Меню

Настройка ipsec тоннеля windows



Как настроить IPSec в Windows

Существует множество приложений, которые будут реализовывать аутентификацию и шифрование сетевого трафика через отдельную стороннюю программу.

Тем не менее, операционная система Microsoft может также реализовать это через конфигурацию IPSEC. В этой статье мы рассмотрим, что такое IPSEC, и простой пример реализации.

Что такое IPSEC?

Internet Protocol Security или IPSEC — это протокол, используемый для аутентификации и шифрования IP-коммуникаций. Это достигается путем взаимной аутентификации между агентами, а также обмена криптографическими ключами в начале сеанса.

IPSEC также позволит добавлять ограничения IP и шифрование на уровне TCP / UDP к приложениям, которые иначе не могут его поддерживать. IPSEC использует IP-протокол 50 (ESP), IP-протокол 51 (AH) и UDP-порт 500.

Внедрение IPSEC

В этом примере мы настроим IPSEC для шифрования связи между двумя компьютерами Windows. Первый компьютер, сервер Windows 2012 будет выступать в качестве сервера VPN.

Второй компьютер, клиент Windows 10, будет действовать как клиент VPN. LT2P IPSEC VPN может обмениваться либо предварительным общим ключом, либо сертификатом. В этом примере мы будем обмениваться предварительным общим ключом.

Настройка VPN-сервера

На компьютере с Windows 2012 нам потребуется установить функции маршрутизации и удаленного доступа. Для этого перейдите в диспетчер серверов и добавьте роли и компоненты . Выберите установку на основе ролей или функций . Выберите локальный сервер. Выберите для установки следующие роли сервера.

Сетевая политика и службы доступа

Сервер сетевой политики

Удаленный доступ

Прямой доступ и VPN (RAS)

После установки этих новых функций вам потребуется оснастка для управления ими. Откройте mmc.exe с правами администратора. Перейти к файлу | Добавить / удалить оснастку. Добавьте оснастку маршрутизации и удаленного доступа .

Эта оснастка позволяет настраивать многопротокольные службы маршрутизации LAN-to-LAN, LAN-to-WAN, виртуальная частная сеть (VPN) и трансляция сетевых адресов (NAT).

В консоли MMC щелкните правой кнопкой мыши на маршрутизации и удаленного доступа и выберите, чтобы добавить сервер. Выберите локальную машину. Затем щелкните правой кнопкой мыши на только что созданном компьютере и выберите «Настроить и включить маршрутизацию и удаленный доступ» . Выберите Удаленный доступ (Dial Up или VPN).

Затем проверьте параметр VPN . У вас должно быть как минимум две сетевые карты, чтобы это работало. Одним из них может быть петля. Укажите диапазон адресов, которые будут предоставлены для входящего соединения. Убедитесь, что они не конфликтуют с другими адресами, выделенными в вашей существующей сети. В этом примере мы не будем использовать радиус-сервер.

Далее попытайтесь запустить службу маршрутизации и удаленного доступа. Следующий ключ реестра может потребоваться удалить, чтобы запустить службу.

В консоли mmc.exe щелкните правой кнопкой мыши на имени компьютера и перейдите в Свойства. Измените эти свойства на вкладке безопасности.

Выберите методы аутентификации, как показано ниже.

Установите флажок, чтобы разрешить настраиваемую политику IPSEC для соединения L2TP / IKEv2. Добавьте предварительный общий ключ.

Наконец, вам нужно будет изменить пользователя, чтобы получить доступ к VPN. Откройте compmgmt.msc, перейдите в раздел «Локальные пользователи и группы» и выберите свойства пользователя, которого вы хотите использовать для VPN.

Перейдите на вкладку Dial Up. Выберите Разрешить доступ и нажмите Применить . На вашем компьютере потребуется перезагрузка. После перезагрузки вы будете готовы протестировать свой первый клиент.

Настройка машины с Windows 10

На компьютере с Windows 10 откройте «Настройки сети и Интернета». Выберите VPN на левой панели и добавьте VPN-соединение. Отредактируйте дополнительные параметры.

Разместите IP-адрес вашего VPN-сервера под именем или адресом сервера. Выберите L2TP/IPSEC с параметром предварительного общего ключа в разделе Тип VPN. Добавьте предварительно общий ключ и имя пользователя и пароль.

Свойства безопасности для VPN должны быть изменены под сетевым адаптером. На адаптере VPN выберите «Свойства» и перейдите на вкладку «Безопасность». Установите переключатель EAP и выберите Microsoft: защищенный пароль (EAP-MSCHAPv2) (шифрование включено).

