VPN Host-LAN L2TP/IPsec z certyfikatem na Windows

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows(wbudowane)

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: L2TP/IPsec (L2TP over IPsec)
– autentykacja: L2TP (nazwa użytkownika i hasło), IPsec (certyfikat)
XCA jako urząd certyfikacji
– adres WAN serwera VPN: stały (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).

L2TP z polisą IPsec umożliwia szyfrowanie danych AES/3DES/DES.
W przypadku L2TP bez IPsec dane przesyłane są jawnym tekstem.

Serwer VPN – router Vigor

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.
Użyj serwera czasu NTP.
Przejdź do zakładki Certificate Management >> Local Certificate.
Zaimportuj certyfikat routera.
Przejdź do zakładki Certificate Management >> Trusted CA Certificate.
Zaimportuj certyfikat urzędu certyfikacji.

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec i L2TP.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wybierz certyfikat routera.
Nie wybieraj High w IPsec Security Method, gdyż Windows domyślnie nie używa SHA256 dla L2TP/IPsec.

Przejdź do zakładki VPN and Remote Access >> IPsec Peer Identity.
Kliknij dowolny indeks np. 1, aby stworzyć profil certyfikatu klienta, który będzie akceptowany przez router.
Podaj dane zawarte w certyfikacie klienta.

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu. L2TP posiada wbudowane mechanizmy detekcji połączenia.
– Jako akceptowany protokół zaznacz L2TP with IPsec Policy. Dla polisy IPsec wybierz Must.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’).
– Zaznacz DigitalSignature(x.509) i wskaż profil klienta.Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows(wbudowane)

Zainstaluj certyfikat klienta
W przypadku formatu PFX kreator importu certyfikatów powinien umieścić certyfikat klienta wraz z kluczem prywatnym w magazynie „Osobisty” oraz certyfikat urzędu certyfikacji w magazynie „Zaufane główne urzędy certyfikacji”

Sprawdź Usługi i rejestr Windows dla VPN
Włącz wsparcie NAT-T dla IPsec.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Sprawdź (dodaj jeśli nie istnieje) AssumeUDPEncapsulationContextOnSendRule (oczekiwana wartość wynosi 2)

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj połączenie VPN.
Jeśli posiadasz starszą wersję systemu Windows to przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows a następnie wybierz Skonfiguruj nowe połączenie lub nową sieć. Postępuj zgodnie z kreatorem

Wybierz dostawcę sieci VPN Windows (wbudowane) i wypełnij niezbędne dane.
Wybierz Połącz

W przypadku problemów z ustanowieniem połączenia sprawdź Rozwiązywanie problemów z VPN dla Windows.

Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj się z przykładem Jak w kliencie wbudowanym Windows wyłączyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w Połączenia sieciowe w Panelu sterowania.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję