我正在尝试配置一个新的 PFsense 路由器(64 位)并尝试使 VPN 功能正常运行。
我已启用 PPTP、L2TP 和 IPSec。我在测试时已向所有 LAN、WAN 和每种 VPN 类型添加了允许所有规则。
L2TP 原始日志 l2tps:进程 25991 已启动,版本 4.4.1(root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org 2011 年 8 月 11 日 13:49)l2tps:未找到标签“startup”l2tps:[l2tp0] 使用接口 l2tp0 l2tps:L2TP:等待 0.0.0.0 1701 上的连接
PPTP 原始日志 pptps:进程 60043 已启动,版本 4.4.1(root@FreeBSD_8.0_pfSense_2.0-AMD64.snaps.pfsense.org 13:49 11-Aug-2011)pptps:未找到标签“startup”pptps:PPTP:等待 0.0.0.0 上的连接pptps:[pt0] 使用接口 pptpd0
IPSec 原始日志 racoon:[94.197.127.20] 错误:任何适用的 rmconf 中都不允许交换身份保护。
使用我的测试设备 (iPhone 5) 我无法连接到其中任何一个。iPhone 只是显示正在连接,然后最终失败,提示远程服务器没有响应。
这是一个已知问题还是我忽略了一些明显的问题?
其他设置
答案1
iThingies 在 VPN 方面对自己的需求非常挑剔。问题基本上在于,大多数 VPN 服务器为 IPSec 使用的默认设置太不安全适用于 iThingies。
有一些很好的建议:从 iPad/iPhone 连接到 Sonicwall L2TP VPN 时出错
我在让 iThingies 与 SonicWall 通信时遇到了非常类似的问题,并且不得不进行一些重大更改,导致该特定的 VPN 设置无法适用于 iThingies 以外的任何设备。
具体来说,IKE 提案需要修改才能被 iOS 支持。可以在此处找到列表这里,但对于后人来说:
第一阶段转型
- 所有预共享密钥
- AES-256 加密 / SHA1 或 MD5 身份验证 / Diffie-Hellman Group 2
- AES-128 加密 / SHA1 或 MD5 身份验证 / Diffie-Hellman Group 2
- 3DES 加密 / SHA1 身份验证 / Diffie-Hellman Group 2
第二阶段转型
- AES256 加密/SHA1 或 MD5 身份验证
- AES128 / SHA1 或 MD5
- 3DES/SHA1 或 MD5
iOS3 的限制则更加严格。
答案2
从我的日志中可以看到,您遇到的唯一错误是后者,即 IPSec,这可能是因为 iPhone 想要的是 IKE 的主模式而不是激进模式。其他“错误”,嗯,看起来 pfSense 尚未收到 PPTP 或 L2TP 的请求。
您是否正在使用 3G/4G/LTE 连接?如果您没有收到任何流量,很可能是您的服务提供商的限制。
我建议在 WAN 接口上进行数据包捕获,以确认您正在接收数据包。另外,尝试使用 wifi 连接,看看是否得到相同的结果。
答案3
L2TP 严格来说是 L2TP,而不是 iOS 所要求的 L2TP+IPsec。pfSense 目前不支持 L2TP+IPsec。
PPTP 和 IPsec 都可以在 iOS 上顺利运行。IPsec 更复杂,但也不是那么难。 http://doc.pfsense.org/index.php/Mobile_IPsec_on_2.0
PPTP 基本上不可能配置不正确。它无法工作表明您要么存在基本的 WAN 端连接问题,要么正在使用 3G/4G 运营商,其 CGNAT 未通过 GRE,这在许多地方很常见,意味着 PPTP 无法在该 3G/4G 网络上运行。IPsec 没有这样的问题。