VPN L2TP/IPsec z kluczem z Windows

Instrukcja pokazuje jak skonfigurować połączenie VPN L2TP/IPsec z kluczem PSK w urządzeniu z systemem Windows.

Spis treści:
Serwer VPN – router Vigor
Klient VPN – Windows(wbudowane)
Klient VPN – Smart VPN Client

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– protokół VPN: L2TP/IPsec (L2TP over IPsec)
– autentykacja: L2TP (nazwa użytkownika i hasło), IPsec (klucz IKE)
– adres WAN serwera VPN: stały (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).

L2TP z polisą IPsec umożliwia szyfrowanie danych AES/3DES/DES.
W przypadku L2TP bez polisy IPsec dane przesyłane są jawnym tekstem.

Serwer VPN – router Vigor

DrayOS4
Routery DrayTek z systemem DrayOS4 to m.in. seria Vigor 2135, 2765, 2915, 2865, 2927, 2962, 3910, 3912
Przykład [DrayOS4] VPN Host-LAN L2TP/IPsec z kluczem

DrayOS5
Routery DrayTek z systemem DrayOS5 to m.in. seria Vigor C410, C510, 2136
Przykład [DrayOS5] VPN Host-LAN L2TP/IPsec z kluczem

Klient VPN – Windows(wbudowane)

Sprawdź Usługi i rejestr Windows dla VPN
Włącz wsparcie NAT-T dla IPsec w systemie Windows.
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Sprawdź (dodaj jeśli nie istnieje) AssumeUDPEncapsulationContextOnSendRule (oczekiwana wartość wynosi 2)

Przejdź do Ustawienia > Sieć i Internet > VPN.
Wybierz Dodaj sieć VPN.
Jeśli posiadasz starszą wersję systemu Windows to przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows a następnie wybierz Skonfiguruj nowe połączenie lub nową sieć. Postępuj zgodnie z kreatorem

Wybierz/wypełnij informacje dotyczące serwera oraz logowania:
– Dostawca sieci VPN Windows (wbudowane).
– W polu Nazwa połączenia wpisz dowolną nazwę połączenia.
– W polu Nazwa lub adres serwera wpisz adres domenowy (w przykładzie vigor.drayddns.com) lub adres IP (w przykładzie 1.1.1.1) zgodny z certyfikatem routera do którego zestawiasz tunel VPN.
– W polu Typ sieci VPN wybierz L2TP/IPsec z kluczem wstępnym.
– W polu Klucz wstępny wpisz klucz IKE zgodny z konfiguracją routera.
– W polu Nazwa użytkownika wpisz nazwę zgodną ze stworzonym profilem w routerze.
– W polu Hasło wpisz hasło zgodne ze stworzonym profilem w routerze.
Wybierz Połącz

Klient wbudowany Windows po zestawieniu połączenia kieruje przez tunel ruch do sieci zdalnej oraz ruch do Internetu.
Zapoznaj się z przykładem Jak w kliencie wbudowanym Windows wyłączyć kierowanie ruchu do Internetu przez tunel.

Szczegóły karty VPN znajdziesz w Połączenia sieciowe w Panelu sterowania.

Klient VPN – Smart VPN Client

Sprawdź Usługi i rejestr Windows dla VPN

Smart VPN Client w zakresie PPTP, L2TP, L2TP over IPSec, IKEv2 EAP, IPsec stanowi graficzny interfejs mechanizmów wbudowanych w system Windows.

DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.

Przejdź do zakładki Ustawienia.
Włącz wsparcie NAT-T dla IPsec w systemie Windows.

Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolną nazwę połączenia.
– W polu Typ wybierz L2TP over IPsec.
– W polu IP lub nazwa hosta wpisz adres IP routera (w przykładzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykładzie vigor.drayddns.com).
– W polu Użytkownik wpisz nazwę zgodną ze stworzonym profilem w routerze.
– W polu Hasło wpisz hasło zgodne ze stworzonym profilem w routerze.
– Jeśli opcja Użyj domyślnej bramy w sieci zdalnej jest wyłączona to tunel umożliwia tylko dostęp do sieci zdalnej.
Zapoznaj się z przykładem Kierowanie ruchu przez VPN Host-LAN.
– W polu Klucz PSK wpisz klucz IKE zgodny z konfiguracją routera.
– Kliknij przycisk OK, aby kontynuować.
Przejdź do zakładki Połączenie.
Wybierz utworzony profil i kliknij Połącz.