Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

VPN - Документація Traffic Inspector Next Generation 1.4.0

  1. VPN - Документація Traffic Inspector Next Generation 1.4.0 Для мінімізації витрат при об'єднанні...
  2. Налаштування OpenVPN в режимі «мережа - мережа»
  3. Налаштування VPN на маршрутизаторі TINGA
  4. копіювання ключа
  5. Налаштування VPN на маршрутизаторі TINGB
  6. Створення правил мережевого екрану
  7. Налаштування OpenVPN в режимі «клієнт - мережа»
  8. Налаштування на маршрутизаторі TING
  9. Створення серверного сертифіката для маршрутизатора TING
  10. Створення користувача і клієнтського сертифіката
  11. Налаштування VPN на маршрутизаторі TING
  12. Створення правил мережевого екрану
  13. Налаштування на комп'ютері віддаленого користувача
  14. Установка OpenVPN-клієнта Viscosity
  15. Налаштування VPN
  16. Налаштування IPsec IKEv2 з EAP-MSCHAPv2 в режимі «клієнт - мережа»
  17. Операції з сертифікатами
  18. Налаштування IPSeс на сервері
  19. Налаштування брандмауера
  20. Налаштування Windows-клієнта
  21. VPN - Документація Traffic Inspector Next Generation 1.4.0
  22. OpenVPN
  23. Налаштування OpenVPN в режимі «мережа - мережа»
  24. Налаштування VPN на маршрутизаторі TINGA
  25. копіювання ключа
  26. Налаштування VPN на маршрутизаторі TINGB
  27. Створення правил мережевого екрану
  28. Налаштування OpenVPN в режимі «клієнт - мережа»
  29. Налаштування на маршрутизаторі TING
  30. Створення серверного сертифіката для маршрутизатора TING
  31. Створення користувача і клієнтського сертифіката
  32. Налаштування VPN на маршрутизаторі TING
  33. Створення правил мережевого екрану
  34. Налаштування на комп'ютері віддаленого користувача
  35. Установка OpenVPN-клієнта Viscosity
  36. Налаштування VPN
  37. Налаштування IPsec IKEv2 з EAP-MSCHAPv2 в режимі «клієнт - мережа»
  38. Операції з сертифікатами
  39. Налаштування IPSeс на сервері
  40. Налаштування брандмауера
  41. Налаштування Windows-клієнта

VPN - Документація Traffic Inspector Next Generation 1.4.0

Для мінімізації витрат при об'єднанні мереж в географічно віддалених філіях організації, використовують технології VPN (Virtual Private Network).

В основі будь-якої технології VPN - принцип накладеної (оверлейной) мережі, туннелирование даних через публічну мережу Інтернет і використання шифрування для забезпечення конфіденційності передачі туннеліруемого трафіку.

Traffic Inspector Next Generation підтримує наступні види VPN:

OpenVPN

Для роботи OpenVPN необхідні пакети:

Дані пакети є встановленими в Traffic Inspector Next Generation.

OpenVPN - це реалізація VPN в user space, яка використовує SSL / TLS для захисту туннеліруемого трафіку. Такий підхід стає можливим завдяки механізму TUN / TAP, реалізованому в вигляді завантаження драйвера ядра. В рамках даного механізму, система отримує віртуальний інтерфейс tun (IP-трафік) або tap (Ethernet-трафік). Всі пакети, які система «висилає» з даного віртуального інтерфейсу, доступні для прочитання через спеціальний файл пристрою / dev / tun або / dev / tap. Openvpnd демон читає пакети з файлу / dev / tun або / dev / tap, і далі передає їх як звичайні дані через стек TCP / IP з використанням кріптомеханізма SSL / TLS. Вхідний тунельний трафік доставляється Openvpnd демона, який дешифрує його і інжектується пакети в ядро ​​за допомогою запису в файл / dev / tun або / dev / tap. Таким чином, трафік вважається «прийшли» на віртуальний мережевий інтерфейс tun або tap.

OpenVPN підтримує роботу в режимі «мережа - мережа» (тунель між маршрутизаторами Traffic Inspector Next Generation, розташованими в географічно віддалених офісах) і в режимі «вузол - мережа» (підключення віддалених співробітників до головного офісу організації).

Безвідносно того, налаштовується чи OpenVPN в режимі «мережа - мережа» або «вузол - мережа», настройка на одному пристрої здійснюється в розділі VPN -> OpenVPN -> Сервери, а на іншому - в розділі VPN -> OpenVPN -> Клієнти.

Залежно від поєднань параметрів, можна налаштувати VPN без використання сертифікатів або без використання аутентифікації за логіном / паролем, а також з використанням як сертифікатів, так і аутентифікації за логіном / паролем.

Якщо робиться вибір на користь використання сертифікатів, то сертифікати повинні налаштовуватися на обох сторонах тунелю. Тим самим забезпечується взаімоаутентіфікація клієнта і сервера. Сертифікат на сервері повинен бути розрахований на використання для Server authentication. Сертифікат на клієнті повинен бути розрахований на використання для Client authentication. Сертифікати на сервері і клієнті можуть використовувати різні алгоритм підпису, хеш алгоритм підпису та довжину відкритого ключа.

На обох сторонах тунелю повинні бути налаштовані аналогічні Алгоритм шифрування і Дайджест-алгоритм аутентифікації.

SSL / TLS використовується завжди, навіть якщо назви деяких варіантів налаштувань не містять абревіатуру SSL / TLS.

Функціонал TLS authentication є опціональним. Якщо він включається на одній стороні тунелю, то він повинен бути включений і на іншій стороні тунелю.

Налаштування OpenVPN в режимі «мережа - мережа»

Продемонструємо настройку OpenVPN в режимі «мережа - мережа». У нашому прикладі використовується наступна топологія:

У нашому прикладі використовується наступна топологія:

маршрутизатор TINGA

Ім'я хоста TINGA WAN IP 33.44.55.66/32 LAN IP 192.168.1.1/24

маршрутизатор TINGB

Ім'я хоста TINGB WAN IP 44.55.66.77/32 LAN IP 192.168.2.1/24

Переконайтеся, що маршрутизатори TINGA і TINGB мають адекватні мережеві настройки. Зокрема, WAN-адаптерів повинні бути присвоєні валідниє «білі» IP-адреси - в нашому прикладі, це адреси 33.44.55.66 і 44.55.66.77.

На обох маршрутизаторах, в розділі Мережевий екран -> Правила на вкладці WAN, створіть правило для вирішення ICMP-трафіку. З кожного з маршрутизаторів, з розділу Інтерфейси -> Діагностика -> Ping, здійсніть пропінговку IP-адреси WAN-адаптера протилежної маршрутизатора. Тим самим, Ви перевіряєте, що передача трафіку між маршрутизаторами через мережу Інтернет в принципі можлива і їй нічого не перешкоджає.

LAN-сегмент, розташований за кожним з маршрутизаторів, повинен використовувати унікальну IP-мережу. У нашому прикладі, це умова Виконуємо - за маршрутизатором TINGA розташовується IP-мережу 192.168.1.0/24, за маршрутизатором TINGB розташований IP-мережу 192.168.2.0/24.

Налаштування VPN на маршрутизаторі TINGA

Пройдіть в VPN -> OpenVPN -> Сервери та клікніть на Додати сервер в верхньому правому куті форми. Використовуйте наступні настройки (настройки, які ми опускаємо, повинні залишитися за замовчуванням):

Режим сервера Пірінгова мережу (загальний ключ) Протокол UDP Режим роботи пристрою tun Інтерфейс WAN Локальний порт 1194 Опис OpenVPN peer 1 Спільно переглянуте ключ Встановіть прапорець для генерації нового ключа Алгоритм шифрування AES-256-CBC (256-bit) Дайджест-алгоритм аутентифікації SHA512 ( 512-bit) Hardware Crypto Без апаратного прискорення криптоалгоритмів Тунельна мережу IPv4 172.16.1.0/24 Локальна мережа / мережі IPv4 192.168.1.0/24 Дистанційна мережа / мережі IPv4 192.168.2.0/24 стиснення Включено з використанням адаптивного стиснення

КлацнітьЗберегти для застосування налаштувань.

копіювання ключа

Після створення нового сервера, в його налаштуваннях генерується ключ, який необхідно також прописати на протилежному боці тунелю (на маршрутизаторі TINGB). Для копіювання ключа, клацніть на іконку «олівець» навпроти раніше створеного VPN-сервера.

Приклад того, як виглядає ключ:

# # 2048 bit OpenVPN static key # ----- BEGIN OpenVPN Static key V1 ----- 0960 c87c3aafa8f306fe270c1564380b 7922543563 a17b5d2636b4ef9412dd09 9 ad44974ca1b293963e0f8ac9cbdd97c 2 c31bf35f0df45c9e928ccb033e6d51d 2 caaec02d649ad081c68d7bc7d28030e 9182 c9597a83024097bea860e52d9c66 1 b9e0048fbf951ce8659bc56edb7f9a1 14 f7740fc9231a3750557e02eb112712 ac4b9980d4c740ec96a4357f3940ed90 d1bbf8eed3de135c886fe2eff8e8b943 ab1f52b59def4c9ebeacc5eb48425189 c43887a6237c29e0724f5f45a0f70635 10680 bec8bfb67c21bf2b4866268594c 9 ba093668064f9a898e6a6ad103b401d b2047132f0dc8db2230db38444d689fa ddba46bf6f892ae90c59415f94b82750 - ---- END OpenVPN Static key V1 -----

Налаштування VPN на маршрутизаторі TINGB

Пройдіть в розділ VPN -> OpenVPN-> Клієнти і клацніть по Додати клієнта в верхньому правому куті форми.

Використовуйте наступні настройки (настройки, які ми опускаємо, повинні залишитися за замовчуванням):

Режим сервера Пірінгова мережу (загальний ключ) Протокол UDP Режим роботи пристрою tun Інтерфейс WAN Адреса сервера 33.44.55.66 Порт сервера 1194 Опис OpenVPN peer 2 Спільно переглянуте ключ Приберіть прапорець і вставте ключ, скопійований з маршрутизатора TINGA Encryption algorithm AES-256-CBC (256 -bit) Auth Digest Algorithm SHA512 (512-bit) Hardware Crypto Без апаратного прискорення криптоалгоритмів Тунельна мережу IPv4 172.16.1.0/24 Локальна мережа / мережі IPv4 192.168.2.0/24 Дистанційна мережа / мережі IPv4 192.168.1.0/24 Стиснення Включено з використанням адаптивного стиснення

КлацнітьЗберегти для застосування налаштувань.

Як видно з налаштувань, VPN буде мати наступні характеристики:

SSL / TLS використовується Туннеліруемий трафік инкапсулируется в UDP - пакети OpenVPN демон буде обробляти підключення тільки на IP - адреса, присвоєний WAN - адаптера Сертифікати не використовуються Аутентификация за логіном / паролем не використовується Аутентификация TLS не використовується Стиснення даних використовується

Створення правил мережевого екрану

На маршрутизаторі, який налаштовувався як VPN-сервер (маршрутизатор TINGA), в розділі Мережевий екран -> Правила, на вкладці WAN, створіть правило для вирішення OpenVPN-трафіку. За мовчання, OpenVPN використовує протокол UDP і порт 1194.

За мовчання, OpenVPN використовує протокол UDP і порт 1194

Для того, щоб трафік міг передаватися між маршрутизаторами TINGA і TINGB по тунелю, на обох маршрутизаторах, в розділі Мережевий екран -> Правила на вкладці OPENVPN, створіть правило для вирішення трафіку з IP-мережі 172.16.1.0/24.

Для того, щоб трафік міг передаватися між мережами 192.168.1.0/24 і 192.168.2.0/24 по тунелю, в розділі Мережевий екран -> Правила на вкладці OPENVPN, створіть такі правила:

На маршрутизаторі TINGA - правило для вирішення трафіку з IP-мережі 192.168.2.0/24.

0/24

На маршрутизаторі TINGB - правило для вирішення трафіку з IP-мережі 192.168.1.0/24.

0/24

Натисніть на кнопку Зберегти зміни.

Підключених до VPN-сервера клієнтів можна подивитися в розділі VPN-> OpenVPN-> Статус з'єднання.

Налаштування OpenVPN в режимі «клієнт - мережа»

Продемонструємо настройку OpenVPN в режимі «вузол - мережа». У нашому прикладі використовується наступна топологія:

У нашому прикладі використовується наступна топологія:

маршрутизатор TING

Ім'я хоста TING WAN IP 11.22.33.44/32 LAN IP 192.168.1.1/24 Тунельна мережу 172.16.2.0/24

Комп'ютер віддаленого користувача

Ім'я хоста User PC WAN IP 22.33.44.55/32 LAN IP 192.168.2.1/24 Тунельна мережу 172.16.2.0/24

Налаштування на маршрутизаторі TING

Створення сертифіката видавництва

Якщо сертифікат видавництва вже існує, даний крок можна пропустити. На маршрутизаторі TING, пройдіть в розділ Система -> Довірені сертифікати -> Повноваження і створіть сертифікат видавництва з наступними настройками:

Описову назву OpenVPN CA Метод Створити внутрішній центр сертифікації Довжина ключа (біт) 4096 Алгоритм дайджесту SHA512 Час існування (д) 365 Код країни RU (Russia) Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @ smart-soft .ru Стандартне ім'я OpenVPN CA

Створення серверного сертифіката для маршрутизатора TING

На маршрутизаторі TING, пройдіть в розділ Система -> Довірені сертифікати -> Сертифікати і створіть серверний сертифікат з наступними настройками:

Метод Створити внутрішній сертифікат Описове ім'я OpenVPN SRV cert Центр сертифікації OpenVPN CA Тип Сертифікат сервера Довжина ключа (біт) 4096 Алгоритм дайджесту SHA512 Час існування (д) 365 Код країни RU (Russia) Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @ smart-soft .ru Стандартне ім'я OpenVPN server cert

Створення користувача і клієнтського сертифіката

Створіть обліковий запис для користувача в розділі Система -> Доступ -> Користувачі на маршрутизаторі TING.

Вкажіть ім'я облікового запису та пароль, встановіть прапорець Створити сертифікат користувача і натисніть на кнопку Зберегти. Ви опинитеся в майстра створення сертифіката користувача. Вкажіть наступні настройки сертифіката:

Метод Створити внутрішній сертифікат Описове ім'я danny Центр сертифікації OpenVPN CA Тип Сертифікат клієнта Довжина ключа (біт) 4096 Алгоритм дайджесту SHA512 Час існування (д) 365 Код країни RU (Russia) Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @ smart-soft .ru Стандартне ім'я danny

Налаштування VPN на маршрутизаторі TING

Пройдіть в VPN -> OpenVPN -> Сервери та клікніть на Додати сервер в верхньому правому куті форми. Використовуйте наступні настройки (настройки, які ми опускаємо, повинні залишитися за замовчуванням):

Режим сервера Віддалений доступ (SSL / TLS + аутентифікація користувача) Сервер для аутентифікації Локальна база даних Протокол UDP Режим роботи пристрою tun Інтерфейс WAN Локальний порт 1 194 Опис OpenVPN Server Центр сертифікації бенкетів Сертифікат OpenVPN CA Сертифікат сервера Сертифікат OpenVPN SRV cert Довжина параметрів DH 4096 Алгоритм шифрування AES-256-CBC (256-bit) Дайджест-алгоритм аутентифікації SHA512 (512-bit) Hardware Crypto Без апаратного прискорення криптоалгоритмів Рівень сертифіката Один (клієнт + сервер) Тунельна мережу IPv4 172.16.1.0/24 Локальна мережа / мережі IPv4 192.168.1.0 / 24 Стиснення ключено з використанням адаптивного стиснення Відключити IPv6 Прапор встановлений DNS-сервери 8.8.8.8

КлацнітьЗберегти для застосування налаштувань.

Як видно з налаштувань, VPN буде мати наступні характеристики:

SSL / TLS використовується Туннеліруемий трафік инкапсулируется в UDP - пакети OpenVPN демон буде обробляти підключення тільки на IP - адреса, присвоєний WAN - адаптера Сертифікати використовуються для взаімоаутентіфікаціі Аутентификация за логіном / паролем використовується Аутентификация TLS не використовується Стиснення даних використовується

Створення правил мережевого екрану

На маршрутизаторі TING, в розділі Мережевий екран -> Правила, на вкладці WAN, створіть правило для вирішення OpenVPN-трафіку. За мовчання, OpenVPN використовує протокол UDP і порт 1194.

За мовчання, OpenVPN використовує протокол UDP і порт 1194

Для того, щоб дозволити VPN-клієнтам звертатися в мережу 192.168.1.0/24, що знаходиться за маршрутизатором TING, і на сам маршрутизатором TING через тунель, на маршрутизаторі TING, в розділі Мережевий екран -> Правила на вкладці OPENVPN, створіть правило для вирішення трафіку з IP-мережі 172.16.1.0/24.

0/24

Натисніть на кнопку Зберегти зміни.

Налаштування на комп'ютері віддаленого користувача

Перенесення сертифікатів і ключів

На маршрутизаторі TING, пройдіть в розділ Система -> Довірені сертифікати -> Повноваження, експортуйте раніше створені об'єкти і збережіть їх у вигляді файлів на комп'ютері віддаленого користувача:

Об'єкт Файл Сертифікат видавництва OpenVPN CA OpenVPN + CA.crt Клієнтський сертифікат danny.crt Секретний ключ, асоційований з клієнтським сертифікатом danny.key

Установка OpenVPN-клієнта Viscosity

На комп'ютері віддаленого користувача встановіть OpenVPN-клієнт Viscosity, доступний для скачування по засланні .

Налаштування VPN

Створіть нове VPN-підключення.

На вкладці General вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Authentication вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Authentication вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Options вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Options вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Networking залиште налаштування без змін:

На вкладці Networking залиште налаштування без змін:

На вкладці Transport залиште налаштування без змін:

На вкладці Transport залиште налаштування без змін:

На вкладці Advanced у вікні додаткових конфігураційних команд OpenVPN, вкажіть алгоритм шифрування і аутентифікації:

cipher AES - 256 - CBC auth SHA512 cipher AES - 256 - CBC auth SHA512

У контекстному меню створеного VPN-з'єднання, виберіть пункт Connect для того, щоб встановити підключення до VPN-сервера.

У контекстному меню створеного VPN-з'єднання, виберіть пункт Connect для того, щоб встановити підключення до VPN-сервера

Налаштування IPsec IKEv2 з EAP-MSCHAPv2 в режимі «клієнт - мережа»

Даний режим IPsec передбачає використання ISAKMP / IKEv2 для встановлення асоціацій безпеки (security association).

На фазі IKE_SA_INIT, IKEv2 використовує X.509 PKI і сертифікати для потреб аутентифікації сервера. Отже, нам буде потрібно підготувати потрібні X.509 сертифікати.

Аутентифікація VPN-клієнтів проводиться з використанням EAP-MSCHAPv2.

Безпека трафіку забезпечується за рахунок протоколу ESP (Encapsulating Security Payload) в тунельному режимі.

В операційній системі Windows даний тип VPN називається IKEv2.

У нашому прикладі VPN-клієнт підключається до пристрою TING з боку WAN-адаптера, який має IP-адресу 192.168.13.240.

В VPN-тунелі буде використана IP-мережу 172.16.0.0/24.

Операції з сертифікатами

Створення серверного сертифіката

Зайдіть в розділ Система -> Довірені сертифікати -> Сертифікати та натисніть на кнопку Додати або імпортувати сертифікат.

