自建IKEv2新協定VPN　提升安全效率還支援手機

設定IPSec Mobile Clients

接著設定IPSec裡用戶取得的IP網段，在pfSense中，此設定是在Mobile Clients中進行。先點選VPN裡面的IPSec，再點選Mobile Clients。

接著，勾選「Enable IPSec Mobile Client Support」，並在User Authentication區域內選擇「Local Database」。而在Group Authentication選單中則選擇【system】，如圖18所示。

▲圖18 設定IPSec Mobile Clients。

然後勾選「Provide a virtual IP address to clients」，接著就能輸入「192.168.2.0/29」網段，之後用戶透過IPSec進行連線時就能取得此網段IP。

接著勾選「Provide a list of accessible networks to clients」，來限制用戶取得IP後能存取的網段，如圖19所示。

▲圖19 設定Virtual Address Pool。

若有內部DNS伺服器，則如圖20所示勾選「Provide a DNS server list to clients」，並輸入其IP，最後別忘了按下〔Save〕按鈕儲存相關設定。

▲圖20 指定內部DNS伺服器。

在儲存後會告知修改必須套用才會生效，所以要記得按下〔Apply Changes〕按鈕，如圖21所示。

▲圖21 按下〔Apply Changes〕按鈕讓剛剛的設定生效。

至此已完成用戶端IP網段設定，接著要完成IPSec的認證及加密的相關設定。

設定IPSec Phase1

點選VPN裡面的IPSec，再點選Mobile Clients。可以看到系統提示要建立Phase 1，點選〔Create Phase 1〕按鈕，如圖22所示。

▲圖22 建立Phase 1。

在此提醒，請勿直接點選VPN、IPSec、Tunnel進行設定，若從Tunnel處進行設定，將無法進行浮動IP用戶的設定。

然後，在Key Exchange version務必記得選擇【V2】，才會是IKEv2。其餘選項保留預設值即可，如圖23所示。

▲圖23 Key Exchange version設定務必選擇V2。

緊接著要設定認證的方式，如圖24所示，在Authentication Method選單之中選擇【EAP-MSChapv2】，My identifier則選擇【Distinguished name】，後面的空格則填入「pfsense.zapto.org」。

隨後，在Peer Identifier選單中選擇【Any】，最後的My Certificate請選擇之前建立的伺服器憑證的【IKEv2 Server】。

▲圖24 指定認證方式。

接下來是IPSec phase 1演算法相關設定。為了提高相容性，讓iOS裝置和Windows 7電腦可同時連線。加密演算法設定選用【3DES】，雜湊函數則使用【SHA1】，剩下的DH Group和Lifetime均使用預設值，如圖25所示。

▲圖25 設定IPSec phase 1演算法內容。

如圖26所示，MOBIKE的部分記得選擇【Enable】。MOBIKE是IKEv2 Mobility and Multihoming Protocol的縮寫，它使用Mobility and Multihoming技術來達到加密通訊不中斷的功能。

▲圖26 讓MOBIKE變成啟用狀態。

其餘的相關設定，均使用預設值即可，最後按下〔Save〕按鈕進行儲存。此時可以看到目前的設定情形如圖27所示，必須確認Remote Gateway欄位中有「Mobile Client」，代表設定完成。

▲圖27 確認Remote Gateway欄位出現Mobile Client。

設定IPSec Phase2

繼續完成IPSec phase 2的相關設定。在同一個頁面中，按下〔Show Phase 2 Entries〕按鈕，如圖28所示。

▲圖28 設定IPSec phase 2。

如圖29所示，接著按下〔Add P2〕按鈕。

▲圖29 新增Phase2。

然後，選擇要被連線的網路，如圖30所示在Local Network選單中選擇【LAN subnet】，讓遠端的電腦連上後可以與pfSense同網段的設備，以此例而言，就是連上IPSec的用戶可存取192.168.100.0/24的網段。

▲圖30 將Local Network指定成LAN subnet。