Наконец, снова щелкните правой кнопкой на адаптере для подключения. Поздравляем! Вы создали VPN-туннель IPSEC.

Источник

Пример настройки туннеля IPSec VPN с компьютера из ОС Windows

NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный «белый» IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме «Прямой доступ». При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

В нашем примере для VPN IPSec-подключения мы будем использовать бесплатное ПО Shrew VPN Client, скачать его можно с сайта производителя: https://www.shrew.net/download
Установите VPN-клиент и проверьте, что установился специальный драйвер для работы Shrew (в Свойствах сетевого подключения должна стоять галочка напротив Shrew Soft Lightweight Filter).

Запустите VPN Access Manager.

9. После запуска откроется окно программы.

10. Нажмите кнопку Add для создания VPN-подключения.

11. На вкладке General нужно указать настройки:

  • Host Name or IP address — внешний/публичный IP-адрес Keenetic (в нашем случае 46.72.181.99);
  • Auto Configuration: disabled;
  • Adapter Mode: Use an existing adapter and current address.
Читайте также:  Настройка порядка загрузки windows

12. На вкладке Client оставьте значения по умолчанию.

13. На вкладке Name Resolution снимите галочки Enable DNS и Enable WINS.

14. На вкладке Authentication укажите следующие параметры:

  • Authentification Method: Mutual PSK;
  • Local Identifity > Identification Type: IP AddressAddress String: 192.168.221.33 и снимите галочку Use a discovered local host address;
  • Remote Identifity> Identification Type: IP AddressAddress String: 192.168.222.1 и снимите галочку Use a discovered local host address;
  • Credentials> Pre Shared Key: 12345678.

15. На вкладке Phase1 укажите:

  • Exchange Type: main;
  • DH Exchange: group 1;
  • Cipher Algorithm: des;
  • Hash Algorithm: md5;
  • Key Life Time limit: 3600.

16. На вкладке Phase 2 укажите:

  • Transform Algorithm: esp-des;
  • HMAC Algorithm: md5.

Внимание! Настройки фаз 1 и 2 должны совпадать с аналогичными параметрами, установленными на устройстве, с которым будет устанавливаться VPN-туннель.

17. На вкладке Policy снимите галочку Obtain Topology Automatically or Tunnel All, нажмите Add и укажите локальную подсеть за Keenetic.

Нажмите OK и Save для сохранения настроек.

18. В списке подключений появится созданное VPN-соединение.

19. Дважды щелкните по ярлыку VPN-подключения и нажмите в открывшемся окне Connect для запуска VPN-соединения.
В итоге вы должны увидеть последнюю запись: tunnel enabled (данное сообщение означает, что успешно установлена фаза 1 туннеля).

20. Для завершения установки VPN-туннеля нужно с компьютера (из командной строки Windows) запустить трафик в направлении удаленной подсети, находящейся за роутером Keenetic.
Например, сделать это можно командой ping (в нашем примере выполняется пинг IP-адреса роутера 192.168.222.1).

21. Для отключения туннеля в VPN Access Manager нажмите кнопку Disconnect.

Пример настройки IPSec-подключения на ответной стороне VPN-сервера:

Примечание

  • Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nailed-up и Обнаружение неработающего пира (DPD).
    Nailed-up (данная настройка предназначена поддерживать работу туннеля в простое, т.е. когда нет передачи трафика, и восстанавливать его при разрыве).
    Обнаружение неработающего пира DPD (данная функция проверяет работоспособность туннеля, посылая Hello-пакеты, на которые удаленная сторона должна прислать ответ).
  • На компьютере с ОС Linux также можно воспользоваться бесплатным программным VPN-клиентом Shrew Soft VPN Client. Загрузить программу можно с сайта разработчика https://www.shrew.net/download или найти её и установить через Центр приложений операционной системы.
    Shrew Soft VPN Client успешно работает в операционных системах FreeBSD, NetBSD, Fedora Core и в различных дистрибутивах Ubuntu Linux (Mint, Xubuntu и др.) на платформах x86 и amd64.

Пользователи, считающие этот материал полезным: 21 из 28

Источник

Инструкция нашего времени: как настроить удаленный доступ через IPsec VPN

Приветствуем вас, друзья!

Рассмотрим стандартный процесс создания VPN туннеля для подключения удаленных пользователей к локальной сети организации с решениями Fortinet .

С нами вы сможете получить лицензию FG-VM на 60 дней бесплатно, но об этом в конце статьи. А сейчас, начнем.

Сначала необходимо создать пользователей, которые будут подключаться через туннель. Если планируется использование удаленных пользователей (LDAP, RADIUS) — этот пункт можно пропустить. Создание пользователей происходит из меню User & Devices -> User Definition -> Create New.

Далее, созданных пользователей необходимо объединить в группу. Для этого нужно создать новую группу в меню User & Devices -> User Group -> Create New . В этом меню, в поле Members необходимо добавить созданных пользователей.

Если планируется использование удаленных пользователей, в поле Remote Groups необходимо выбрать удаленный сервер (он должен быть привязан к FortiGate), и в появившемся списке выбрать необходимую группу (или группы), щелкнуть по ней правой кнопкой мыши и нажать на появившееся окно “ Add Selected ”.

Создание VPN туннеля

Дальше можно приступить к созданию самого VPN туннеля. Для этого воспользуемся IPsec Wizard’ом. Перейдем в меню VPN -> IPsec Wizard . Первым шагом нам необходимо ввести название туннеля, выбрать его тип (в нашем случае — Remote Access ) и выбрать тип удаленных устройств. В этом примере для подключения мы будем использовать ПО FortiClient, поэтому выбираем тип Client Based и FortiClient .

Вторым шагом нам нужно выбрать интерфейс, на который будут приходить удаленные подключения. В нашем случае это port3 . Дальше необходимо выбрать тип аутентификации — секретный ключ или сертификат. Мы выбираем секретный ключ. Дальше вводим значение секретного ключа в поле Pre-shared key . И в поле User Group выбираем группу, созданную ранее.

Третий шаг заключается в конфигурации Policy & Routing . Нам необходимо указать локальный интерфейс, к которому будут подключаться удаленные пользователи. В поле Local Address необходимо выбрать подсети, к которым будут иметь доступ удаленные пользователи (их нужно предварительно настроить в меню Policy & Objects -> Addresses ). Далее, нужно выбрать диапазон IP адресов, которые будут присваиваться удаленным пользователям при подключении. Важно проследить, чтобы эти адреса не пересекались с вашей внутренней адресацией.

Читайте также:  Как сбросить настройки цвета на виндовс 7

Поле DNS Server позволяет выбрать DNS сервер, которым будут пользоваться удаленные пользователи при подключению к туннелю.

Опция Enable Split Tunnel позволяет давать доступ пользователям только к определенным подсетям, а не пускать весь их трафик через FortiGate.

Опция Allow Endpoint Registration позволяет получать различную информацию об удаленных точках, и на основании этой информации принимать решения (например разрешать подключаться удаленной точке или нет).

Последний шаг — настройка клиентских опций. Можно активировать следующие опции: сохранения пароля, авто подключение и непрерывное подключение.

После данного шага создается туннель, а мы видим следующее “саммари”:

Здесь перечислены все объекты, которые были созданы в процессе работы Wizard’а. Посмотрим, например, на созданную политику Remote to Local :

Настройка VPN подключения с клиентской стороны

Теперь рассмотрим настройки с клиентской стороны. Для этого необходимо открыть FortiClient , перейти во вкладку Remote Access и создать новое подключение. В поле VPN необходимо выбрать тип подключения, в нашем случае IPsec VPN . В поле “Имя соединения” необходимо ввести понятное название туннеля.

В поле “Удаленный шлюз” необходимо ввести IP адрес внешнего интерфейса FortiGate, к которому мы будем подключаться. Если посмотреть выше, в нашем случае этот интерфейс — port3. Его IP адрес — 10.10.30.210 . Метод аутентификации и сам ключ должны совпадать с тем, что мы настроили на FortiGate. Напоминаю — в качестве метода мы выбрали секретный ключ, а в качестве значения ключа — слово fortinet.

В поле “Аутентификация” нужно выбрать либо опцию “Запрашивать” , чтобы при каждом подключении FortiClient запрашивал имя пользователя и пароль, либо опцию “Сохранить логин” , чтобы при каждом подключении запрашивался только пароль. Соответственно, во втором случае в поле “Имя пользователя” необходимо ввести логин.

Больше ничего настраивать не нужно. Нажимаем сохранить. Теперь у нас есть доступное подключение. Вводим пароль и пробуем подключиться. Видим следующее окно:

Оно говорит о том, что мы успешно подключились к сети нашего предприятия и теперь имеем защищенный доступ к его внутренним ресурсам.

Друзья, благодарим за прочтение статьи!

Помимо полезных статей Fortiservice спешит порадовать вас еще более полезным предложением для безопасной удаленной работы с достаточными мощностями — ЛИЦЕНЗИЕЙ FORTIGATE-VM НА 60 ДНЕЙ БЕСПЛАТНО .

Скорее переходите по ссылке и оставляйте заявку. При возникновении каких-либо вопросов вы можете обратиться к нашим специалистам , которые помогут во всем разобраться.

Источник

Пример создания подключений IPSec средствами операционной системы Windows

Как настроить безопасное подключение IPSec из операционной системы Windows? Нужно создать подключение IPSec VPN с интернет-центром Keenetic для удаленного доступа к его локальной сети.

Рассмотрим пример настройки доступа к удаленной сети Keenetic при помощи туннеля IPSec.

Предположим, ноутбук с ОС Windows расположен в локальной сети роутера (маршрутизатора), обеспечивающего подключение к Интернету. Нужно организовать с ноутбука доступ к удаленной локальной сети, которая обслуживается интернет-центром Keenetic. Keenetic имеет публичный («белый») IP- адрес.
Подключение IPSec будет устанавливаться с ноутбука. IP-адрес ноутбука получен от роутера. В нашем примере это частный IP-адрес 192.168.101.84/24 из подсети 192.168.101.0 с маской 255.255.255.0. Публичный WAN IP-адрес интернет-центра Keenetic abc.def.ghi.jkl, а локальная сеть, доступ к которой требуется получить — 192.168.30/24.
Других данных нам не потребуется, указанной информации достаточно.

Схема подключения, на примере которого мы выполним настройки, приведена на рисунке.

Настройка интернет-центра Keenetic

Создайте правило IPSec . Настройки интернет-центра можно выполнить через веб-конфигуратор на странице «Другие подключения» в разделе » IPsec-подключения » .

Добавьте IPSec -подключение со следующими параметрами:

Включите опцию «Ждать подключения от удаленного пира», указать имя подключения (это может быть, например, имя ноутбука). Параметры «Nailed-up» и «Обнаружение неработающего пира (DPD)» можно оставить включенными. Эти два параметра влияют на способ восстановления туннеля и определения отключения противоположной стороны, Windows поддерживает эти механизмы.
Далее настройте конфигурацию первой фазы IPSec-подключения. В качестве идентификатора локального шлюза укажите «белый» WAN IP-адрес интернет-центра. В поле «Ключ PSK» нужно указать ключ/пароль, содержащий не менее 8 символов и необходимый для построения туннеля. Указанный ключ следует запомнить или хранить в безопасном месте. Остальные параметры менять не нужно.
Затем выполните настройки второй фазы IPSec-подключения. Здесь нужно указать IP-адреса локальной и удаленной сети. Параметры шифрования и режим не нужно менять.

После создания IPsec-подключения переведите переключатель в состояние Включено.

Теперь на ноутбуке нужно выполнить настройку для подключения к удаленной сети.

Настройка операционной сиcтемы Windows

Задействуем встроенную в ОС Windows функциональность IPSec. Для этого, запустите системную консоль управления оснасткой брандмауэра с повышенной безопасностью. Нажмите Пуск > Выполнить, в открывшемся окне введите wf.msc и нажмите OK.

Появится окно консоли Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security), в котором потребуется добавить правила политики безопасности, а также настроить системные параметры IPSec.

Читайте также:  Настройка микрофона виндовс на компьютере

а) Настройка системных параметров для IPSec подключений.

NOTE: Важно! Для IPSec-подключения к Keenetic потребуется совпадение параметров режимов обмена ключами и защиты данных. По умолчанию, Windows поддерживает:
— для основного режима (обмен ключами, Фаза 1) комбинации алгоритмов шифрования и проверки целостности данных 3DES/SHA1 и AES-128/SHA1, обмена ключами по группе DH2;
— для быстрого режима (защита данных, Фаза 2) — 3DES/SHA1 и AES-128/SHA1 в режиме совместимости без защиты целостности заголовка пакета (без использования AH, только ESP).
В нашем примере мы используем алгоритмы, разрешенные ФСТЭК к применению без дополнительной сертификации. Их необходимо добавить в параметры IPSec вручную.

Убедитесь, что в дереве консоли слева выбран корневой пункт «Брандмауэр Windows в режиме . ». Справа, в области Действия, нужно нажать кнопку Свойства, или использовать ссылку Свойства брандмауэра (на рисунке отмечена цифрой 2).

