VPN IPsec IKEv2 EAP z Windows
Instrukcja konfiguracji połączenia VPN IPsec IKEv2 EAP-MSCHAPv2 na urządzeniu użytkownika zdalnego z systemem Windows.
Spis treści:
Serwer VPN – router Vigor
Certyfikaty Windows
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client
Główne założenia przykładu:
– typ tunelu VPN: Host-to-LAN (Remote Access)
– protokół VPN: IPsec IKEv2 EAP-MSCHAPv2
– autentykacja: nazwa użytkownika i hasÅ‚o
– Vigor router wykorzystuje certyfikat publiczny lub certyfikat prywatny
– adres WAN serwera VPN: domenowy – vigor.drayddns.com lub IP 1.1.1.1
– adres klienta VPN: zmienny
Klient IPsec IKEv2 EAP-MSCHAPv2 weryfikuje certyfikat serwera VPN:
– certyfikat musi być ważny i zaufany
– adres domenowy lub adres IP serwera VPN musi być zgodny zgodny z certyfikatem
Serwer VPN – router Vigor
DrayOS 5
Routery DrayTek z systemem DrayOS 5 to m.in. seria Vigor C410, C510, 2136
PrzykÅ‚ad [DrayOS5] VPN Host-LAN IPsec IKEv2 EAP z certyfikatem publicznym Let’s Encrypt
Przykład [DrayOS5] VPN Host-LAN IPsec IKEv2 EAP z certyfikatem prywatnym
DrayOS 3/4
Routery DrayTek z systemem DrayOS 4 to m.in. seria Vigor 2135, 2765, 2915, 2865, 2927, 2962, 3910, 3912
Routery DrayTek z systemem DrayOS 3 to m.in. seria Vigor 2133, 2762, 2860, 2862, 2925, 2926, 2952, 3220
seria Vigor 2912 nie wspiera certyfikatu Let’s Encrypt dla DrayDDNSÂ
PrzykÅ‚ad VPN Host-LAN IPsec IKEv2 EAP z certyfikatem publicznym Let’s Encrypt
Certyfikaty Windows
Jeśli Serwer VPN używa certyfikatu publicznego to pomiń ten krok.
W Zaufanych głównych urzÄ™dach certyfikacji znajduje siÄ™ ISRG Root X1 czyli certyfikat Root CA Let’s Encrypt.
Jeśli Serwer VPN używa certyfikatu prywatnego to zainstaluj Root CA w Zaufanych głównych urzędach certyfikacji.
Pobierz certyfikat Root CA na komputer.
Jeśli ma rozszerzenie .pem to zmień na .crt.
Kliknij dwukrotnie na plik certyfikatu.
Wybierz Zainstaluj certyfikat…
Wybierz Komputer lokalny
Umieść certyfikat w magazynie Zaufane główne urzędy certyfikacji
Klient VPN – Windows(wbudowane)
Sprawdź Usługi i rejestr Windows dla VPN
Jeśli posiadasz starszą wersję systemu Windows to przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows a następnie wybierz Skonfiguruj nowe połączenie lub nową sieć. Postępuj zgodnie z kreatorem
Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj sieć VPN.
Wybierz/ypełnij informacje dotyczące serwera oraz logowania:
– Dostawca sieci VPN Windows (wbudowane).
– W polu Nazwa poÅ‚Ä…czenia wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia.
– W polu Nazwa lub adres serwera wpisz adres domenowy (w przykÅ‚adzie vigor.drayddns.com) lub adres IP (w przykÅ‚adzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN.
– W polu Typ sieci VPN wybierz IKEv2.
– W polu Nazwa użytkownika wpisz nazwÄ™ zgodnÄ… ze stworzonym profilem w routerze.
– W polu HasÅ‚o wpisz hasÅ‚o zgodne ze stworzonym profilem w routerze.
Wybierz Połącz
JeÅ›li podczas próby poÅ‚Ä…czenia pojawi siÄ™ bÅ‚Ä…d “PoÅ›wiadczenia uwierzytelnieÅ„ IKE nie mogÄ… zostać przyjÄ™te”:
1. Sprawdź w ustawieniach serwera VPN czy wybrałeś właściwy certyfikat oraz czy jest on ważny
2. Upewnij się, że w kliencie VPN wpisałeś adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN
Klient wbudowany Windows po zestawieniu połączenia domyślnie kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj się z przykładem Jak w kliencie wbudowanym Windows wyłączyć kierowanie ruchu do Internetu przez tunel.
Szczegóły karty VPN znajdziesz m.in. w Połączenia sieciowe w Panelu sterowania.
Klient VPN – Smart VPN Client
Sprawdź Usługi i rejestr Windows dla VPN
Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.
DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Dodaj, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolnÄ… nazwÄ™ poÅ‚Ä…czenia
– W polu Typ wybierz IKEv2 EAP
– W polu Nazwa lub adres serwera wpisz adres domenowy (w przykÅ‚adzie vigor.drayddns.com) lub adres IP (w przykÅ‚adzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN
– W polu Użytkownik wpisz nazwÄ™ zgodnÄ… ze stworzonym profilem w routerze
– W polu HasÅ‚o wpisz hasÅ‚o zgodne ze stworzonym profilem w routerze
Smart VPN Client po zestawieniu połączenia domyślnie kieruje przez tunel tylko ruch do sieci zdalnej.
Zapoznaj się z przykładem Kierowanie ruchu przez VPN Host-LAN.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Połącz.
JeÅ›li podczas próby poÅ‚Ä…czenia pojawi siÄ™ bÅ‚Ä…d “PoÅ›wiadczenia uwierzytelnieÅ„ IKE nie mogÄ… zostać przyjÄ™te”:
1. Sprawdź w ustawieniach serwera VPN czy wybrałeś właściwy certyfikat oraz czy jest on ważny
2. Upewnij się, że w kliencie VPN wpisałeś adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN
