VPN Host-LAN IKEv2 EAP z certyfikatem Let’s Encrypt na Windows

Zapoznaj siÄ™ z przykÅ‚adem RozwiÄ…zywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: IKEv2 EAP
– autentykacja: nazwa użytkownika i hasÅ‚o
– Vigor router wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub staÅ‚y (IP – 2.2.2.2)
– wersja firmware 3.9.0, która wspiera Let’s Encrypt

Serwer VPN – router Vigor

Utwórz DrayDDNS nawet jeśli router posiada stały publiczny IP.
Domena DrayDDNS zostanie użyta do wygenerowania certyfikatu Let’s Encrypt.
Zapoznaj siÄ™ z przykÅ‚adem Dynamiczny DNS (DrayDDNS)

Utwórz certyfikat Let’s Encrypt.
Klient IKEv2 EAP weryfikuje certyfikat serwera VPN.
Zapoznaj siÄ™ z przykÅ‚adem Certyfikat routera w oparciu o Let’s Encrypt

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.

Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidÅ‚owo skonfigurowanÄ… usÅ‚ugÄ™ DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Włącz obsługę protokołu IPsec.
Wyłącz nieużywane protokoły VPN.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wybierz certyfikat DrayDDNS.
Nie wybieraj Medium lub HighIPsec Security Method, gdyż Windows domyślnie używa G2(1024-bit MODP) dla IKEv2.
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.

Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec (IKEv1/IKEv2) oraz IKEv2 EAP.
– Wpisz nazwÄ™ użytkownika w polu Username oraz hasÅ‚o w polu Password (w omawianym przykÅ‚adzie użytkownik ‘test’ i hasÅ‚o ‘test’)
– Zaznacz Digital Signature(X.509)
Oprócz okreÅ›lenia podsieci LAN z której klient otrzyma adresacjÄ™, możesz przypisać klientowi staÅ‚y IP np. 192.168.1.100, który bÄ™dzie dla niego zarezerwowany.
DziÄ™ki temu możesz również w Å‚atwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows(wbudowane)

Sprawdź UsÅ‚ugi i rejestr Windows dla VPN
JeÅ›li w ustawieniach routera w VPN and Remote Access >> IPsec General Setup wybraÅ‚eÅ› Medium lub HighIPsec Securithy Method to wymuÅ› użycie G14 (2048-bit MODP) w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Sprawdź (dodaj jeśli nie istnieje) NegotiateDH2048_AES256 (oczekiwana wartość wynosi 2)

JeÅ›li posiadasz starszÄ… wersjÄ™ systemu Windows to przejdź do Centrum sieci i udostÄ™pniania w Panelu sterowania Windows a nastÄ™pnie wybierz Skonfiguruj nowe poÅ‚Ä…czenie lub nowÄ… sieć. PostÄ™puj zgodnie z kreatorem

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj połączenie VPN.

Wybierz dostawcÄ™ sieci VPN Windows (wbudowane) i wypeÅ‚nij niezbÄ™dne dane.

Wybierz Połącz

W przypadku problemów z ustanowieniem poÅ‚Ä…czenia sprawdź RozwiÄ…zywanie problemów z VPN dla Windows.

JeÅ›li podczas próby poÅ‚Ä…czenia pojawi siÄ™ bÅ‚Ä…d „PoÅ›wiadczenia uwierzytelnieÅ„ IKE nie mogÄ… zostać przyjÄ™te”:
1. Sprawdź w VPN and Remote Access >> IPsec General Setup czy wybraÅ‚eÅ› wÅ‚aÅ›ciwy certyfikat oraz w Certificate Management >> Local Certificate czy jest on ważny
2. Upewnij siÄ™, że w kliencie VPN wpisaÅ‚eÅ› nazwÄ™ domenowÄ… routera (w przykÅ‚adzie vigor.drayddns.com)
3. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj certyfikat ISRG Root X1 w magazynie Zaufane główne urzÄ™dy certyfikacji
Plik certyfikatu ISRG Root X1 (isrgrootx1.der) możesz pobrać ze strony Let’s Encrypt
Certyfikat DST Root CA X3 był ważny do 30.09.2021

4. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj aktualny certyfikat R3 w magazynie PoÅ›rednie urzÄ™dy certyfikacji
Plik certyfikatu R3 podpisanego przez ISRG Root X1 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt
Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj siÄ™ z przykÅ‚adem Jak w kliencie wbudowanym Windows wyÅ‚Ä…czyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w PoÅ‚Ä…czenia sieciowe w Panelu sterowania.

 

Klient VPN – Smart VPN Client

Sprawdź UsÅ‚ugi i rejestr Windows dla VPN
JeÅ›li w ustawieniach routera w VPN and Remote Access >> IPsec General Setup wybraÅ‚eÅ› Medium lub HighIPsec Securithy Method to wymuÅ› użycie G14 (2048-bit MODP) w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Sprawdź (dodaj jeśli nie istnieje) NegotiateDH2048_AES256 (oczekiwana wartość wynosi 2)

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a nastÄ™pnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia.
– W polu Typ wybierz IKEv2 EAP
– W polu IP lub nazwa hosta wpisz adres domenowy routera (w przykÅ‚adzie vigor.drayddns.com) do którego zestawiasz tunel VPN
– W polu Użytkownik wpisz odpowiedniÄ… nazwÄ™ zgodnÄ… ze stworzonym profilem. W omawianym przykÅ‚adzie użytkownik ‘test’.
– W polu HasÅ‚o wpisz odpowiednie hasÅ‚o zgodne ze stworzonym profilem. W omawianym przykÅ‚adzie hasÅ‚o ‘test’.
– JeÅ›li opcja Użyj domyÅ›lnej bramy w sieci zdalnej jest wyÅ‚Ä…czona to tunel umożliwia tylko dostÄ™p do sieci zdalnej.
Zapoznaj siÄ™ z przykÅ‚adem Kierowanie ruchu przez VPN Host-LAN.

– Kliknij przycisk OK, aby kontynuować.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij PoÅ‚Ä…cz.

W przypadku problemów z ustanowieniem poÅ‚Ä…czenia sprawdź RozwiÄ…zywanie problemów z VPN dla Windows.

JeÅ›li podczas próby poÅ‚Ä…czenia pojawi siÄ™ bÅ‚Ä…d „PoÅ›wiadczenia uwierzytelniania IKE sÄ… niedopuszczalne”:
1. Sprawdź w VPN and Remote Access >> IPsec General Setup czy wybraÅ‚eÅ› wÅ‚aÅ›ciwy certyfikat oraz w Certificate Management >> Local Certificate czy jest on ważny
2. Upewnij siÄ™, że w kliencie VPN wpisaÅ‚eÅ› nazwÄ™ domenowÄ… routera (w przykÅ‚adzie vigor.drayddns.com)
3. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj certyfikat ISRG Root X1 w magazynie Zaufane główne urzÄ™dy certyfikacji
Plik certyfikatu ISRG Root X1 (isrgrootx1.der) możesz pobrać ze strony Let’s Encrypt
Certyfikat DST Root CA X3 był ważny do 30.09.2021
4. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj aktualny certyfikat R3 w magazynie PoÅ›rednie urzÄ™dy certyfikacji
Plik certyfikatu R3 podpisanego przez ISRG Root X1 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt

 

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

AkceptujÄ™