PFsense VPN todos os tipos falhando?

2

Estou tentando configurar um novo roteador PFsense (64 bits) e estou tentando fazer com que as funções VPN funcionem.

Eu habilitei o PPTP, o L2TP e o IPSec. Eu adicionei permitir todas as regras para todos os LANs, WANs e cada um dos tipos de VPN enquanto eu os testo.

Logs brutos do L2TP     l2tps: processo 25991 iniciado, versão 4.4.1 (root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org 13:49 11-ago-2011)     l2tps: Label 'startup' não encontrado     l2tps: [l2tp0] usando a interface l2tp0     l2tps: L2TP: aguardando conexão em 0.0.0.0 1701

Logs brutos do PPTP     pptps: process 60043 started, versão 4.4.1 (root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org 13:49 11-ago-2011)     pptps: Label 'startup' não encontrado     pptps: PPTP: esperando por conexão em 0.0.0.0     pptps: [pt0] usando a interface pptpd0

Logs IPSec brutos     racoon: [94.197.127.20] ERRO: troca de Identity Protection não permitida em qualquer rmconf aplicável.

Não consigo conectar-me a nenhum deles usando o meu dispositivo de teste (iPhone 5). O iPhone apenas diz que está se conectando e, eventualmente, falha ao dizer que o servidor remoto não respondeu.

Este é um problema conhecido ou estou faltando algo óbvio?

Configurações adicionais

    
por dannymcc 01.11.2012 / 12:17

3 respostas

4

Os iThingies são exigentes sobre o que exatamente eles precisam quando se trata de VPN. O problema é que, basicamente, os padrões que a maioria dos servidores VPN usam para o IPSec é muito insegura para os iThingies.

Tem algumas boas dicas: Erro ao conectar-se à Sonicwall L2TP VPN do iPad / iPhone

Eu tive um problema parecido com o iThingies para falar com um SonicWall, e tive que fazer algumas mudanças significativas que fizeram com que aquela configuração particular de VPN não funcionasse para qualquer coisa, MAS iThingies.

Especificamente, as propostas do IKE precisam ser modificadas para serem compatíveis com o iOS. Uma lista pode ser encontrada aqui , mas para a posteridade:

Fase 1 transforma

  • Todas as chaves pré-compartilhadas
  • Criptografia AES 256 / Autenticação SHA1 ou MD5 / Grupo Diffie Helman 2
  • Criptografia AES 128 / Autor SHA1 ou MD5 / Grupo DH 2
  • Criptografia 3DES / SHA1 auth / DH Group 2

Fase 2 transforma

  • Criptografia AES256 / autenticação SHA1 ou MD5
  • AES128 / SHA1 ou MD5
  • 3DES / SHA1 ou MD5

O iOS3 é ainda mais restritivo.

    
por 01.11.2012 / 13:04
1

Pelo que vejo nos seus registros, o único erro que você está recebendo é o último, o IPSec, que provavelmente é porque o iPhone quer o Modo Principal e não o Modo Agressivo para o IKE. Os outros "erros", bem, parece que o pfSense ainda não recebeu uma solicitação para PPTP ou L2TP.

Você está se conectando com 3G / 4G / LTE? Pode muito bem ser uma limitação do seu provedor de serviços se você não estiver recebendo tráfego.

Eu sugiro fazer uma captura de pacotes na interface WAN para confirmar que você está recebendo pacotes. Além disso, tente com uma conexão wifi, veja se você obtém os mesmos resultados.

    
por 01.11.2012 / 13:38
1

O L2TP é estritamente L2TP, não L2TP + IPsec, que é o que o iOS exige. L2TP + IPsec não é suportado no pfSense no momento.

O PPTP e o IPsec funcionarão sem problemas com o iOS. O IPsec é mais complexo, mas não é tão difícil. link

PPTP é basicamente impossível não configurar corretamente. O fato de não funcionar sugere que você tem problemas básicos de conectividade WAN ou está usando uma portadora 3G / 4G cujo CGNAT não passa GRE, o que é comum em muitos lugares e significa que o PPTP não pode funcionar nesse 3G / 4G rede. O IPsec não tem esses problemas.

    
por 01.11.2012 / 16:48