VPN Host-LAN L2TP/IPsec z kluczem na Windows

Zapoznaj siÄ™ z przykÅ‚adem RozwiÄ…zywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: L2TP/IPsec (L2TP over IPsec)
– autentykacja: L2TP (nazwa użytkownika i hasÅ‚o), IPsec (klucz IKE)
– adres WAN serwera VPN: staÅ‚y (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub staÅ‚y (IP – 2.2.2.2)

JeÅ›li serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować siÄ™ z routerem poprzez adres domenowy.
Zapoznaj siÄ™ z przykÅ‚adem Dynamiczny DNS (DrayDDNS).

L2TP z polisÄ… IPsec umożliwia szyfrowanie danych AES/3DES/DES.
W przypadku L2TP bez IPsec dane przesyłane są jawnym tekstem.

Serwer VPN – router Vigor

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest wÅ‚Ä…czona obsÅ‚uga protokoÅ‚u IPsec i L2TP.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wpisz wspólny klucz IKE (w omawianym przykładzie klucz ‘test’).
Nie wybieraj High w IPsec Security Method, gdyż Windows domyÅ›lnie nie używa SHA256 dla L2TP/IPsec.

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu. L2TP posiada wbudowane mechanizmy detekcji poÅ‚Ä…czenia.
– Jako akceptowany protokół zaznacz L2TP with IPsec Policy. Dla polisy IPsec wybierz Must.
– Wpisz nazwÄ™ użytkownika w polu Username oraz hasÅ‚o w polu Password (w omawianym przykÅ‚adzie użytkownik ‘test’ i hasÅ‚o ‘test’).
Oprócz okreÅ›lenia podsieci LAN z której klient otrzyma adresacjÄ™, możesz przypisać klientowi staÅ‚y IP np. 192.168.1.100, który bÄ™dzie dla niego zarezerwowany.
DziÄ™ki temu możesz również w Å‚atwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Windows(wbudowane)

Sprawdź UsÅ‚ugi i rejestr Windows dla VPN
WÅ‚Ä…cz wsparcie NAT-T dla IPsec w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Sprawdź (dodaj jeśli nie istnieje) AssumeUDPEncapsulationContextOnSendRule (oczekiwana wartość wynosi 2)

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj połączenie VPN.
JeÅ›li posiadasz starszÄ… wersjÄ™ systemu Windows to przejdź do Centrum sieci i udostÄ™pniania w Panelu sterowania Windows a nastÄ™pnie wybierz Skonfiguruj nowe poÅ‚Ä…czenie lub nowÄ… sieć. PostÄ™puj zgodnie z kreatorem

Wybierz dostawcÄ™ sieci VPN Windows (wbudowane) i wypeÅ‚nij niezbÄ™dne dane.
Wybierz Połącz
W przypadku problemów z ustanowieniem poÅ‚Ä…czenia sprawdź RozwiÄ…zywanie problemów z VPN dla Windows.

Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj siÄ™ z przykÅ‚adem Jak w kliencie wbudowanym Windows wyÅ‚Ä…czyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w PoÅ‚Ä…czenia sieciowe w Panelu sterowania.

Klient VPN – Smart VPN Client

Sprawdź UsÅ‚ugi i rejestr Windows dla VPN

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a nastÄ™pnie uruchom oprogramowanie.

Przejdź do zakładki Ustawienia.
WÅ‚Ä…cz wsparcie NAT-T dla IPsec w systemie Windows.

Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia.
– W polu Typ wybierz L2TP over IPsec
– W polu IP lub nazwa hosta wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykÅ‚adzie vigor.drayddns.com).
– W polu Użytkownik wpisz odpowiedniÄ… nazwÄ™ zgodnÄ… ze stworzonym profilem. W omawianym przykÅ‚adzie użytkownik ‘test’.
– W polu HasÅ‚o wpisz odpowiednie hasÅ‚o zgodne ze stworzonym profilem. W omawianym przykÅ‚adzie hasÅ‚o ‘test’.
– JeÅ›li opcja Użyj domyÅ›lnej bramy w sieci zdalnej jest wyÅ‚Ä…czona to tunel umożliwia tylko dostÄ™p do sieci zdalnej.
Zapoznaj siÄ™ z przykÅ‚adem Kierowanie ruchu przez VPN Host-LAN.

– W polu Klucz PSK, wpisz klucz IPsec. W omawianym przykÅ‚adzie klucz ‚test’.
– Kliknij przycisk OK, aby kontynuować.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij PoÅ‚Ä…cz.

W przypadku problemów z ustanowieniem poÅ‚Ä…czenia sprawdź RozwiÄ…zywanie problemów z VPN dla Windows.