VPN Host-LAN IPsec na Windows
Użycie standardowego IPsec nie jest zalecane z uwagi na:
– brak uzyskiwania adresu IP ze zdalnej podsieci (klient VPN prezentuje siÄ™ swoim lokalnym adresem IP) co uniemożliwia przypisywanie staÅ‚ego IP oraz może powodować problemy z komunikacjÄ…
– brak możliwoÅ›ci zmian w routingu (skierowanie caÅ‚ego ruchu przez tunel, trasy statyczne)
– aktywacja profilu IPsec powoduje dodanie polityki bezpieczeÅ„stwa w Zaporze Windows (nie jest tworzona karta sieciowa VPN), a ustanowienie tunelu wymaga wygenerowania ruchu do zdalnej podsieci
Zamiast standardowego IPsec omawianego w tym przykładzie skorzystaj z:
VPN Host-LAN IKEv2 EAP z certyfikatem Let’s Encrypt na Windows
VPN Host-LAN L2TP/IPsec z kluczem na Windows
Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client
Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: IPsec
– szyfrowanie: AES128
– integralność: SHA1
– autentykacja: klucz IKE
– adres WAN serwera VPN: staÅ‚y (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: prywatny 192.168.2.10, publiczny 2.2.2.2
Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).
Serwer VPN – router Vigor
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wpisz wspólny klucz IKE (w omawianym przykładzie klucz ‘test’).
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec.
Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.
Klient VPN – Smart VPN Client
Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.
DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia.
– W polu Typ wybierz IPsec
– W polu IP lub nazwa hosta wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykÅ‚adzie vigor.drayddns.com).
– W sekcji Adresacja IP wpisz zdalnÄ… adresacjÄ™.
– W polu Klucz PSK, wpisz klucz IPsec. W omawianym przykÅ‚adzie klucz ‚test’.
– Kliknij przycisk OK, aby kontynuować.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Aktywuj.
Aktywna polityka IPsec nie oznacza, że tunel rzeczywiście działa w danym momencie.
Wygeneruj ruch do zdalnej podsieci np. ping 192.168.1.1.