Configure o servidor VPN L2TP / IPsec com PSK ou RSA no pfSense

Configure o servidor VPN L2TP / IPsec com PSK ou RSA no pfSense

O firewall-o sistema operacional orientado pfSense tem vários VPN protocolos para estabelecer servidores VPN de acesso remoto e também túneis VPN Site-to-Site. L2TP / IPsec é uma VPN muito popular que permite que clientes VPN remotos, como computadores, smartphones e tablets, se conectem à rede profissional ou doméstica local com segurança. O L2TP se encarregará de estabelecer o túnel e o protocolo IPsec se encarregará de prover confidencialidade, autenticação e integridade a todos os dados transmitidos. Hoje, neste artigo, vamos explicar passo a passo como configurar o servidor VPN L2TP / IPsec para se conectar remotamente.

Para que serve um servidor VPN L2TP / IPsec?

Um servidor VPN em nosso pfSense nos permitirá acessar remotamente as diferentes sub-redes que configuramos, também nos permitirá redirecionar todo o tráfego da Internet para o servidor VPN para ir para a Internet através dele. Graças à configuração de um servidor VPN, poderemos nos conectar a uma rede insegura de forma segura, pois todo o tráfego da origem ao servidor VPN é criptografado e autenticado.

L2TP (Layer 2 Tunneling Protocol) é um dos protocolos VPN mais utilizados, faz uso do protocolo PPP para a conexão dos diferentes links, além de incluir mecanismos de autenticação PPP como PAP e CHAP, além de suportar o uso de servidores RADIUS para autenticação de clientes. Esta tipo de VPN protocolo é multiprotocolo e permite acesso a redes locais remotas. A parte negativa é que não apresenta uma criptografia robusta, portanto, não é seguro utilizá-la. Permite autenticação apenas entre os pontos finais do túnel, mas não para cada um dos pacotes que trafegam por ele, o mesmo acontece com a integridade dos pacotes, não é verificada. Além disso, o L2TP não criptografa o tráfego da origem ao destino.

Com tudo isso em mente, a organização IETF tomou a decisão de usar os protocolos criptográficos do IPsec em conjunto com o L2TP, para fornecer os recursos de confidencialidade, autenticação e integridade do túnel L2TP. Por este motivo, sempre encontraremos este protocolo escrito como “L2TP / IPsec” em sistemas operacionais, pois utiliza os dois protocolos simultaneamente.

Assim que tivermos um resumo de como os dois protocolos VPN funcionam, prosseguiremos com a configuração. Tendo dois protocolos para configurar, L2TP e IPsec, vamos dividir claramente a configuração em duas partes.

Configuração do protocolo L2TP

A primeira coisa que devemos fazer é configurar o protocolo L2TP, para isso vamos à seção “VPN / L2TP”, e configuramos da seguinte forma:

  • Habilitar L2TP
    • Habilitar servidor L2TP: habilitado
  • Configuração
    • Interface: WAN
    • Endereço do servidor: 192.168.100.1; Devemos colocar uma sub-rede que não esteja em uso, e que sirva apenas para usá-la como um gateway do cliente
    • Faixa de endereço remoto: 192.168.100.128/25; Fornecemos uma sub-rede local para conectar os clientes.
    • Número de usuários L2TP: 10, isso pode ser configurado para se adequar ao usuário.
    • Segredo: 1234clavel2tp; Podemos colocar uma senha, é recomendável colocá-la, embora alguns clientes não exijam. Depende da configuração.
    • Tipo de autenticação: CHAP
    • Servidor DNS L2TP primário / secundário: podemos colocar um servidor DNS para os clientes

Assim que o servidor L2TP estiver configurado, podemos configurar o protocolo IPsec.

Configuração do protocolo IPsec

Para configurar o protocolo IPsec junto com o protocolo L2TP, teremos que realizar um total de três ações. A primeira é habilitar os “Clientes Móveis”, ou seja, a VPN de acesso remoto. A segunda é habilitar a fase 1 do IPsec e, em seguida, configurar a fase 2 do IPsec.

Configure os «Clientes Móveis»

Esta é uma das partes mais importantes, pois se formos à seção “Túneis” criamos um túnel VPN Site-to-Site, e o que queremos fazer com o IPsec é configurar uma VPN de acesso remoto para que os diferentes clientes.

Neste menu, habilitamos “Habilitar Suporte ao Cliente Móvel IPsec” e escolhemos “Banco de Dados Local”, embora o usaremos porque é para autenticação xAuth. Clicamos em salvar.

Assim que clicarmos em «Salvar», também teremos que clicar em «Aplicar Changues», depois clicar no botão verde que indica «Criar Fase1».

Configurar IPsec Fase 1

Neste menu teremos que configurar corretamente o protocolo IPsec para utilizá-lo com L2TP, nem todas as configurações funcionarão, além disso, dependendo do cliente VPN utilizado (Android, iOS, Windows …) A configuração de segurança pode mudar, já que nem todos os sistemas operacionais suportam as melhores cifras VPN. Por padrão, veremos o seguinte menu onde selecionamos IKEv2, que não é compatível com o protocolo L2TP / IPsec que queremos configurar.

Depois de configurá-lo e clicar em «Salvar», vamos à seção «Usuários» e criamos um nome de usuário e uma senha de acesso. Aqui é onde teremos que cadastrar todos os usuários do servidor VPN ao qual eles vão se conectar, a parte do endereço IP pode ser deixada em branco sem configurar, para que o servidor atribua o IP dinamicamente.

Deixe um comentário

O seu endereço de e-mail não será publicado.