VPN Host-LAN IPsec na Windows

Użycie standardowego IPsec nie jest zalecane z uwagi na:
– brak uzyskiwania adresu IP ze zdalnej podsieci (klient VPN prezentuje siÄ™ swoim lokalnym adresem IP) co uniemożliwia przypisywanie staÅ‚ego IP oraz może powodować problemy z komunikacjÄ…
– brak możliwoÅ›ci zmian w routingu (skierowanie caÅ‚ego ruchu przez tunel, trasy statyczne)
– aktywacja profilu IPsec powoduje dodanie polityki bezpieczeÅ„stwa w Zaporze Windows (nie jest tworzona karta sieciowa VPN), a ustanowienie tunelu wymaga wygenerowania ruchu do zdalnej podsieci

Zamiast standardowego IPsec omawianego w tym przykÅ‚adzie skorzystaj z:
VPN Host-LAN IKEv2 EAP z certyfikatem Let’s Encrypt na Windows
VPN Host-LAN L2TP/IPsec z kluczem na Windows

 

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: IPsec
– szyfrowanie: AES128
– integralność: SHA1
– autentykacja: klucz IKE
– adres WAN serwera VPN: staÅ‚y (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: prywatny 192.168.2.10, publiczny 2.2.2.2

JeÅ›li serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować siÄ™ z routerem poprzez adres domenowy.
Zapoznaj siÄ™ z przykÅ‚adem Dynamiczny DNS (DrayDDNS).

Serwer VPN – router Vigor

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wpisz wspólny klucz IKE (w omawianym przykładzie klucz ‘test’).
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Smart VPN Client

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a nastÄ™pnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia.
– W polu Typ wybierz IPsec
– W polu IP lub nazwa hosta wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykÅ‚adzie vigor.drayddns.com).
– W sekcji Adresacja IP wpisz zdalnÄ… adresacjÄ™.
– W polu Klucz PSK, wpisz klucz IPsec. W omawianym przykÅ‚adzie klucz ‚test’.
– Kliknij przycisk OK, aby kontynuować.

Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Aktywuj.
Aktywna polityka IPsec nie oznacza, że tunel rzeczywiÅ›cie dziaÅ‚a w danym momencie.
Wygeneruj ruch do zdalnej podsieci np. ping 192.168.1.1.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

AkceptujÄ™