Заповніть наступні поля:

Метод Створити внутрішній сертифікат Описове ім'я IKEv2 certificate Центр сертифікації TING CA Тип Сертифікат сервера Довжина ключа (біт) 2048 Алгоритм дайджесту SHA256 Час існування (д) 365

В поле Стандартне ім'я вказуємо або повне DNS-ім'я нашого пристрою TING (яке ні перетворювати в IP-адресу, присвоєний WAN-адаптера пристрої TING), або IP-адреса WAN-адаптера пристрої TING.

При необхідності додаємо поле / поля Альтернативні Імена зі значеннями IP-адреса або DNS-ім'я. Ці значення можуть використовуватися у VPN-клієнта в поле Ім'я комп'ютера або IP-адреса призначення у властивостях VPN-підключення.

Решта поля можуть бути заповнені як прочерк.

Натискаємо кнопку Зберегти.

Примітка

Пізніше ми використовуємо даний серверний сертифікат в налаштуваннях IPSec на пристрої TING.

Експорт сертифіката видавництва

Зайдіть в розділ Система -> Довірені сертифікати -> Дозволи.

У рядку TING CA натисніть на іконку експорту сертифіката. Натискаємо Зберегти як і зберігаємо файл ting-ca.crt до себе на комп'ютер.

Примітка

Пізніше ми імпортуємо видавничий сертифікат ting-ca.crt на VPN-клієнта.

Налаштування IPSeс на сервері

Зайдіть в розділ VPN -> IPsec -> Мобільні клієнти.

Встановіть прапорець навпроти налаштування Включений.

В поле Аутентифікація користувачів виберіть Локальна база.

В поле Пул віртуальних адрес встановіть прапорець Надання віртуальних IP-адрес клієнтам.

Вкажіть мережу, IP-адреси якої будуть видаватися VPN-клієнтам, наприклад 172.16.0.0/24.

Натискаємо кнопку Зберегти.

Після цього у верхній частині сторінки з'явиться кнопка Створіть Phase1, на яку потрібно клікнути.

Налаштування Phase1-записи

Ми опиняємося в розділі VPN -> IPsec -> Налаштування тунелю, де повинні задати наступні налаштування:

Загальна інформація

Метод підключення за замовчуванням Версія Обміну ключами V2 Протокол Інтернету IPv4 Інтерфейс WAN

Пропозиції Phase 1 (Аутентифікація)

Метод аутентифікації EAP-MSCHAPV2 Мій ідентифікатор Унікальне ім'я, 192.168.13.240 Мій Сертифікат IKEv2 certificate

У текстбоксе під полем Мій ідентифікатор, пропишіть ім'я, відповідне стандартному імені, зазначеному при генерації серверного сертифіката (DNS-ім'я або IP-адреса). У нашому випадку це IP-адреса 192.168.13.240.

В поле Мій Сертифікат, виберіть раніше згенерований серверний сертифікат, в нашому прикладі IKEv2 certificate.

Пропозиції Phase 1 (Алгоритми)

Алгоритми шифрування AES, 256 Алгоритм хешу SHA256 Група ключів DH 2 (2014 bit) Час існування 28800

Натисніть кнопку Зберегти.

Налаштування Phase2-записи

Натисніть на кнопку Показати Phase2-записи 0, далі клікніть на іконку плюс, найближчу до напису PFS.

Загальна інформація

Локальна мережа

Тип Підмережа LAN

Пропозиція Phase 2 (Обмін SA / Ключами)

Протокол ESP Алгоритми шифрування AES, автоматично Алгоритми хешу SHA1 Група ключів PFS off Час існування 3600

Натисніть кнопку Зберегти.

Встановіть прапорець Включити IPsec і натисніть на кнопку Зберегти.

Зайдіть в розділ VPN -> IPsec -> Попередньо видані ключі.

Натисніть на іконку плюс.

У вікні введіть логін і пароль користувача:

Ідентифікатор user Попередньо виданий ключ 123 Тип EAP

Натискаємо Зберегти.

Після здійснення всіх маніпуляцій, настройки IPSec виглядають наступним чином:

Після здійснення всіх маніпуляцій, настройки IPSec виглядають наступним чином:

Налаштування брандмауера

Зайдіть в розділ Брандмауер -> Правила та створіть три правила:

  • Правило на WAN-інтерфейсі, що дозволяє протокол ISAKMP / IKE (UDP-порт 500)
  • Правило на WAN-інтерфейсі, що дозволяє протокол ESP (ID 50)
  • Правило на IPSEC-інтерфейсі, що дозволяє будь-який трафік

Правило на WAN-інтерфейсі, що дозволяє протокол ISAKMP / IKE (UDP-порт 500)

Дія дозвіл Інтерфейс WAN Версії TCP / IP IPv4 Протокол UDP Діапазон портів призначення ISAKMP Відправник будь Одержувач будь

Натисніть Зберегти.

Правило на WAN-інтерфейсі, що дозволяє протокол ESP (ID 50)

Дія дозвіл Інтерфейс WAN Версії TCP / IP IPv4 Протокол ESP Відправник будь Одержувач будь

Натисніть Зберегти.

Правило на IPSEC-інтерфейсі, що дозволяє будь-який трафік

Дія дозвіл Інтерфейс WAN Версії TCP / IP IPv4 Протокол будь Відправник будь Одержувач будь

Натісніть Зберегти.

Натисніть Застосувати зміни.

Налаштування Windows-клієнта

Установка оснащення для роботи з сертифікатами

На VPN-клієнта створіть оснащення для роботи з сертифікатами. Для цього, в меню Виконати (викликається після натискання Win + R) наберіть mmc і натисніть Enter.

В консолі MMC, виберіть Файл -> Додати або видалити оснащення .... З шпальти Доступні оснастки вибираємо Сертифікати і натискаємо кнопку Додати, у вікні Оснащення диспетчера сертифікатів вибираємо немає облікового запису комп'ютера, натискаємо Далі, Далі, ОК. Дайте файлу, що консолі MMC ім'я certmgr.

Дайте файлу, що консолі MMC ім'я certmgr

Установка сертифіката видавництва

Відкрийте раніше додану остаску certmgr.

Пройдіть в Сертифікати (локальний комп'ютер) \ Довірені кореневі центри сертифікації \ Сертифікати.

Через меню Дія \ Все завдання \ Імпорт, або через контекстне меню Всі завдання \ Імпорт, імпортуйте сертифікат видавництва ting-ca.crt, який ми раніше експортували з пристрою TING в пункті Експорт сертифіката видавництва.

Налаштування VPN-з'єднання

Зайдіть в Панель керування \ Всі елементи панелі керування \ Центр управління мережами і загальним доступом.

Натисніть Налаштування нового підключення або мережі, виберете Підключення до робочого місця, виберете Використовувати моє підключення до Інтернету (VPN).

