VPN Host-LAN IKEv2 EAP na Windows

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: IKEv2 EAP
– autentykacja: nazwa użytkownika i hasło
– Vigor router wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)
– wersja firmware 3.9.0, która wspiera Let’s Encrypt

Serwer VPN – router Vigor

Utwórz dynamiczny DNS.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS)

Pobierz certyfikat Let’s Encrypt.
Zapoznaj się z przykładem Let’s Encrypt

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.
Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidłowo skonfigurowaną usługę DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wybierz certyfikat DrayDDNS.

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.

Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec (IKEv1/IKEv2) oraz IKEv2 EAP.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’)
– Zaznacz Digital Signature(X.509)
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows(wbudowane)

Jeśli posiadasz starszą wersję systemu Windows to przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows a następnie wybierz Skonfiguruj nowe połączenie lub nową sieć. Postępuj zgodnie z kreatorem

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj połączenie VPN.

Wybierz dostawcę sieci VPN Windows (wbudowane) i wypełnij niezbędne dane.

Wybierz Połącz

Jeśli podczas próby połączenia pojawi się błąd „Poświadczenia uwierzytelnień IKE nie mogą zostać przyjęte”:
Krok 1. Sprawdź czy w VPN and Remote Access >> IPsec General Setup został wybrany właściwy certyfikat.
Krok 2. W Windows zainstaluj certyfikat R3 w magazynie Pośrednie urzędy certyfikacji
Plik certyfikatu R3 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt


Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj się z przykładem Jak w kliencie wbudowanym Windows wyłączyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w Połączenia sieciowe w Panelu sterowania.

 

Klient VPN – Smart VPN Client

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolną nazwę połączenia.
– W polu Typ wybierz IKEv2 EAP
– W polu IP lub nazwa hosta wpisz adres domenowy routera (w przykładzie vigor.drayddns.com) do którego zestawiasz tunel VPN
– W polu Użytkownik wpisz odpowiednią nazwę zgodną ze stworzonym profilem. W omawianym przykładzie użytkownik ‘test’.
– W polu Hasło wpisz odpowiednie hasło zgodne ze stworzonym profilem. W omawianym przykładzie hasło ‘test’.
– Kliknij przycisk OK, aby kontynuować.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Połącz.

Jeśli podczas próby połączenia pojawi się błąd „Poświadczenia uwierzytelniania IKE są niedopuszczalne”:
Krok 1. Sprawdź czy w VPN and Remote Access >> IPsec General Setup został wybrany właściwy certyfikat.
Krok 2. W Windows zainstaluj certyfikat R3 w magazynie Pośrednie urzędy certyfikacji
Plik certyfikatu R3 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt

 

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję