Połączenie Host-LAN L2TP over IPsec dla Windows – klient wbudowany

Główne założenia przykładu:
– typ tunelu: Host-LAN (użytkownik zdalny)
– dzielone tunelowanie
– protokół VPN: L2TP over IPsec
– szyfrowanie: AES128
– integralność: SHA1
– autentykacja: L2TP (nazwa użytkownika i hasło), IPsec (klucz IKE)
– adres serwera VPN: stały (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres klienta VPN: zmienny lub stały (IP – 2.2.2.2)

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec i L2TP.

Wariant 1: Profil dla klienta ze zmiennym publicznym IP

Przejdź do zakładki VPN and Remote Access >> IPsec General Setup.
Wpisz wspólny klucz IKE (w omawianym przykładzie klucz ‘test’) oraz wybierz AES jako Tryb zabezpieczeń IPsec.
Klucz wspólny IKE w ustawieniach ogólnych IPSec jest wykorzystywany przez klientów VPN ze zmiennym publicznym adresem IP.

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu. L2TP posiada wbudowane mechanizmy detekcji połączenia.
– Jako akceptowany protokół zaznacz L2TP with IPsec Policy. Dla polisy IPsec wybierz Nice to Have lub Must.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’).
Oprócz określenia podsieci LAN z której klient otrzyma adresację, możesz przypisać klientowi stały IP np. 192.168.1.100, który będzie dla niego zarezerwowany.

Wariant 2:  Profil dla klienta ze stałym publicznym IP

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu. L2TP posiada wbudowane mechanizmy detekcji połączenia.
– Jako akceptowany protokół zaznacz L2TP with IPsec Policy. Dla polisy IPsec wybierz Nice to Have lub Must.
– Zaznacz opcję Specify Remote Node i wpisz publiczny adres IP klienta VPN. W omawianym przykładzie IP 2.2.2.2.
– Wpisz nazwę użytkownika w polu Username oraz hasło w polu Password (w omawianym przykładzie użytkownik ‘test’ i hasło ‘test’).
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi się okienko w którym wpisz odpowiedni klucz. W omawianym przykładzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeń IPSec w IPsec Security Method. W przykładzie użyto AES.

2. Konfiguracja klienta VPN

Przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows.
Wybierz Skonfiguruj nowe połączenie lub nową sieć.
Wybierz Połącz z miejscem pracy, a następnie kliknij przycisk Dalej.
Wybierz Użyj mojego połączenia internetowego (VPN).
Wpisz adres IP lub adres domenowy serwera VPN, a następnie kliknij przycisk Utwórz.
Przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows.
Wybierz Zmień ustawienia karty sieciowej.
Przejdź do Właściwości utworzonego połączenia.
We właściwościach przejdź do zakładki Zabezpieczenia.
Wybierz Protokół L2TP/IPsec, Wymagaj szyfrowania(rozłącz, jeśli serwer odmawia) oraz protokoły PAP, CHAP i MS-CHAPv2.
Kliknij przycisk Ustawienia zaawansowane, aby wpisać klucz.
We właściwościach przejdź do zakładki Sieć.
Przejdź do Właściwości Protokołu internetowego w wersji 4.
Następnie Zaawansowane.
Wyłącz opcję Użyj domyślnej bramy w sieci zdalnej, jeśli nie chcesz kierować całego ruchu przez VPN.

Sprawdź/zmodyfikuj wartość rejestru ProhibitIpSec w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rasman\Parameters:
– wartośc 0 oznacza połączenie L2TP over IPsec
– wartość 1 oznacza połączenie L2TP

Ustawienia protokołu IPsec w zakresie szyfrowania, integralności oraz grupy Diffiego-Hellmana dla trybu głównego oraz trybu szybkiego znajdziesz we właściwościach Zapory Windows.

Kliknij dwukrotnie na połączeniu.

Kliknij Połącz.
Wpisz nazwę użytkownika oraz hasło.

3. Status połączenia

Klient VPN:

Przejdź do ikony sieci w obszarze powiadomień paska narzędzi Windows.
Przejdź do Centrum sieci i udostępniania w Panelu sterowania Windows.
Połączenie znajduje się na liście aktywnych sieci.
Po kliknięciu na połączenie możesz sprawdzić szczegóły.

Serwer VPN:

W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję