VPN Host-LAN IKEv2 EAP z certyfikatem Let’s Encrypt na Windows

Zapoznaj siÄ™ z przykÅ‚adem RozwiÄ…zywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: IKEv2 EAP
– autentykacja: nazwa użytkownika i hasÅ‚o
– Vigor router wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub staÅ‚y (IP – 2.2.2.2)
– wersja firmware 3.9.0, która wspiera Let’s Encrypt

Serwer VPN – router Vigor

Utwórz DrayDDNS nawet jeśli router posiada stały publiczny IP.
Domena DrayDDNS zostanie użyta do wygenerowania certyfikatu Let’s Encrypt.
Zapoznaj siÄ™ z przykÅ‚adem Dynamiczny DNS (DrayDDNS)

Utwórz certyfikat Let’s Encrypt.
Klient IKEv2 EAP weryfikuje certyfikat serwera VPN.
Zapoznaj siÄ™ z przykÅ‚adem Certyfikat routera w oparciu o Let’s Encrypt

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.

Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidÅ‚owo skonfigurowanÄ… usÅ‚ugÄ™ DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wybierz certyfikat DrayDDNS.
Nie wybieraj Medium lub HighIPsec Security Method, gdyż Windows domyślnie używa G2(1024-bit MODP) dla IKEv2.
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.

Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec (IKEv1/IKEv2) oraz IKEv2 EAP.
– Wpisz nazwÄ™ użytkownika w polu Username oraz hasÅ‚o w polu Password (w omawianym przykÅ‚adzie użytkownik ‘test’ i hasÅ‚o ‘test’)
– Zaznacz Digital Signature(X.509)
Oprócz okreÅ›lenia podsieci LAN z której klient otrzyma adresacjÄ™, możesz przypisać klientowi staÅ‚y IP np. 192.168.1.100, który bÄ™dzie dla niego zarezerwowany.
DziÄ™ki temu możesz również w Å‚atwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows(wbudowane)

Sprawdź UsÅ‚ugi i rejestr Windows dla VPN
JeÅ›li w ustawieniach routera w VPN and Remote Access >> IPsec General Setup wybraÅ‚eÅ› Medium lub HighIPsec Securithy Method to wymuÅ› użycie G14 (2048-bit MODP) w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Sprawdź (dodaj jeśli nie istnieje) NegotiateDH2048_AES256 (oczekiwana wartość wynosi 2)

JeÅ›li posiadasz starszÄ… wersjÄ™ systemu Windows to przejdź do Centrum sieci i udostÄ™pniania w Panelu sterowania Windows a nastÄ™pnie wybierz Skonfiguruj nowe poÅ‚Ä…czenie lub nowÄ… sieć. PostÄ™puj zgodnie z kreatorem

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj połączenie VPN.

Wybierz dostawcÄ™ sieci VPN Windows (wbudowane) i wypeÅ‚nij niezbÄ™dne dane.

Wybierz Połącz

W przypadku problemów z ustanowieniem poÅ‚Ä…czenia sprawdź RozwiÄ…zywanie problemów z VPN dla Windows.

JeÅ›li podczas próby poÅ‚Ä…czenia pojawi siÄ™ bÅ‚Ä…d „PoÅ›wiadczenia uwierzytelnieÅ„ IKE nie mogÄ… zostać przyjÄ™te”:
1. Sprawdź w VPN and Remote Access >> IPsec General Setup czy wybraÅ‚eÅ› wÅ‚aÅ›ciwy certyfikat oraz w Certificate Management >> Local Certificate czy jest on ważny
2. Upewnij siÄ™, że w kliencie VPN wpisaÅ‚eÅ› nazwÄ™ domenowÄ… routera (w przykÅ‚adzie vigor.drayddns.com)
3. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj certyfikat ISRG Root X1 w magazynie Zaufane główne urzÄ™dy certyfikacji
Plik certyfikatu ISRG Root X1 (isrgrootx1.der) możesz pobrać ze strony Let’s Encrypt
Certyfikat DST Root CA X3 był ważny do 30.09.2021

4. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj aktualny certyfikat R3 w magazynie PoÅ›rednie urzÄ™dy certyfikacji
Plik certyfikatu R3 podpisanego przez ISRG Root X1 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt
Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj siÄ™ z przykÅ‚adem Jak w kliencie wbudowanym Windows wyÅ‚Ä…czyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w PoÅ‚Ä…czenia sieciowe w Panelu sterowania.

 

Klient VPN – Smart VPN Client

Sprawdź UsÅ‚ugi i rejestr Windows dla VPN
JeÅ›li w ustawieniach routera w VPN and Remote Access >> IPsec General Setup wybraÅ‚eÅ› Medium lub HighIPsec Securithy Method to wymuÅ› użycie G14 (2048-bit MODP) w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
Sprawdź (dodaj jeśli nie istnieje) NegotiateDH2048_AES256 (oczekiwana wartość wynosi 2)

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a nastÄ™pnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia.
– W polu Typ wybierz IKEv2 EAP
– W polu IP lub nazwa hosta wpisz adres domenowy routera (w przykÅ‚adzie vigor.drayddns.com) do którego zestawiasz tunel VPN
– W polu Użytkownik wpisz odpowiedniÄ… nazwÄ™ zgodnÄ… ze stworzonym profilem. W omawianym przykÅ‚adzie użytkownik ‘test’.
– W polu HasÅ‚o wpisz odpowiednie hasÅ‚o zgodne ze stworzonym profilem. W omawianym przykÅ‚adzie hasÅ‚o ‘test’.
– JeÅ›li opcja Użyj domyÅ›lnej bramy w sieci zdalnej jest wyÅ‚Ä…czona to tunel umożliwia tylko dostÄ™p do sieci zdalnej.
Zapoznaj siÄ™ z przykÅ‚adem Kierowanie ruchu przez VPN Host-LAN.

– Kliknij przycisk OK, aby kontynuować.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij PoÅ‚Ä…cz.

W przypadku problemów z ustanowieniem poÅ‚Ä…czenia sprawdź RozwiÄ…zywanie problemów z VPN dla Windows.

JeÅ›li podczas próby poÅ‚Ä…czenia pojawi siÄ™ bÅ‚Ä…d „PoÅ›wiadczenia uwierzytelniania IKE sÄ… niedopuszczalne”:
1. Sprawdź w VPN and Remote Access >> IPsec General Setup czy wybraÅ‚eÅ› wÅ‚aÅ›ciwy certyfikat oraz w Certificate Management >> Local Certificate czy jest on ważny
2. Upewnij siÄ™, że w kliencie VPN wpisaÅ‚eÅ› nazwÄ™ domenowÄ… routera (w przykÅ‚adzie vigor.drayddns.com)
3. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj certyfikat ISRG Root X1 w magazynie Zaufane główne urzÄ™dy certyfikacji
Plik certyfikatu ISRG Root X1 (isrgrootx1.der) możesz pobrać ze strony Let’s Encrypt
Certyfikat DST Root CA X3 był ważny do 30.09.2021
4. JeÅ›li nie nastÄ…piÅ‚a poprawa to w Windows zainstaluj aktualny certyfikat R3 w magazynie PoÅ›rednie urzÄ™dy certyfikacji
Plik certyfikatu R3 podpisanego przez ISRG Root X1 (lets-encrypt-r3.der) możesz pobrać ze strony Let’s Encrypt