上期文章講解了在pfSense內之IPSec開啟IKEv2及支援行動裝置的相關設定,本期接著介紹如何在iOS裝置和Windows 7電腦上匯入憑證及建立連線,並確認連線過程中的加密情形。
若有其他的使用者上線,點選「Leases」,就可以看到其他用戶的上線情形,如圖32所示。
 |
| ▲圖32 點選「Leases」觀看其他用戶的上線情形。 |
由於Windows 7的IKEv2會改變其Default Gateway,但目前pfSense尚未放行網際網路的存取,因此目前VPN Client無法連線至網際網路。目前計量(Metric)的部分是以小的優先,VPN連線的Metric目前是26,如圖33所示,因此電腦的所有封包都會透過VPN的連線出去,但pfSense目前尚未設定對應的設定,因此還不能連上網際網路。
 |
| ▲圖33 查看VPN連線情形。 |
進行VPN Client網際網路存取設定
登入pfSense,依序點選「VPN」、「IPsec」及「Tunnels」,並選擇「Add P2」。接著在「Local Network」選單中選擇【Network】,並填入「0.0.0.0/0」,如圖34所示。若要新增其他網段,同樣是在原先的Phase 1中再新增其他的Phase 2。
 |
| ▲圖34 將「Local Network」設定為【Network】,並輸入「0.0.0.0/0」。 |
設定完畢,先套用設定(Apply Change),再重新啟用服務(Restart Service),如圖35所示。
 |
| ▲圖35 套用設定並重新啟動服務。 |
最後,測試能否存取網際網路,此時已經可以存取ptt.cc,如圖36所示。
 |
| ▲圖36 採用ping指令,發現已可存取ptt.cc。 |
進行加密驗證
試著在網路上側錄VPN Client與VPN Sever之間的封包,發現除了IP的資訊外,其餘相關資訊均無法取得。只能看出是ISAKMP(Internet Security Association and Key Management Protocol)和ESP(Encapsulating Security Payload)的封包類型,但要破解是相當困難的,如圖37所示。
 |
| ▲圖37 在網路上試著側錄VPN Client與VPN Sever之間的封包。 |
結語
在PPTP逐漸被汰換之際,建議事先備妥更安全且更有效率的VPN,以免PPTP被完全下線時措手不及。IKEv2不僅適用於iOS裝置以及使用Windows作業系統的電腦,使用Android和macOS的裝置也都有支援。其設定及安裝的難度也在可接受的範圍,建議網管人員將它作為VPN的方案。