В поле Інтернет-адреса введіть доменне ім'я або IP-адресу WAN-адаптера пристрої TING, в нашому прикладі IP-адреса 192.168.13.240.

Примітка

Доменне ім'я або IP-адреса повинні збігатися з тим, що ми вказували в створеному серверному сертифікаті в пункті Створення серверного сертифіката.

В поле Ім'я местоназначенія введіть довільне ім'я створюваного VPN-з'єднання, наприклад IPSec VPN Сonnection. Встановіть прапорець Не підключатися зараз, ....

Зайдіть в Панель керування \ Мережа та Інтернет \ Мережеві підключення. Переконайтеся, що у властивостях з'єднання IPSec VPN Сonnection вказані налаштування, аналогічні тим, що продемонстровані на скріншотах:

вкладка Загальні

вкладка Загальні

вкладка Параметри

вкладка Параметри

вкладка Безпека

вкладка Безпека

вкладка Мережа

вкладка Мережа

вкладка Доступ

вкладка Доступ

При установці підключення до VPN-сервера за допомогою бездротової технології IPSec VPN Сonnection вкажіть:

Ім'я користувача user Пароль 123

VPN - Документація Traffic Inspector Next Generation 1.4.0

Для мінімізації витрат при об'єднанні мереж в географічно віддалених філіях організації, використовують технології VPN (Virtual Private Network).

В основі будь-якої технології VPN - принцип накладеної (оверлейной) мережі, туннелирование даних через публічну мережу Інтернет і використання шифрування для забезпечення конфіденційності передачі туннеліруемого трафіку.

Traffic Inspector Next Generation підтримує наступні види VPN:

OpenVPN

Для роботи OpenVPN необхідні пакети:

Дані пакети є встановленими в Traffic Inspector Next Generation.

OpenVPN - це реалізація VPN в user space, яка використовує SSL / TLS для захисту туннеліруемого трафіку. Такий підхід стає можливим завдяки механізму TUN / TAP, реалізованому в вигляді завантаження драйвера ядра. В рамках даного механізму, система отримує віртуальний інтерфейс tun (IP-трафік) або tap (Ethernet-трафік). Всі пакети, які система «висилає» з даного віртуального інтерфейсу, доступні для прочитання через спеціальний файл пристрою / dev / tun або / dev / tap. Openvpnd демон читає пакети з файлу / dev / tun або / dev / tap, і далі передає їх як звичайні дані через стек TCP / IP з використанням кріптомеханізма SSL / TLS. Вхідний тунельний трафік доставляється Openvpnd демона, який дешифрує його і інжектується пакети в ядро ​​за допомогою запису в файл / dev / tun або / dev / tap. Таким чином, трафік вважається «прийшли» на віртуальний мережевий інтерфейс tun або tap.

OpenVPN підтримує роботу в режимі «мережа - мережа» (тунель між маршрутизаторами Traffic Inspector Next Generation, розташованими в географічно віддалених офісах) і в режимі «вузол - мережа» (підключення віддалених співробітників до головного офісу організації).

Безвідносно того, налаштовується чи OpenVPN в режимі «мережа - мережа» або «вузол - мережа», настройка на одному пристрої здійснюється в розділі VPN -> OpenVPN -> Сервери, а на іншому - в розділі VPN -> OpenVPN -> Клієнти.

Залежно від поєднань параметрів, можна налаштувати VPN без використання сертифікатів або без використання аутентифікації за логіном / паролем, а також з використанням як сертифікатів, так і аутентифікації за логіном / паролем.

Якщо робиться вибір на користь використання сертифікатів, то сертифікати повинні налаштовуватися на обох сторонах тунелю. Тим самим забезпечується взаімоаутентіфікація клієнта і сервера. Сертифікат на сервері повинен бути розрахований на використання для Server authentication. Сертифікат на клієнті повинен бути розрахований на використання для Client authentication. Сертифікати на сервері і клієнті можуть використовувати різні алгоритм підпису, хеш алгоритм підпису та довжину відкритого ключа.

На обох сторонах тунелю повинні бути налаштовані аналогічні Алгоритм шифрування і Дайджест-алгоритм аутентифікації.

SSL / TLS використовується завжди, навіть якщо назви деяких варіантів налаштувань не містять абревіатуру SSL / TLS.

Функціонал TLS authentication є опціональним. Якщо він включається на одній стороні тунелю, то він повинен бути включений і на іншій стороні тунелю.

Налаштування OpenVPN в режимі «мережа - мережа»

Продемонструємо настройку OpenVPN в режимі «мережа - мережа». У нашому прикладі використовується наступна топологія:

У нашому прикладі використовується наступна топологія:

маршрутизатор TINGA

Ім'я хоста TINGA WAN IP 33.44.55.66/32 LAN IP 192.168.1.1/24

маршрутизатор TINGB

Ім'я хоста TINGB WAN IP 44.55.66.77/32 LAN IP 192.168.2.1/24

Переконайтеся, що маршрутизатори TINGA і TINGB мають адекватні мережеві настройки. Зокрема, WAN-адаптерів повинні бути присвоєні валідниє «білі» IP-адреси - в нашому прикладі, це адреси 33.44.55.66 і 44.55.66.77.

На обох маршрутизаторах, в розділі Мережевий екран -> Правила на вкладці WAN, створіть правило для вирішення ICMP-трафіку. З кожного з маршрутизаторів, з розділу Інтерфейси -> Діагностика -> Ping, здійсніть пропінговку IP-адреси WAN-адаптера протилежної маршрутизатора. Тим самим, Ви перевіряєте, що передача трафіку між маршрутизаторами через мережу Інтернет в принципі можлива і їй нічого не перешкоджає.

LAN-сегмент, розташований за кожним з маршрутизаторів, повинен використовувати унікальну IP-мережу. У нашому прикладі, це умова Виконуємо - за маршрутизатором TINGA розташовується IP-мережу 192.168.1.0/24, за маршрутизатором TINGB розташований IP-мережу 192.168.2.0/24.

Налаштування VPN на маршрутизаторі TINGA

Пройдіть в VPN -> OpenVPN -> Сервери та клікніть на Додати сервер в верхньому правому куті форми. Використовуйте наступні настройки (настройки, які ми опускаємо, повинні залишитися за замовчуванням):

Режим сервера Пірінгова мережу (загальний ключ) Протокол UDP Режим роботи пристрою tun Інтерфейс WAN Локальний порт тисячу сто дев'яносто чотири Опис OpenVPN peer 1 Спільно переглянуте ключ Встановіть прапорець для генерації нового ключа Алгоритм шифрування AES-256-CBC (256-bit) Дайджест-алгоритм аутентифікації SHA512 ( 512-bit) Hardware Crypto Без апаратного прискорення криптоалгоритмів Тунельна мережу IPv4 172.16.1.0/24 Локальна мережа / мережі IPv4 192.168.1.0/24 Дистанційна мережа / мережі IPv4 192.168.2.0/24 стиснення Включено з використанням адаптивного стиснення

КлацнітьЗберегти для застосування налаштувань.

