VPN Host-LAN IKEv2 EAP z certyfikatem Let’s Encrypt
Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.
Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows
Klient VPN – macOS
Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: IKEv2 EAP
– autentykacja: nazwa użytkownika i hasÅ‚o
– Vigor router wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub staÅ‚y (IP – 2.2.2.2)
Serwer VPN – router Vigor
Utwórz DrayDDNS nawet jeśli router posiada stały publiczny IP.
Domena DrayDDNS zostanie użyta do wygenerowania certyfikatu Let’s Encrypt.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS)
Utwórz certyfikat Let’s Encrypt.
Klient IKEv2 EAP weryfikuje certyfikat serwera VPN.
Zapoznaj siÄ™ z przykÅ‚adem Certyfikat routera w oparciu o Let’s Encrypt
Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.
Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidÅ‚owo skonfigurowanÄ… usÅ‚ugÄ™ DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Włącz obsługę protokołu IPsec.
Wyłącz nieużywane protokoły VPN.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wybierz certyfikat DrayDDNS.
Windows domyślnie używa G2(1024-bit MODP) dla IKEv2 zatem nie wybieraj Medium lub High w IPsec Security Method.
Sprawdź Usługi i rejestr Windows dla VPN aby wymusić użycie G14 (2048-bit MODP).
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec (IKEv1/IKEv2) oraz IKEv2 EAP.
– Wpisz nazwÄ™ użytkownika w polu Username (możliwe sÄ… różne formaty np. jkowalski, j.kowlaski, jan.kowalski)
– Wpisz hasÅ‚o polu Password
– Zaznacz Digital Signature(X.509)
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.
Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.
Klient VPN – Windows
Przykład IKEv2 EAP z Windows
Sprawdź Usługi i rejestr Windows dla VPN
Jeśli w ustawieniach routera w VPN and Remote Access >> IPsec General Setup wybrałeś Medium lub High w IPsec Securithy Method to wymuś użycie G14 (2048-bit MODP) w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Sprawdź (dodaj jeśli nie istnieje) NegotiateDH2048_AES256 (oczekiwana wartość wynosi 2)
Klient VPN – macOS
Przykład IKEv2 EAP z macOS
