VPN Host-LAN SSL VPN z certyfikatem Let’s Encrypt na macOS

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: SSL
– certyfikat routera: Let’s Encrypt powiązany z DrayDDNS
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)
– wersja firmware 3.9.0, która wspiera Let’s Encrypt

Serwer VPN – router Vigor

Utwórz DrayDDNS nawet jeśli router posiada stały publiczny IP.
Domena DrayDDNS zostanie użyta do wygenerowania certyfikatu Let’s Encrypt.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS)

Utwórz certyfikat Let’s Encrypt.
Klient SSL VPN weryfikuje certyfikat serwera VPN.
Zapoznaj się z przykładem Certyfikat routera w oparciu o Let’s Encrypt

Przejdź do zakładki System Maintenance >> Time and Date.
Zweryfikuj ustawienia czasu routera.

Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidłowo skonfigurowaną usługę DrayDDNS wraz z certyfikatem Let’s Encrypt.

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu SSL VPN.
Przejdź do zakładki VPN and Remote Access >> SSL General Setup (w starszym WebUI SSL VPN >> General Setup).
Sprawdź ustawienia SSL VPN.
Wybierz certyfikat Let’s Encrypt powiązany z DrayDDNS.
Szczegóły dotyczące certyfikatu DrayDDNS znajdziesz w Certificate Management >> Local Certificate.
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu. SSL VPN posiada wbudowane mechanizmy detekcji połączenia.
– Jako akceptowany protokół zaznacz SSL Tunnel.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’).
Jeśli klient VPN prezentuje się stałym publicznym adresem IP to możesz uzupełnić profil VPN o ten adres.
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.

Klient VPN – Smart VPN Client

Pobierz DrayTek Smart VPN Client
Zainstaluj a następnie uruchom oprogramowanie.

Kliknij ikonę ustawienia.
Wybierz Certificate verify level Match Server Name.

Certificate verify level:
Basic: W tym trybie serwer VPN może dostarczyć dowolny certyfikat (np. samopodpisany), który musi być ważny. Użytkownicy mogą korzystać z tego trybu, jeśli serwer SSL VPN nie jest w stanie dostarczyć publicznego certyfikatu.
Match server name: W tym trybie serwer VPN musi dostarczyć ważny certyfikat w którym pole Common Name odpowiada adresowi IP lub nazwie domenowej, z którą łączy się urządzenie Apple.
Verify Root CA: Ten tryb zapewnia najwyższe bezpieczeństwo. W tym trybie urządzenie Apple sprawdzi główny urząd certyfikacji (CA), który podpisał certyfikat dostarczony przez serwer VPN. SSL VPN zostanie ustanowiony tylko wtedy, gdy serwer dostarczy ważny certyfikat podpisany przez zweryfikowany główny urząd certyfikacji.

 

Kliknij + aby utworzyć profil VPN.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Profile wpisz dowolną nazwę profilu
– W polu Server wpisz adres domenowy routera (w przykładzie vigor.drayddns.com), do którego zestawiasz tunel VPN
– W polu Port pozostaw port domyślny 443 jeśli nie zmieniałeś go w ustawieniach ogólnych SSL VPN routera
– W polu User name wpisz odpowiednią nazwę użytkownika zgodną ze stworzonym profilem. W omawianym przykładzie użytkownik ‘test’.
– Kliknij Authentication Settings, aby wybrać ustawienia uwierzytelniania

– Wybierz Password a następnie wpisz odpowiednie hasło zgodne ze stworzonym profilem. W omawianym przykładzie hasło ‘test’.
– Kliknij przycisk OK, aby kontynuować.

Wybierz stworzony profil
Kliknij Connect, aby nawiązać połączenie.

Kliknij Always Allow, aby zezwolić na dostęp do niezbędnych informacji

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję