicht halber, vorher in einem Firewall Port Alias Eintrag mit UDP 500, 4500 und 1701. Zusätzlich ist das ESP Protokoll freizugeben.
l2tpports - Klicke auf das Bild, um es zu vergrößern
wanregel - Klicke auf das Bild, um es zu vergrößern
(Anmerkung: UDP 1701 ist mit der IPsec Verschlüsselung nicht zwingend nötig und muss nur sein wenn man auch natives L2TP nutzt. Er kann also komplett entfallen. Es schadet aber auch nicht es zu belassen, da so auch natives L2TP mit berücksichtigt wird in der FW Regel.)

FW Regel L2TP Tunnel Port:
Hier nutzt man meist die bekannte "Scheunentor" Regel. Bei Bedarf kann sie auch strikter eingestellt werden.
l2tpregelneu - Klicke auf das Bild, um es zu vergrößern
FW Regel IPsec Tunnel Port:
ipsecrule - Klicke auf das Bild, um es zu vergrößern

Windows L2TP Client Setup:

Den Windows Client legt man mit dem bordeigenen Windows Setup an:
l2tpvpnwin - Klicke auf das Bild, um es zu vergrößern
WICHTIG: Im Windows L2TP Client müssen zusätzlich noch ein paar spezifische Einstellungen vorgenommen werden !:
l2tpvpnwin2 - Klicke auf das Bild, um es zu vergrößern

Apple Mac OS L2TP Client Setup:

Analog funktioniert die Einrichtung des Apple MacOS L2TP Clients:
maceinr - Klicke auf das Bild, um es zu vergrößern
macuebers - Klicke auf das Bild, um es zu vergrößern
Authentifizierungseinstellungen:
macauth - Klicke auf das Bild, um es zu vergrößern

Apple iPhone/iPad Setup:

Der Apple iOS Client hat als einziger L2TP Client die Option "Split Tunneling" zu machen oder alles in den Tunnel zu senden:

ios-l2tp - Klicke auf das Bild, um es zu vergrößern

Android Setup:

android - Klicke auf das Bild, um es zu vergrößern

Achtung:
Einige ältere und einfache Android Smartphones (und vereinzelt alte Apple iPhones) supporten keine DH Key Gruppe 14 (2048 Bit) und dann scheitert der L2TP Verbindungsversuch.
In diesem Falle muss man oben in den IPsec Settings auf DH key group = 2 (1024 bit) umstellen !


Weiterführende Links:

pfSense/OPNsense Zertifikats gesichertes IKEv2 VPN für mobile Benutzer mit bordeigener VPN Software:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

L2TP/IPsec VPN für alle onboard Clients auf Mikrotik Router:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...

NetGate L2TP/IPsec Handbuch:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/l2tp-ipsec.html

OpenVPN auf der pfSense einrichten:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Ähnliche Inhalte
LAN, WAN, Wireless

Schwachstelle im WPA2 Protokoll veröffentlicht

Information von colinardoLAN, WAN, Wireless10 Kommentare

An alle Wireless User da draußen. So ziemlich jeder AP ist von der Schwachstelle betroffen da die Schwachstelle das ...

LAN, WAN, Wireless

IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Anleitung von aquiLAN, WAN, Wireless1 Kommentar

1.) Allgemeine Einleitung: Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Anleitung von aquiNetzwerke89 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Router & Routing

Routed IPsec in pfSense 2.4.4

Tipp von C.R.S.Router & Routing1 Kommentar

Sehr schöne Möglichkeit in pfSense, die ich bislang ganz übersehen hatte: Hat das schon jemand im Einsatz, z.B. für ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 1 TagErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 1 TagWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 4 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 6 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1027 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Off Topic
Arbeitsangebot
gelöst Frage von CoffeeJunkieOff Topic26 Kommentare

Da meine Firma massiv Stellen abbaut, bin ich auf der Suche nach einem neuen Job Basis Fakten: Abschuß Fisi ...

Exchange Server
Exchange Emailadresse deaktivieren oder löschen
Frage von imebroExchange Server14 Kommentare

Hallo, wir arbeiten mit einem Windows Server 2016 und Exchange 2016. Ein Mitarbeiter ist im März 2020 ausgeschieden und ...

Server
Verbindung zum Linux Server nicht möglich
gelöst Frage von it-fraggleServer13 Kommentare

Hallo zusammen, habe gerade ein sonderbares Problem auf dessen Lösung ich gerade nicht komme. Wir haben hier seit einigen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...