В открывшемся окне свойств, для редактирования параметров по умолчанию, на закладке Параметры IPSec нажмите кнопку Настроить.
Откроется окно Настройка значений по умолчанию для IPSec.

Переключатели в полях Обмен ключами (основной режим) и Защита данных (быстрый режим) следует перевести в положение Расширенная настройка, и по кнопке Настроить указать параметры первой и второй фаз, как в конфигурации правила IPSec VPN на Keenetic.

В окне настройки параметров обмена ключами, добавьте комбинацию алгоритмов проверки целостности данных, шифрования и обмена ключами — MD5 / DES / Diffie-Hellman Group 1(DH1).

В окне настройки дополнительных параметров защиты данных, следует включить обязательное шифрование данных и добавить алгоритм целостности данных и шифрования MD5/DES на основе протокола ESP, как на следующих иллюстрациях.

После установки нужных параметров, нужно по кнопкам OK закрыть открытые окна настройки значений по умолчанию для IPSec и свойств брандмауэра Windows.

б) Для удаленного подключения к локальной сети интернет-центра, настройте теперь правило безопасности. В дереве консоли нужно выбрать пункт Правила безопасности подключения и вызвать Мастер правил безопасности, перейдя в раздел Действия > Создать правило.

На шаге Тип правила нужно указать Туннель.

На следующем шаге Тип туннеля, укажите предустановку От клиента к шлюзу. Через туннель наш ноутбук будет получать доступ к удаленным компьютерам, подсеть, в которой они размещены, в дальнейшем (через один шаг) укажем в поле Удаленные конечные точки. Удаленная конечная точка туннеля это интернет-центр Keenetic.

На шаге Требования не нужно ничего указывать, просто перейти к следующему шагу.

Шаг Конечные точки туннеля.

Удаленная конечная точка туннеля, а также параметр, соответствующий идентификатору шлюза на фазе 1 в настройках Keenetic, это публичный IP-адрес. «Белый» IP-адрес на WAN-интерфейсе удаленного интернет-центра является обязательным условием для работы IPSec-подключения.
Удаленные конечные точки — это подсеть сегмента локальной сети на Keenetic, доступ к которой необходимо получить с ноутбука. Этот параметр должен совпадать с указанным IP-адресом локальной подсети для фазы 2 на Keenetic. После указания нужных данных, перейдите к следующему шагу.

На шаге Проверка подлинности выберите опцию Дополнительно, и по кнопке Настроить укажите ключ PSK, совпадающий с введенным в настройках IPSec-туннеля на удаленной стороне.

Шаг Профиль. Чтобы подключение работало в сети с любым профилем брандмауэра, набор профилей по умолчанию не нужно менять.
Обычно, сеть маршрутизатора определяется Windows как частная, поэтому профили Доменный и Публичный можно исключить, но мы не рекомендуем это делать без необходимости.

На последнем шаге укажите имя для создаваемого правила безопасности.

Для управления подключением, в разделе Действия предусмотрен пункт Отключить (Включить) правило. После завершения настройки при помощи мастера, правило автоматически будет включено. Однако, для инициализации (запуска) IPSec-подключения, может потребоваться выполнить обращение к удаленной сети, например выполнить с компьютера пинг любого адреса в удаленной сети (в нашем примере ping 192.168.30.113).

Для мониторинга состояния подключения, можно перейти к пункту Наблюдение > Правила безопасности подключения в дереве консоли, где будут отображены активные правила.

В ветке Сопоставления безопасности, Основной режим и Быстрый режим, для активных правил будут выведены параметры защиты данных, используемой в соответствии с настройками.

Для отладки, можно воспользоваться консолью оснастки Просмотр событий (eventvwr.msc). Сведения о работе службы выводятся в представлении Журналы приложений и служб > Microsoft > Windows > Windows Firewall with Advanced Security > Connection Security. Сохраненный журнал работы правил безопасности можно просмотреть, вызвав напрямую из меню Выполнить «%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx» (вводить обязательно с кавычками). Обновление отображения журналов в консоли происходит в ручном режиме.

TIP: Примечание: Если на устройстве есть возможность использовать версию протокола IKE v2, используйте её. Если устройство не поддерживает IKE v2, используйте версию IKE v1.
Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции «Nailed-up» и «Обнаружение неработающего пира (DPD)».

Пользователи, считающие этот материал полезным: 2 из 3

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector