Tutorial para conectar un iPhone a una red a través de pfSense 2.0

Jafocu

Hola a todos,

Aquí tenéis un pequeño tutorial para conectar un iPhone a una red a través de pfSense 2.0.
Está basado en la configuración que he utilizado. Cada uno puede realizar sus propias modificaciones.

Josep si puedes colócalo para que este siempre visible.

Menú VPN –> Pestaña Mobile clients

IKE EXTENSIONS activar casilla "Enabled IPsec Mobile Client Support"

Extended Authentication (Xauh)

User Authtentication –> source: system
Group Authentication –> source: system

Client Configuration (mode-cfg)

Virtual Addres Pool activar casilla "Provide a virtual IP address to clients"

"Network" escribimos la Ip (ejemplo: 192.168.100.0/24)

Network List desactivamos la casilla "Provide a list of accessible networks to clients"
"Save Xauth Password" desactivamos "Allow clients to save Xauth passwords (Cisco VPN client only)"

DNS Default Domain activamos la casilla "Provide a default domain name to clients" y escribimos un dominio por defecto (ejemplo: domain.local) que será asignado al cliente IPsec que se conecta.

DNS Servers activamos la casilla "Provide a default domain name to clients" y escribimos la ip del servidor pfSense, si lo utilizas como servidor dns o cualquier servidor dns interno de tu red para poder tener resolución de nombres.

WINS Servers si tenéis servidores WINS ( para mi configuración no lo utilizo )

Phase2 PFS Group, casilla "Provide the Phase2 PFS group to clients ( overrides all mobile phase2 settings )" desactivada

Login Banner, casilla Provide a login banner to clients desactivada.

Guardamos la configuración de Mobile clients

Nos aparecerá un mensaje que nos dice que tenemos activado la configuración "Mobileclients" pero sin la "Phase1" configurada.

Hacemos clic en "Create Phase1"

General Information

Interface "WAN"

Phase 1 proposal(Authentication)

Authentication method seleccionar "Mutual PSK + Xauth"
Negotiation mode seleccionar "aggressive"
My identifier seleccionamos "My Ip Address"

Peer identifier seleccionamos "Distinguished name" y escribimos por ejemplo en la casilla de texto VPN
Pre-Shared key escribimos la clave. Esta no puede ser muy larga ya que si no iPhone no enlazará. Yo tengo puesta una 13 caracteres con números y letra, ya sean en mayúsculas o minúsculas.
Proposal Checking seleccionamos "Default"
Encryption algorithm seleccionamos "AES" y "256 bits"
Hash algorithm "SHA1"
DH key group "2"
Lifetime "28800"

Advanced Options

NAT Traversal seleccionamos "Enabled"
Dead Peer Detection activamos la casilla "Enable DPD"
Delay between requesting peer acknowledgement a "10"
Number of consecutive failures allowed before disconnect a "5"

Guardamos la configuración

Y finalmente completamos la "Phase2"

Clic en el botón "+" y añadimos esta configuración

Mode seleccionamos "Tunnel"
Local Network seleccionamos la red que queremos acceder, en este caso "Lan subnet"

Phase2 proposal(SA/Key Exchange)

Protocol seleccionamos "ESP"
Encryption algorithms activamos solo "AES" "256bits" y las demàs casillas las desactivamos
Hash algorithms activamos "SHA1" y desactivamos "md5"
PFS key group seleccionamos "off"
Lifetime escribimos "3600"

y guardamos la configuración.

Activamos la casilla "Enable IPsec" de la pestaña Tunnels, guardamos aplicando cambios.

En el menú "Firewall" –> "Rules" –> pestaña "IPsec" y creamos una regla para que nuestro cliente iPhone pueda tener resolución de nombres:

Action: Pass
Interface: IPsec
Protocol: UDP
Source: 192.168.100.0/24 (especificada en el apartado Mobile Client)
Destination: Lan Subnet ( si tienes el servidor DNS en la Lan o utilizas tu pfSense )

Ahora toca añadir un usuario, nos vamos al menú System –> User Manager y añadimos el usuario con dos características:

Effective Privileges: ipSec (User - VPN - IPsec xauth Dialin)
IPsec Pre-Shared Key: Nuestra clave anteriormente comentada.

Guardamos los cambios

Se ha finalizado la configuración de nuestro pfSense. Se pueden crear más reglas en pfSense según necesidades.

Configuración "iPhone"

Ir a configuracion –>VPN --> Agregar configuración VPN...

Seleccionamos pestaña IPsec

Rellenamos campo "Descripción"
Servidor: Entramos ip pública o nombre dns
Cuenta: Usuario creado anteriormente
Contraseña: Contraseña creada anteriormente
Nombre del grupo: VPN (por poner un ejemplo)
Secret: Nuestra clave secreta anteriormente comentada

Ya podremos acceder a nuestra red con nuestro iPhone para las diferentes tareas:

Conectarse a la Interface web de pfSense y realizar tareas remotas.
Utilizar aplicaciones RDP para conectarnos a estaciones o servidores ( Mocha Rdp Lite o Pro )
Utilizar aplicaciones VNC para conectarnos a estaciones o servidores ( Mocha VNC Lite o Pro )
Utilizar aplicaciones SSH para conectarnos a servidores o a nuestro pfSense ( zaTelnet )
etc…

Esta configuración puede ser utilizada para enlazar un iPad.

Espero que os sea útil.

Saludos
Jaume

bellera

¡Enhorabuena!

Estrenaste apartado VPN en "Documentación".

Josep

pfsensePAM

Consulta de novato si lo conecto a mi iphon a la red por VPN, ¿que me dejaria hacer con el IPHONE?
Saludos..

Jafocu

Hola pfSensePAM

Ampliado el Tutorial con cosas que se puede hacer con tu iPhone o iPad

Saludos
Jaume

pfsensePAM

Muchas Gracias por la repuesta. Y te felicito excelente el tutorial.
Saludos

Jafocu

Hola!

Gracias! Un granito de arena al foro.

Saludos
Jaume