копіювання ключа

Після створення нового сервера, в його налаштуваннях генерується ключ, який необхідно також прописати на протилежному боці тунелю (на маршрутизаторі TINGB). Для копіювання ключа, клацніть на іконку «олівець» навпроти раніше створеного VPN-сервера.

Приклад того, як виглядає ключ:

# # 2048 bit OpenVPN static key # ----- BEGIN OpenVPN Static key V1 ----- 0960 c87c3aafa8f306fe270c1564380b 7922543563 a17b5d2636b4ef9412dd09 9 ad44974ca1b293963e0f8ac9cbdd97c 2 c31bf35f0df45c9e928ccb033e6d51d 2 caaec02d649ad081c68d7bc7d28030e 9182 c9597a83024097bea860e52d9c66 1 b9e0048fbf951ce8659bc56edb7f9a1 14 f7740fc9231a3750557e02eb112712 ac4b9980d4c740ec96a4357f3940ed90 d1bbf8eed3de135c886fe2eff8e8b943 ab1f52b59def4c9ebeacc5eb48425189 c43887a6237c29e0724f5f45a0f70635 10680 bec8bfb67c21bf2b4866268594c 9 ba093668064f9a898e6a6ad103b401d b2047132f0dc8db2230db38444d689fa ddba46bf6f892ae90c59415f94b82750 - ---- END OpenVPN Static key V1 -----

Налаштування VPN на маршрутизаторі TINGB

Пройдіть в розділ VPN -> OpenVPN-> Клієнти і клацніть по Додати клієнта в верхньому правому куті форми.

Використовуйте наступні настройки (настройки, які ми опускаємо, повинні залишитися за замовчуванням):

Режим сервера Пірінгова мережу (загальний ключ) Протокол UDP Режим роботи пристрою tun Інтерфейс WAN Адреса сервера 33.44.55.66 Порт сервера 1194 Опис OpenVPN peer 2 Спільно переглянуте ключ Приберіть прапорець і вставте ключ, скопійований з маршрутизатора TINGA Encryption algorithm AES-256-CBC (256 -bit) Auth Digest Algorithm SHA512 (512-bit) Hardware Crypto Без апаратного прискорення криптоалгоритмів Тунельна мережу IPv4 172.16.1.0/24 Локальна мережа / мережі IPv4 192.168.2.0/24 Дистанційна мережа / мережі IPv4 192.168.1.0/24 Стиснення Включено з використанням адаптивного стиснення

КлацнітьЗберегти для застосування налаштувань.

Як видно з налаштувань, VPN буде мати наступні характеристики:

SSL / TLS використовується Туннеліруемий трафік инкапсулируется в UDP - пакети OpenVPN демон буде обробляти підключення тільки на IP - адреса, присвоєний WAN - адаптера Сертифікати не використовуються Аутентификация за логіном / паролем не використовується Аутентификация TLS не використовується Стиснення даних використовується

Створення правил мережевого екрану

На маршрутизаторі, який налаштовувався як VPN-сервер (маршрутизатор TINGA), в розділі Мережевий екран -> Правила, на вкладці WAN, створіть правило для вирішення OpenVPN-трафіку. За мовчання, OpenVPN використовує протокол UDP і порт 1194.

За мовчання, OpenVPN використовує протокол UDP і порт 1194

Для того, щоб трафік міг передаватися між маршрутизаторами TINGA і TINGB по тунелю, на обох маршрутизаторах, в розділі Мережевий екран -> Правила на вкладці OPENVPN, створіть правило для вирішення трафіку з IP-мережі 172.16.1.0/24.

Для того, щоб трафік міг передаватися між мережами 192.168.1.0/24 і 192.168.2.0/24 по тунелю, в розділі Мережевий екран -> Правила на вкладці OPENVPN, створіть такі правила:

На маршрутизаторі TINGA - правило для вирішення трафіку з IP-мережі 192.168.2.0/24.

0/24

На маршрутизаторі TINGB - правило для вирішення трафіку з IP-мережі 192.168.1.0/24.

0/24

Натисніть на кнопку Зберегти зміни.

Підключених до VPN-сервера клієнтів можна подивитися в розділі VPN-> OpenVPN-> Статус з'єднання.

Налаштування OpenVPN в режимі «клієнт - мережа»

Продемонструємо настройку OpenVPN в режимі «вузол - мережа». У нашому прикладі використовується наступна топологія:

У нашому прикладі використовується наступна топологія:

маршрутизатор TING

Ім'я хоста TING WAN IP 11.22.33.44/32 LAN IP 192.168.1.1/24 Тунельна мережу 172.16.2.0/24

Комп'ютер віддаленого користувача

Ім'я хоста User PC WAN IP 22.33.44.55/32 LAN IP 192.168.2.1/24 Тунельна мережу 172.16.2.0/24

Налаштування на маршрутизаторі TING

Створення сертифіката видавництва

Якщо сертифікат видавництва вже існує, даний крок можна пропустити. На маршрутизаторі TING, пройдіть в розділ Система -> Довірені сертифікати -> Повноваження і створіть сертифікат видавництва з наступними настройками:

Описову назву OpenVPN CA Метод Створити внутрішній центр сертифікації Довжина ключа (біт) 4096 Алгоритм дайджесту SHA512 Час існування (д) 365 Код країни RU (Russia) Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @ smart-soft .ru Стандартне ім'я OpenVPN CA

Створення серверного сертифіката для маршрутизатора TING

На маршрутизаторі TING, пройдіть в розділ Система -> Довірені сертифікати -> Сертифікати і створіть серверний сертифікат з наступними настройками:

Метод Створити внутрішній сертифікат Описове ім'я OpenVPN SRV cert Центр сертифікації OpenVPN CA Тип Сертифікат сервера Довжина ключа (біт) 4096 Алгоритм дайджесту SHA512 Час існування (д) 365 Код країни RU (Russia) Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @ smart-soft .ru Стандартне ім'я OpenVPN server cert

Створення користувача і клієнтського сертифіката

Створіть обліковий запис для користувача в розділі Система -> Доступ -> Користувачі на маршрутизаторі TING.

Вкажіть ім'я облікового запису та пароль, встановіть прапорець Створити сертифікат користувача і натисніть на кнопку Зберегти. Ви опинитеся в майстра створення сертифіката користувача. Вкажіть наступні настройки сертифіката:

Метод Створити внутрішній сертифікат Описове ім'я danny Центр сертифікації OpenVPN CA Тип Сертифікат клієнта Довжина ключа (біт) 4096 Алгоритм дайджесту SHA512 Час існування (д) 365 Код країни RU (Russia) Штат або область MO Місто Kolomna Організація Smart-Soft Ел. пошта info @ smart-soft .ru Стандартне ім'я danny

Налаштування VPN на маршрутизаторі TING

Пройдіть в VPN -> OpenVPN -> Сервери та клікніть на Додати сервер в верхньому правому куті форми. Використовуйте наступні настройки (настройки, які ми опускаємо, повинні залишитися за замовчуванням):

Режим сервера Віддалений доступ (SSL / TLS + аутентифікація користувача) Сервер для аутентифікації Локальна база даних Протокол UDP Режим роботи пристрою tun Інтерфейс WAN Локальний порт 1194 Опис OpenVPN Server Центр сертифікації бенкетів Сертифікат OpenVPN CA Сертифікат сервера Сертифікат OpenVPN SRV cert Довжина параметрів DH 4096 Алгоритм шифрування AES-256-CBC (256-bit) Дайджест-алгоритм аутентифікації SHA512 (512-bit) Hardware Crypto Без апаратного прискорення криптоалгоритмів Рівень сертифіката Один (клієнт + сервер) Тунельна мережу IPv4 172.16.1.0/24 Локальна мережа / мережі IPv4 192.168.1.0 / 24 Стиснення ключено з використанням адаптивного стиснення Відключити IPv6 Прапор встановлений DNS-сервери 8.8.8.8

КлацнітьЗберегти для застосування налаштувань.

Як видно з налаштувань, VPN буде мати наступні характеристики:

SSL / TLS використовується Туннеліруемий трафік инкапсулируется в UDP - пакети OpenVPN демон буде обробляти підключення тільки на IP - адреса, присвоєний WAN - адаптера Сертифікати використовуються для взаімоаутентіфікаціі Аутентификация за логіном / паролем використовується Аутентификация TLS не використовується Стиснення даних використовується

Створення правил мережевого екрану

На маршрутизаторі TING, в розділі Мережевий екран -> Правила, на вкладці WAN, створіть правило для вирішення OpenVPN-трафіку. За мовчання, OpenVPN використовує протокол UDP і порт 1194.

За мовчання, OpenVPN використовує протокол UDP і порт 1194

Для того, щоб дозволити VPN-клієнтам звертатися в мережу 192.168.1.0/24, що знаходиться за маршрутизатором TING, і на сам маршрутизатором TING через тунель, на маршрутизаторі TING, в розділі Мережевий екран -> Правила на вкладці OPENVPN, створіть правило для вирішення трафіку з IP-мережі 172.16.1.0/24.

0/24

Натисніть на кнопку Зберегти зміни.

Налаштування на комп'ютері віддаленого користувача

Перенесення сертифікатів і ключів

На маршрутизаторі TING, пройдіть в розділ Система -> Довірені сертифікати -> Повноваження, експортуйте раніше створені об'єкти і збережіть їх у вигляді файлів на комп'ютері віддаленого користувача:

Об'єкт Файл Сертифікат видавництва OpenVPN CA OpenVPN + CA.crt Клієнтський сертифікат danny.crt Секретний ключ, асоційований з клієнтським сертифікатом danny.key

Установка OpenVPN-клієнта Viscosity

На комп'ютері віддаленого користувача встановіть OpenVPN-клієнт Viscosity, доступний для скачування по засланні .

Налаштування VPN

Створіть нове VPN-підключення.

На вкладці General вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Authentication вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Authentication вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Options вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Options вкажіть настройки, аналогічні наведеним на скріншоті:

На вкладці Networking залиште налаштування без змін:

На вкладці Networking залиште налаштування без змін:

На вкладці Transport залиште налаштування без змін:

На вкладці Transport залиште налаштування без змін:

На вкладці Advanced у вікні додаткових конфігураційних команд OpenVPN, вкажіть алгоритм шифрування і аутентифікації:

cipher AES - 256 - CBC auth SHA512 cipher AES - 256 - CBC auth SHA512

У контекстному меню створеного VPN-з'єднання, виберіть пункт Connect для того, щоб встановити підключення до VPN-сервера.

У контекстному меню створеного VPN-з'єднання, виберіть пункт Connect для того, щоб встановити підключення до VPN-сервера

Налаштування IPsec IKEv2 з EAP-MSCHAPv2 в режимі «клієнт - мережа»

Даний режим IPsec передбачає використання ISAKMP / IKEv2 для встановлення асоціацій безпеки (security association).

На фазі IKE_SA_INIT, IKEv2 використовує X.509 PKI і сертифікати для потреб аутентифікації сервера. Отже, нам буде потрібно підготувати потрібні X.509 сертифікати.

Аутентифікація VPN-клієнтів проводиться з використанням EAP-MSCHAPv2.

Безпека трафіку забезпечується за рахунок протоколу ESP (Encapsulating Security Payload) в тунельному режимі.

В операційній системі Windows даний тип VPN називається IKEv2.

У нашому прикладі VPN-клієнт підключається до пристрою TING з боку WAN-адаптера, який має IP-адресу 192.168.13.240.

В VPN-тунелі буде використана IP-мережу 172.16.0.0/24.

Операції з сертифікатами

Створення серверного сертифіката

Зайдіть в розділ Система -> Довірені сертифікати -> Сертифікати та натисніть на кнопку Додати або імпортувати сертифікат.

Заповніть наступні поля:

Метод Створити внутрішній сертифікат Описове ім'я IKEv2 certificate Центр сертифікації TING CA Тип Сертифікат сервера Довжина ключа (біт) 2048 Алгоритм дайджесту SHA256 Час існування (д) 365

В поле Стандартне ім'я вказуємо або повне DNS-ім'я нашого пристрою TING (яке ні перетворювати в IP-адресу, присвоєний WAN-адаптера пристрої TING), або IP-адреса WAN-адаптера пристрої TING.

При необхідності додаємо поле / поля Альтернативні Імена зі значеннями IP-адреса або DNS-ім'я. Ці значення можуть використовуватися у VPN-клієнта в поле Ім'я комп'ютера або IP-адреса призначення у властивостях VPN-підключення.

Решта поля можуть бути заповнені як прочерк.

Натискаємо кнопку Зберегти.

Примітка

Пізніше ми використовуємо даний серверний сертифікат в налаштуваннях IPSec на пристрої TING.

Експорт сертифіката видавництва

Зайдіть в розділ Система -> Довірені сертифікати -> Дозволи.

У рядку TING CA натисніть на іконку експорту сертифіката. Натискаємо Зберегти як і зберігаємо файл ting-ca.crt до себе на комп'ютер.

