上期文章講解了在pfSense內之IPSec開啟IKEv2及支援行動裝置的相關設定,本期接著介紹如何在iOS裝置和Windows 7電腦上匯入憑證及建立連線,並確認連線過程中的加密情形。
接下來,將會詢問要管理的電腦是哪一部,這裡點選「本機電腦(執行這個主控台的電腦)」選項,並按下〔完成〕按鈕,如圖21所示。
 |
| ▲圖21 選擇「本機電腦(執行這個主控台的電腦)」選項。 |
設定完成後,可確認憑證已位於主控台根目錄之下,如圖22所示。
 |
| ▲圖22 確認憑證已位於主控台根目錄內。 |
接著,執行匯入憑證。針對左方「主控台根目錄」下的「憑證」節點按兩下滑鼠左鍵,找到「受信任的根憑證授權單位」節點並對其按下滑鼠右鍵,開啟快速選單後,依序點選【所有工作】→【匯入】,如圖23所示。
 |
| ▲圖23 針對「受信任的根憑證授權單位」節點開啟右鍵選單,並依序點選【所有工作】→【匯入】。 |
限於篇幅,這裡將一些較不重要的截圖忽略,僅提示重要的部分。隨後,按下〔瀏覽〕按鈕,找到該憑證後予以匯入,如圖24所示。
 |
| ▲圖24 選擇憑證並將其匯入。 |
此時,預設值應為「將所有憑證放入以下的存放區」,憑證存放區此時為「受信任的根憑證授權單位」,再按下〔下一步〕按鈕完成憑證匯入,如圖25所示。
 |
| ▲圖25 採用預設值,完成憑證匯入作業。 |
最後要修改一下機碼,先執行「regedit」,找到「HKEY_LOCAL_MACHINES」,再依序點選「SYSTEM」→「CurrentControlSet」→「services」→「Rasman」,接著在「Parameters」上按一下滑鼠右鍵,新增一個「DWORD」,名稱為「DisableIKENameEkuCheck」,最後再對它按兩下滑鼠左鍵,將其值設定為「1」,之後將電腦重新開機。
Windows 7建立IKEv2 VPN連線
這裡將建立一個到工作地點的連線,在此僅列出比較重要的設定。網際網路位址輸入「pfsense.zapto.org」,另外建議勾選「不要立即連線」選項,之後會再修改相關設定,如圖26所示。
 |
| ▲圖26 輸入所要連線的網際網路位址。 |
設定完成後,如圖27所示,記得修改安全性設定中的「VPN類型」,改選為【IKEv2】,其餘「資料加密」設定應該會自動改成【需要加密】,而「驗證」部分會自動選擇「EAP-MSCHAP v2」,若非此選項,請自行修改為該選項。
 |
| ▲圖27 修改VPN類型與資料加密內容。 |
最後,再進行連線(帳號密碼與之前在pfSense設定的Pre-Shared Key相符即可)。建立連線後,可以登入pfSense查看狀態。先點選「Status」,再點選「IPsec」,可以看到目前連線建立的情形,而帳號為「klting」,外部IP是「110.29.170.122」,並且可以查看其加密及驗證方式為3DES及SHA1,如圖28所示。
 |
| ▲圖28 登入pfSense查看狀態。 |
然後點選「Leases」,可以看到目前取得的IP是「192.168.2.1」,與之前設定的Pool同屬一個網段,如圖29所示。
 |
| ▲圖29 確認目前取得的IP與之前設定的Pool同屬一個網段。 |
再點選「SADs」,可以看到VPN Client的對外IP為「123.204.167.138」,而VPN Server的對外IP則是「110.29.170.122」,如圖30所示。
 |
| ▲圖30 查看VPN Client和VPN Server的對外IP位址。 |
最後按一下「SPDs」,就能夠觀察目前VPN Client IP與VPN Server IP的流量交換情形,是採用ESP的加密方式,如圖31所示。
 |
| ▲圖31 觀察目前VPN Client IP與VPN Server IP的流量交換情形。 |