[DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem prywatnym
Routery DrayTek z systemem DrayOS5 to m.in. Vigor C410ax, Vigor C510ax, seria Vigor 2136.
Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows
Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: IKEv2 EAP
– autentykacja: nazwa użytkownika i hasÅ‚o
– Vigor router wykorzystuje certyfikat prywatny podpisany przez wewnÄ™trzny Root CA
– adres WAN serwera VPN: staÅ‚y (IP – 1.1.1.1)
– adres klienta VPN: zmienny lub staÅ‚y (IP – 2.2.2.2)
Połączenie IPsec IKEv2 EAP weryfikuje certyfikat serwera VPN.
Jeśli serwer VPN posiada zmienny publiczny IP lub posiada łącze zapasowe to zapoznaj się z przykładem [DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem Let’s Encrypt w którym wykorzystywana jest usługa dynamicznego DNS do łączenia się z routerem przez adres domenowy.
Serwer VPN – router Vigor
Przejdź do zakładki System Maintenance / Device Settings / Time.
Zweryfikuj aktualny czas routera.
Upewnij się, że router używa serwera czasu NTP.
Przejdź do zakładki Configuration /Certificates / Trusted CA.
Kliknij Create , aby utworzyć wewnętrzny urząd certyfikacji Root CA.
Kliknij Export , aby wyeksportować certyfikat Root CA, który należy zainstalować w systemie Klienta VPN.
Zapoznaj się z przykładem jak zainstalować certyfikat Root CA IKEv2 EAP z Windows
Przejdź do zakładki Configuration /Certificates / Local Certificates.
Kliknij Add , aby dodać certyfikat.
Wpisz nazwÄ™ certyfikatu.
Wybierz metodę Generate CSR , aby wygenerować żądanie certyfikatu, które zostanie podpisane przez Root CA.
Wypełnij Subject Alternative Name oraz Subject Name używając stałego adresu IP interfejsu WAN.
Kliknij Sign , aby podpisać żądanie certyfikatu z użyciem Root CA.
Status certyfikatów lokalnych.
Przejdź do zakładki VPN / General Setup / Access Control.
Sprawdź czy router akceptuje połączenia.
Przejdź do zakładki VPN / General Setup / IPsec.
Włącz usługę IPsec.
Wybierz samopodpisany certyfikat.
Przejdź do zakładki VPN / Teleworker VPN.
Kliknij Add aby dodać nowy profil
Wpisz nazwę użytkownika w polu Username (możliwe są różne formaty np. jkowalski, j.kowlaski, jan.kowalski)
Wpisz hasło polu Password
W sekcji General upewnij się, że profil jest aktywny.
W sekcji Teleworker VPN wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz EAP
– OkreÅ›l podsieć LAN z której bÄ™dzie przypisywany adres IP
W profilu VPN możesz określić przypisywanie statycznego IP.
Profil podsieci LAN w Configuration / LAN /LANs posiada osobny zakres IP dla klientów VPN.
Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN / VPN Connection Status / Teleworkers VPN.
Klient VPN – Windows
Przykład IKEv2 EAP z Windows
![[DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem prywatnym](https://draytek.pl/wp-content/uploads/2020/07/draytek-routery-550-321-180x105.png)
![[DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem prywatnym](https://draytek.pl/wp-content/uploads/2018/02/912c-f1-kopia2-180x105.png)
![[DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem prywatnym](https://draytek.pl/wp-content/uploads/2024/09/draytek-switche-550-321-180x105.png)
![[DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem prywatnym](https://draytek.pl/wp-content/uploads/2018/11/draytek-zarzadzanie-siecia-180x105.png)
![[DrayOS5] VPN Host-LAN IKEv2 EAP z certyfikatem prywatnym](https://draytek.pl/wp-content/uploads/2020/07/miniaturka-akcesroia-180x105.png)