Примітка

Пізніше ми імпортуємо видавничий сертифікат ting-ca.crt на VPN-клієнта.

Налаштування IPSeс на сервері

Зайдіть в розділ VPN -> IPsec -> Мобільні клієнти.

Встановіть прапорець навпроти налаштування Включений.

В поле Аутентифікація користувачів виберіть Локальна база.

В поле Пул віртуальних адрес встановіть прапорець Надання віртуальних IP-адрес клієнтам.

Вкажіть мережу, IP-адреси якої будуть видаватися VPN-клієнтам, наприклад 172.16.0.0/24.

Натискаємо кнопку Зберегти.

Після цього у верхній частині сторінки з'явиться кнопка Створіть Phase1, на яку потрібно клікнути.

Налаштування Phase1-записи

Ми опиняємося в розділі VPN -> IPsec -> Налаштування тунелю, де повинні задати наступні налаштування:

Загальна інформація

Метод підключення за замовчуванням Версія Обміну ключами V2 Протокол Інтернету IPv4 Інтерфейс WAN

Пропозиції Phase 1 (Аутентифікація)

Метод аутентифікації EAP-MSCHAPV2 Мій ідентифікатор Унікальне ім'я, 192.168.13.240 Мій Сертифікат IKEv2 certificate

У текстбоксе під полем Мій ідентифікатор, пропишіть ім'я, відповідне стандартному імені, зазначеному при генерації серверного сертифіката (DNS-ім'я або IP-адреса). У нашому випадку це IP-адреса 192.168.13.240.

В поле Мій Сертифікат, виберіть раніше згенерований серверний сертифікат, в нашому прикладі IKEv2 certificate.

Пропозиції Phase 1 (Алгоритми)

Алгоритми шифрування AES, 256 Алгоритм хешу SHA256 Група ключів DH 2 (2014 bit) Час існування 28800

Натисніть кнопку Зберегти.

Налаштування Phase2-записи

Натисніть на кнопку Показати Phase2-записи 0, далі клікніть на іконку плюс, найближчу до напису PFS.

Загальна інформація

Локальна мережа

Тип Підмережа LAN

Пропозиція Phase 2 (Обмін SA / Ключами)

Протокол ESP Алгоритми шифрування AES, автоматично Алгоритми хешу SHA1 Група ключів PFS off Час існування 3600

Натисніть кнопку Зберегти.

Встановіть прапорець Включити IPsec і натисніть на кнопку Зберегти.

Зайдіть в розділ VPN -> IPsec -> Попередньо видані ключі.

Натисніть на іконку плюс.

У вікні введіть логін і пароль користувача:

Ідентифікатор user Попередньо виданий ключ 123 Тип EAP

Натискаємо Зберегти.

Після здійснення всіх маніпуляцій, настройки IPSec виглядають наступним чином:

Після здійснення всіх маніпуляцій, настройки IPSec виглядають наступним чином:

Налаштування брандмауера

Зайдіть в розділ Брандмауер -> Правила та створіть три правила:

  • Правило на WAN-інтерфейсі, що дозволяє протокол ISAKMP / IKE (UDP-порт 500)
  • Правило на WAN-інтерфейсі, що дозволяє протокол ESP (ID 50)
  • Правило на IPSEC-інтерфейсі, що дозволяє будь-який трафік

Правило на WAN-інтерфейсі, що дозволяє протокол ISAKMP / IKE (UDP-порт 500)

Дія дозвіл Інтерфейс WAN Версії TCP / IP IPv4 Протокол UDP Діапазон портів призначення ISAKMP Відправник будь Одержувач будь

Натисніть Зберегти.

Правило на WAN-інтерфейсі, що дозволяє протокол ESP (ID 50)

Дія дозвіл Інтерфейс WAN Версії TCP / IP IPv4 Протокол ESP Відправник будь Одержувач будь

Натисніть Зберегти.

Правило на IPSEC-інтерфейсі, що дозволяє будь-який трафік

Дія дозвіл Інтерфейс WAN Версії TCP / IP IPv4 Протокол будь Відправник будь Одержувач будь

Натісніть Зберегти.

Натисніть Застосувати зміни.

Налаштування Windows-клієнта

Установка оснащення для роботи з сертифікатами

На VPN-клієнта створіть оснащення для роботи з сертифікатами. Для цього, в меню Виконати (викликається після натискання Win + R) наберіть mmc і натисніть Enter.

В консолі MMC, виберіть Файл -> Додати або видалити оснащення .... З шпальти Доступні оснастки вибираємо Сертифікати і натискаємо кнопку Додати, у вікні Оснащення диспетчера сертифікатів вибираємо немає облікового запису комп'ютера, натискаємо Далі, Далі, ОК. Дайте файлу, що консолі MMC ім'я certmgr.

Дайте файлу, що консолі MMC ім'я certmgr

Установка сертифіката видавництва

Відкрийте раніше додану остаску certmgr.

Пройдіть в Сертифікати (локальний комп'ютер) \ Довірені кореневі центри сертифікації \ Сертифікати.

Через меню Дія \ Все завдання \ Імпорт, або через контекстне меню Всі завдання \ Імпорт, імпортуйте сертифікат видавництва ting-ca.crt, який ми раніше експортували з пристрою TING в пункті Експорт сертифіката видавництва.

Налаштування VPN-з'єднання

Зайдіть в Панель керування \ Всі елементи панелі керування \ Центр управління мережами і загальним доступом.

Натисніть Налаштування нового підключення або мережі, виберете Підключення до робочого місця, виберете Використовувати моє підключення до Інтернету (VPN).

В поле Інтернет-адреса введіть доменне ім'я або IP-адресу WAN-адаптера пристрої TING, в нашому прикладі IP-адреса 192.168.13.240.

Примітка

Доменне ім'я або IP-адреса повинні збігатися з тим, що ми вказували в створеному серверному сертифікаті в пункті Створення серверного сертифіката.

В поле Ім'я местоназначенія введіть довільне ім'я створюваного VPN-з'єднання, наприклад IPSec VPN Сonnection. Встановіть прапорець Не підключатися зараз, ....

Зайдіть в Панель керування \ Мережа та Інтернет \ Мережеві підключення. Переконайтеся, що у властивостях з'єднання IPSec VPN Сonnection вказані налаштування, аналогічні тим, що продемонстровані на скріншотах:

вкладка Загальні

вкладка Загальні

вкладка Параметри

вкладка Параметри

вкладка Безпека

вкладка Безпека

вкладка Мережа

вкладка Мережа

вкладка Доступ

вкладка Доступ

При установці підключення до VPN-сервера за допомогою бездротової технології IPSec VPN Сonnection вкажіть:

Ім'я користувача user Пароль 123

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.