VPN Host-LAN IPsec na Windows

Użycie standardowego IPsec nie jest zalecane z uwagi na:
– brak uzyskiwania adresu IP ze zdalnej podsieci (klient VPN prezentuje się swoim lokalnym adresem IP) co uniemożliwia przypisywanie stałego IP oraz może powodować problemy z komunikacją
– brak możliwości zmian w routingu (skierowanie całego ruchu przez tunel, trasy statyczne)
– aktywacja profilu IPsec powoduje dodanie polityki bezpieczeństwa w Zaporze Windows (nie jest tworzona karta sieciowa VPN), a ustanowienie tunelu wymaga wygenerowania ruchu do zdalnej podsieci

Zamiast standardowego IPsec omawianego w tym przykładzie skorzystaj z:
VPN Host-LAN IKEv2 EAP na Windows
VPN Host-LAN L2TP over IPsec na Windows

 

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: IPsec
– szyfrowanie: AES128
– integralność: SHA1
– autentykacja: klucz IKE
– adres WAN serwera VPN: stały (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: prywatny 192.168.2.10, publiczny 2.2.2.2

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).

Serwer VPN – router Vigor

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wpisz wspólny klucz IKE (w omawianym przykładzie klucz ‘test’).

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Smart VPN Client

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolną nazwę połączenia.
– W polu Typ wybierz IPsec
– W polu IP lub nazwa hosta wpisz adres IP routera (w przykładzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykładzie vigor.drayddns.com).
– W sekcji Adresacja IP wpisz zdalną adresację.
– W polu Klucz PSK, wpisz klucz IPsec. W omawianym przykładzie klucz ‚test’.
– Kliknij przycisk OK, aby kontynuować.

Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Aktywuj.
Wygeneruj ruch do podsieci zdalnej.

Aktywna polityka IPsec nie oznacza, że tunel rzeczywiście działa w danym momencie.
Wygeneruj ruch do zdalnej podsieci np. ping 192.168.1.1.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję