Serwer VPN – router Vigor

Utwórz DrayDDNS nawet jeśli router posiada stały publiczny IP.
Domena DrayDDNS zostanie użyta do wygenerowania certyfikatu Let’s Encrypt.
Zapoznaj się z przykładem [Vigor2960/3900] Dynamiczny DNS (DrayDDNS)

Utwórz certyfikat Let’s Encrypt.
Klient Windows IKEv2 EAP weryfikuje certyfikat serwera VPN.
Zapoznaj się z przykładem [Vigor2960/3900] Certyfikat routera w oparciu o Let’s Encrypt

Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidłowo skonfigurowaną usługę DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.

Przejdź do zakładki VPN and Remote Access >> VPN Profiles >> IPsec.
Kliknij przycisk Add aby dodać profil IPsec, który będzie stosowany do wszystkich użytkowników.
Jako protokół wybierz IKEv2 z RSA.
Wybierz certyfikat DrayDDNS.

Pozostaw Remote ID Accept Any, aby profil był stosowany do wszystkich użytkowników.

Przejdź do zakładki User Management >> User Profile.
Kliknij przycisk Add aby dodać konto użytkownika VPN.
Zezwól na użycie XAuth / EAP.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows(wbudowany)

Jeśli posiadasz starszą wersję systemu Windows to przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows a następnie wybierz Skonfiguruj nowe połączenie lub nową sieć. Postępuj zgodnie z kreatorem

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj połączenie VPN.

Wybierz dostawcę sieci VPN Windows (wbudowane) i wypełnij niezbędne dane.

Wybierz Połącz
W przypadku problemów z ustanowieniem połączenia sprawdź Rozwiązywanie problemów z VPN dla Windows.

Jeśli podczas próby połączenia pojawi się błąd „Poświadczenia uwierzytelnień IKE nie mogą zostać przyjęte”:
1. Sprawdź czy w profilu VPN and Remote Access >> VPN Profiles >> IPsec wybrałeś właściwy lokalny certyfikat routera.
2. Upewnij się, że w kliencie VPN wpisałeś nazwę domenową routera (w przykładzie vigor.drayddns.com)
3. Jeśli nie nastąpiła poprawa to w Windows zainstaluj certyfikat ISRG Root X1 w magazynie Zaufane główne urzędy certyfikacji
Plik certyfikatu ISRG Root X1 (isrgrootx1.der) możesz pobrać ze strony Let’s Encrypt
Certyfikat DST Root CA X3 był ważny do 30.09.2021
4. Jeśli nie nastąpiła poprawa to w Windows zainstaluj aktualny certyfikat R3 w magazynie Pośrednie urzędy certyfikacji
Plik certyfikatu R3 podpisanego przez ISRG Root X1 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt

Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj się z przykładem Jak w kliencie wbudowanym Windows wyłączyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w Połączenia sieciowe w Panelu sterowania.