1. 服务器/VPS/主机用户Telegram电报群: https://t.me/openos
    黑群晖 Synology Telegram电报群: https://t.me/nasfan
    排除公告

pfSense设置 L2TP/IPsec服务器

本帖由 osx2021-09-17 发布。版面名称:pfSense

  1. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    第二层隧道协议L2TP(Layer Two Tunneling Protocol) 是一种虚拟隧道协议, 常用于虚拟专用网. 可以让企业非常方便的组成一个"内部局域网", L2TP本身没有加密,所以一般情况下都是配合(IPsec)或其他加密一起使用, pfSense防火墙后台提供了完整的L2TP/IPSec服务器设置方案.

    先进入pfSense后台启动L2TP服务器.
    接口: WAN
    服务器地址: 10.5.5.254

    备注: 这里输入一个内网IP地址, 注意,不要和现有的局域网IP段有冲突, 这个地址的意思是给这台L2TP服务器设置的IP地址.

    远程地址范围: 10.5.5.0/27

    备注: 这里是给链接这台L2TP服务器的设备设置的IP地址段, 需要和之前的L2TP服务器地址在同一个网段. 当然, 如果熟悉子网的用户也可以根据自己的需求设置.

    L2TP用户数: 10 (根据自己的需求选择)
    秘钥: 空
    认证类型: CHAP

    主L2TP DNS服务器: 1.1.1.1
    副L2TP DNS服务器:
    这里根据自己的需求设置, 也可以留空

    隐藏内容:
    ******隐藏内容-请回复后再查看******
    ******You must reply before you can see the hidden data contained here.******
    [​IMG]
     
    最后编辑: 2021-09-20
  2. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    然后再添加用户.
    L2TP-用户
    添加
    用户名: 随意英文或数字
    密码:
    IP地址: 这里需要注意, 如果留空会自动分配IP地址, 也可以手动设置, 如10.5.5.2

    如图所示
    第一个账号是我指定的IP, 第二个留空, 显示Dynamic(动态)

    [​IMG]
    [​IMG]
     
    最后编辑: 2021-09-17
  3. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    设置IPSec 加密
    进入IPsec-移动客户端(Mobile Clients)

    IKE扩展: 启用IPSec移动客户端支持 勾选
    用户认证: Local Database
    其他下面的选项不要勾选


    [​IMG]

    应用后点击创建阶段1(Create Phase 1)
    [​IMG]

    秘钥交换版本: IKEv1
    Intenet协议 IPv4
    接口: WAN
    认证方法: Mutual PSK
    协商模式: 主模式
    本地ID类型: 我的IP地址
    加密算法: 算法: AES, 秘钥长度: 256bits, 哈希: SHA1, DH组: 14 (2048 bit)

    其他的选项可以参考截图

    保存后再应用更改
    [​IMG]
    [​IMG]
     
    最后编辑: 2021-09-18
  4. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    然后再点击 显示阶段2条目
    再添加阶段2条目
    [​IMG]
    [​IMG]


    模式: 传输 (Transport)
    协议: ESP
    加密算法: AES 128 bits
    哈希算法: SHA1
    PFS密钥组:
    其他设置可以参考截图
    [​IMG]
    [​IMG]
     
    最后编辑: 2021-09-17
  5. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    再设置预共享秘钥
    预共享秘钥-添加
    标识符: allusers
    加密类型: PSK
    预共享秘钥: 自己设置一个密码吧

    隐藏内容:
    ******隐藏内容-请回复后再查看******
    ******You must reply before you can see the hidden data contained here.******
    [​IMG]
    [​IMG]
     
    最后编辑: 2021-09-18
  6. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    最后别忘记进防火墙规则策略设置相关规则
    1, 防火墙-规则策略-IPsec-添加
    接口-IPsec
    地址簇: IPv4
    协议: UPD
    源: any
    目标: any
    [​IMG]

    2, 防火墙-规则策略-L2TP '威-皮-恩'-添加
    接口: L2TP '威-皮-恩'
    地址簇: IPv4
    协议: Any
    源: any
    目标: any
    [​IMG]
    [​IMG]

    3, 防火墙-规则策略-WAN-添加
    接口-IPsec
    地址簇: IPv4
    协议: UPD
    源: any
    目标: WAN address
    目标端口范围: 1701
    [​IMG]
    [​IMG]
     
    最后编辑: 2021-09-18
  7. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    以上pfSense的L2TP/IPsec的服务器就设置好了.

    可以使用iPhone和其他设备链接
    以iPhone为例
    添加'威-皮-恩'设置
    类型: L2TP
    描述: 自定义
    服务器: 服务器的公网IP地址, 可以添加DDNS的域名
    账号: 之前设置的用户名
    RSA SecurID: 不用启动
    密码: 之前的用户密码
    秘钥: 就是之前设置的IPsec预共享秘钥.
     
  8. osx

    osx 管理员 管理成员

    注册:
    2017-03-30
    帖子:
    877
    如果需要指定网关,可以在防火墙-规则策略-L2TP '威-皮-恩'下自定义设置.
    隐藏内容:
    ******隐藏内容-请回复后再查看******
    ******You must reply before you can see the hidden data contained here.******
     
    最后编辑: 2021-09-18
  9. sansan

    sansan New Member

    注册:
    2018-01-02
    帖子:
    5
    我要看答案
     
  10. yiywain

    yiywain New Member

    注册:
    2022-05-24
    帖子:
    7
    呜呜呜,想看看