Połączenie Host-LAN IKEv2 EAP dla Windows – klient wbudowany

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN Host-LAN.

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: IKEv2 EAP
– autentykacja: nazwa użytkownika i hasło
– Vigor router wykorzystuje certyfikat Let’s Encrypt
– adres WAN serwera VPN: domenowy – vigor.drayddns.com
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)
– wersja firmware 3.9.0, która wspiera Let’s Encrypt

1. Konfiguracja serwera VPN

Utwórz dynamiczny DNS.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS)
Pobierz certyfikat Let’s Encrypt.
Zapoznaj się z przykładem Let’s Encrypt

Przejdź do zakładki Applications >> Dynamic DNS.
Sprawdź czy router ma prawidłowo skonfigurowaną usługę DrayDDNS wraz z certyfikatem Let’s Encrypt.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.

Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wybierz certyfikat DrayDDNS oraz AES jako Tryb zabezpieczeń IPsec

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.

Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu.
– Jako akceptowany protokół zaznacz IPsec oraz IKEv2 EAP.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’).

Jeśli klient VPN prezentuje się stałym publicznym adresem IP to możesz uzupełnić profil VPN o ten adres.
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.
Dzięki temu możesz również w łatwy sposób zastosować Filtrowanie ruchu VPN Host-LAN.

2. Konfiguracja klienta VPN

Przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows.
Wybierz Skonfiguruj nowe połączenie lub nową sieć.
Wybierz Połącz z miejscem pracy, a następnie kliknij przycisk Dalej.
Wybierz Użyj mojego połączenia internetowego (VPN).
Wpisz domenowy serwera VPN, a następnie kliknij przycisk Utwórz.
Przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows.
Wybierz Zmień ustawienia karty sieciowej.
Przejdź do Właściwości utworzonego połączenia.
We właściwościach przejdź do zakładki Zabezpieczenia.
Wybierz Protokół IKEv2Wymagaj szyfrowania(rozłącz, jeśli serwer odmawia) oraz uwierzytelnianie EAP-MSCHAPv2.Kliknij dwukrotnie na połączeniu.
Kliknij Połącz.
Wpisz nazwę użytkownika oraz hasło.
Jeśli pojawi się komunikat o błędzie jak poniżej to musisz zainstalować na komputerze pośredni certyfikat Let’s Encrypt Authority X3.

Połącz się z routerem poprzez https.
Wyświetl certyfikat.
Przejdź do ścieżki certyfikacji.

Wyświetl certyfikat Let’s Encrypt Authority X3.
Skopiuj certyfikat do pliku.
Zainstaluj certyfikat na komputerze.

3. Status połączenia

Klient VPN:

Przejdź do ikony sieci w obszarze powiadomień paska narzędzi Windows.
Przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows.
Połączenie znajduje się na liście aktywnych sieci.
Po kliknięciu na połączenie możesz sprawdzić szczegóły.

Serwer VPN:

W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.