VPN IPsec IKEv2 EAP z Windows

Instrukcja konfiguracji połączenia VPN IPsec IKEv2 EAP-MSCHAPv2 na urządzeniu użytkownika zdalnego z systemem Windows.

Spis treści:
Serwer VPN – router Vigor
Certyfikaty Windows
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu VPN: Host-to-LAN (Remote Access)
– protokół VPN: IPsec IKEv2 EAP-MSCHAPv2
– autentykacja: nazwa użytkownika i hasło
– Vigor router wykorzystuje certyfikat publiczny lub certyfikat prywatny
– adres WAN serwera VPN: domenowy – vigor.drayddns.com lub IP 1.1.1.1
– adres klienta VPN: zmienny

Klient IPsec IKEv2 EAP-MSCHAPv2 weryfikuje certyfikat serwera VPN:
– certyfikat musi być ważny i zaufany
– adres domenowy lub adres IP serwera VPN musi być zgodny zgodny z certyfikatem

Serwer VPN – router Vigor

DrayOS 5
Routery DrayTek z systemem DrayOS 5 to m.in. seria Vigor C410, C510, 2136
Przykład [DrayOS5] VPN Host-LAN IPsec IKEv2 EAP z certyfikatem publicznym Let’s Encrypt
Przykład [DrayOS5] VPN Host-LAN IPsec IKEv2 EAP z certyfikatem prywatnym

DrayOS 3/4
Routery DrayTek z systemem DrayOS 4 to m.in. seria Vigor 2135, 2765, 2915, 2865, 2927, 2962, 3910, 3912
Routery DrayTek z systemem DrayOS 3 to m.in. seria Vigor 2133, 2762, 2860, 2862, 2925, 2926, 2952, 3220
seria Vigor 2912 nie wspiera certyfikatu Let’s Encrypt dla DrayDDNS
Przykład VPN Host-LAN IPsec IKEv2 EAP z certyfikatem publicznym Let’s Encrypt

Certyfikaty Windows

Jeśli Serwer VPN używa certyfikatu publicznego to pomiń ten krok.
W Zaufanych głównych urzędach certyfikacji znajduje się ISRG Root X1 czyli certyfikat Root CA Let’s Encrypt.

Jeśli Serwer VPN używa certyfikatu prywatnego to zainstaluj Root CA w Zaufanych głównych urzędach certyfikacji.
Pobierz certyfikat Root CA na komputer.
Jeśli ma rozszerzenie .pem to zmień na .crt.
Kliknij dwukrotnie na plik certyfikatu.
Wybierz Zainstaluj certyfikat…
Wybierz Komputer lokalny
Umieść certyfikat w magazynie Zaufane główne urzędy certyfikacji

Klient VPN – Windows(wbudowane)

Sprawdź Usługi i rejestr Windows dla VPN

Jeśli posiadasz starszą wersję systemu Windows to przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows a następnie wybierz Skonfiguruj nowe połączenie lub nową sieć. Postępuj zgodnie z kreatorem

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj sieć VPN.
Wybierz/ypełnij informacje dotyczące serwera oraz logowania:
– Dostawca sieci VPN Windows (wbudowane).
– W polu Nazwa połączenia wpisz dowolną nazwę połączenia.
– W polu Nazwa lub adres serwera wpisz adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN.
– W polu Typ sieci VPN wybierz IKEv2.
– W polu Nazwa użytkownika wpisz nazwę zgodną ze stworzonym profilem w routerze.
– W polu Hasło wpisz hasło zgodne ze stworzonym profilem w routerze.

Wybierz Połącz
Jeśli podczas próby połączenia pojawi się błąd “Poświadczenia uwierzytelnień IKE nie mogą zostać przyjęte”:
1. Sprawdź w ustawieniach serwera VPN czy wybrałeś właściwy certyfikat oraz czy jest on ważny
2. Upewnij się, że w kliencie VPN wpisałeś adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN

Klient wbudowany Windows po zestawieniu połączenia domyślnie kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj się z przykładem Jak w kliencie wbudowanym Windows wyłączyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz m.in. w Połączenia sieciowe w Panelu sterowania.

Klient VPN – Smart VPN Client

Sprawdź Usługi i rejestr Windows dla VPN

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Dodaj, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolną nazwę połączenia
– W polu Typ wybierz IKEv2 EAP
– W polu Nazwa lub adres serwera wpisz adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN
– W polu Użytkownik wpisz nazwę zgodną ze stworzonym profilem w routerze
– W polu Hasło wpisz hasło zgodne ze stworzonym profilem w routerze
Smart VPN Client po zestawieniu połączenia domyślnie kieruje przez tunel tylko ruch do sieci zdalnej.
Zapoznaj się z przykładem Kierowanie ruchu przez VPN Host-LAN.

Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Połącz.
Jeśli podczas próby połączenia pojawi się błąd “Poświadczenia uwierzytelnień IKE nie mogą zostać przyjęte”:
1. Sprawdź w ustawieniach serwera VPN czy wybrałeś właściwy certyfikat oraz czy jest on ważny
2. Upewnij się, że w kliencie VPN wpisałeś adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN