VPN Host-LAN SSL VPN na macOS

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: SSL
– certyfikat routera: self-signed
– adres WAN serwera VPN: stały (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).

Serwer VPN – router Vigor

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu SSL VPN.
Przejdź do zakładki VPN and Remote Access >> SSL General Setup (w starszym WebUI SSL VPN >> General Setup).
Sprawdź ustawienia SSL VPN.
Szczegóły dotyczące samopodpisanego certyfikatu self-signed znajdziesz w Certificate Management >> Self-Signed Certificate.
Zapoznaj się z przykładem Regeneracja samopodpisanego certyfikatu routera.

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu. SSL VPN posiada wbudowane mechanizmy detekcji połączenia.
– Jako akceptowany protokół zaznacz SSL Tunnel.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’).
Jeśli klient VPN prezentuje się stałym publicznym adresem IP to możesz uzupełnić profil VPN o ten adres.
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Smart VPN Client

Pobierz DrayTek Smart VPN Client
Zainstaluj a następnie uruchom oprogramowanie.

Kliknij ikonę ustawienia.
Wybierz Certificate verify level Basic.

Certificate verify level:
Basic: W tym trybie serwer VPN może dostarczyć dowolny certyfikat (np. samopodpisany), który musi być ważny. Użytkownicy mogą korzystać z tego trybu, jeśli serwer SSL VPN nie jest w stanie dostarczyć publicznego certyfikatu.
Match server name: W tym trybie serwer VPN musi dostarczyć ważny certyfikat w którym pole Common Name odpowiada adresowi IP lub nazwie domenowej, z którą łączy się urządzenie Apple.
Verify Root CA: Ten tryb zapewnia najwyższe bezpieczeństwo. W tym trybie urządzenie Apple sprawdzi główny urząd certyfikacji (CA), który podpisał certyfikat dostarczony przez serwer VPN. SSL VPN zostanie ustanowiony tylko wtedy, gdy serwer dostarczy ważny certyfikat podpisany przez zweryfikowany główny urząd certyfikacji.

 

Kliknij + aby utworzyć profil VPN.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Profile wpisz dowolną nazwę profilu
– W polu Server wpisz adres IP routera (w przykładzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykładzie vigor.drayddns.com)
– W polu Port pozostaw port domyślny 443 jeśli nie zmieniałeś go w ustawieniach ogólnych SSL VPN routera
– W polu User name wpisz odpowiednią nazwę użytkownika zgodną ze stworzonym profilem. W omawianym przykładzie użytkownik ‘test’.
– Kliknij Authentication Settings, aby wybrać ustawienia uwierzytelniania

– Wybierz Password a następnie wpisz odpowiednie hasło zgodne ze stworzonym profilem. W omawianym przykładzie hasło ‘test’.
– Kliknij przycisk OK, aby kontynuować.

Wybierz stworzony profil
Kliknij
Connect, aby nawiązać połączenie.

Kliknij Always Allow, aby zezwolić na dostęp do niezbędnych informacji