VPN Host-LAN SSL VPN z certyfikatem Let’s Encrypt na macOS
Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.
Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client
Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: SSL
– router Vigor wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)
– wersja firmware 3.9.0, która wspiera Let’s Encrypt
Serwer VPN – router Vigor
Utwórz dynamiczny DNS.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS)
Pobierz certyfikat Let’s Encrypt.
Zapoznaj siÄ™ z przykÅ‚adem Certyfikat routera w oparciu o Let’s Encrypt
Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidłowo skonfigurowaną usługę DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu SSL VPN.
Przejdź do zakładki SSL VPN >> General Setup lub VPN and Remote Access >> SSL General Setup.
Sprawdź port SSL VPN.
Wybierz certyfikat Let’s Encrypt powiÄ…zany z DrayDDNS.
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu. SSL VPN posiada wbudowane mechanizmy detekcji poÅ‚Ä…czenia.
– Jako akceptowany protokół zaznacz SSL Tunnel.
– Wpisz nazwÄ™ użytkownika w polu Username oraz hasÅ‚o w polu Password (w omawianym przykÅ‚adzie użytkownik ‘test’ i hasÅ‚o ‘test’).
Jeśli klient VPN prezentuje się stałym publicznym adresem IP to możesz uzupełnić profil VPN o ten adres.
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.
Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.
Klient VPN – Smart VPN Client
Pobierz DrayTek Smart VPN Client
Zainstaluj a następnie uruchom oprogramowanie.
Kliknij ikonÄ™ ustawienia.
Wybierz Certificate verify level Match Server Name.
Certificate verify level:
– Basic: W tym trybie urzÄ…dzenie Apple nie weryfikuje tożsamoÅ›ci serwera. SSL VPN można ustanowić pod warunkiem, że serwer VPN, nazwa użytkownika i hasÅ‚o sÄ… prawidÅ‚owe. Użytkownicy mogÄ… korzystać z tego trybu, jeÅ›li serwer SSL VPN nie jest w stanie dostarczyć certyfikatu.
– Match server name: W tym trybie serwer VPN musi dostarczyć certyfikat, a pole Common Name w certyfikacie musi odpowiadać adresowi IP lub nazwie domenowej, z którÄ… Å‚Ä…czy siÄ™ urzÄ…dzenie Apple.
– Verify Root CA: Ten tryb zapewnia najwyższe bezpieczeÅ„stwo. W tym trybie urzÄ…dzenie Apple sprawdzi główny urzÄ…d certyfikacji (CA), który podpisaÅ‚ certyfikat dostarczony przez serwer VPN. SSL VPN zostanie ustanowiony tylko wtedy, gdy serwer dostarczy certyfikat podpisany przez zweryfikowany główny urzÄ…d certyfikacji.
Kliknij + aby utworzyć profil VPN.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Profile wpisz dowolnÄ… nazwÄ™ profilu
– W polu Server wpisz adres domenowy routera (w przykÅ‚adzie vigor.drayddns.com), do którego zestawiasz tunel VPN
– W polu Port pozostaw port domyÅ›lny 443 jeÅ›li nie zmieniaÅ‚eÅ› go w ustawieniach ogólnych SSL VPN routera
– W polu User name wpisz odpowiedniÄ… nazwÄ™ użytkownika zgodnÄ… ze stworzonym profilem. W omawianym przykÅ‚adzie użytkownik ‘test’.
– Kliknij Authentication Settings, aby wybrać ustawienia uwierzytelniania
– Wybierz Password a nastÄ™pnie wpisz odpowiednie hasÅ‚o zgodne ze stworzonym profilem. W omawianym przykÅ‚adzie hasÅ‚o ‘test’.
– Kliknij przycisk OK, aby kontynuować.
Wybierz stworzony profil
Kliknij Connect, aby nawiązać połączenie.
Kliknij Always Allow, aby zezwolić na dostęp do niezbędnych informacji
