Top-office11.ru

IT и мир ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как настроить vpn туннель

Пример настройки туннеля IPSec VPN с компьютера из ОС Windows

NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный «белый» IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме «Прямой доступ». При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

В нашем примере для VPN IPSec-подключения мы будем использовать бесплатное ПО Shrew VPN Client, скачать его можно с сайта производителя: https://www.shrew.net/download
Установите VPN-клиент и проверьте, что установился специальный драйвер для работы Shrew (в Свойствах сетевого подключения должна стоять галочка напротив Shrew Soft Lightweight Filter).

Запустите VPN Access Manager.

9. После запуска откроется окно программы.

10. Нажмите кнопку Add для создания VPN-подключения.

11. На вкладке General нужно указать настройки:

  • Host Name or IP address — внешний/публичный IP-адрес Keenetic (в нашем случае 46.72.181.99);
  • Auto Configuration: disabled;
  • Adapter Mode: Use an existing adapter and current address.

12. На вкладке Client оставьте значения по умолчанию.

13. На вкладке Name Resolution снимите галочки Enable DNS и Enable WINS.

14. На вкладке Authentication укажите следующие параметры:

  • Authentification Method: Mutual PSK;
  • Local Identifity > Identification Type: IP AddressAddress String: 192.168.221.33 и снимите галочку Use a discovered local host address;
  • Remote Identifity> Identification Type: IP AddressAddress String: 192.168.222.1 и снимите галочку Use a discovered local host address;
  • Credentials> Pre Shared Key: 12345678.

15. На вкладке Phase1 укажите:

  • Exchange Type: main;
  • DH Exchange: group 1;
  • Cipher Algorithm: des;
  • Hash Algorithm: md5;
  • Key Life Time limit: 3600.

16. На вкладке Phase 2 укажите:

  • Transform Algorithm: esp-des;
  • HMAC Algorithm: md5.

Внимание! Настройки фаз 1 и 2 должны совпадать с аналогичными параметрами, установленными на устройстве, с которым будет устанавливаться VPN-туннель.

17. На вкладке Policy снимите галочку Obtain Topology Automatically or Tunnel All, нажмите Add и укажите локальную подсеть за Keenetic.

Нажмите OK и Save для сохранения настроек.

18. В списке подключений появится созданное VPN-соединение.

19. Дважды щелкните по ярлыку VPN-подключения и нажмите в открывшемся окне Connect для запуска VPN-соединения.
В итоге вы должны увидеть последнюю запись: tunnel enabled (данное сообщение означает, что успешно установлена фаза 1 туннеля).

20. Для завершения установки VPN-туннеля нужно с компьютера (из командной строки Windows) запустить трафик в направлении удаленной подсети, находящейся за роутером Keenetic.
Например, сделать это можно командой ping (в нашем примере выполняется пинг IP-адреса роутера 192.168.222.1).

21. Для отключения туннеля в VPN Access Manager нажмите кнопку Disconnect.

Пример настройки IPSec-подключения на ответной стороне VPN-сервера:

Примечание

  • Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nailed-up и Обнаружение неработающего пира (DPD).
    Nailed-up (данная настройка предназначена поддерживать работу туннеля в простое, т.е. когда нет передачи трафика, и восстанавливать его при разрыве).
    Обнаружение неработающего пира DPD (данная функция проверяет работоспособность туннеля, посылая Hello-пакеты, на которые удаленная сторона должна прислать ответ).
  • На компьютере с ОС Linux также можно воспользоваться бесплатным программным VPN-клиентом Shrew Soft VPN Client. Загрузить программу можно с сайта разработчика https://www.shrew.net/download или найти её и установить через Центр приложений операционной системы.
    Shrew Soft VPN Client успешно работает в операционных системах FreeBSD, NetBSD, Fedora Core и в различных дистрибутивах Ubuntu Linux (Mint, Xubuntu и др.) на платформах x86 и amd64.

Пользователи, считающие этот материал полезным: 21 из 27

Blogerator.org

Эксклюзивные ИТ-новости, обзоры и интервью

Как правильно настроить VPN-тоннель

Все больше пользователей обращают внимание на технологию VPN, как например — https://colandervpn.com/. Для кого-то виртуальные сети стали надежным инструментом, позволяющим просматривать запрещенный в регионе контент, некоторым они дают возможность скрывать свои приватные данные от третьих лиц.

А для коммерческих организаций VPN-соединение оказалось надежным щитом, ограждающим их корпоративные сети от любопытства конкурентов. Где бы ни предполагалось использовать этот виртуальный тоннель, возникает вопрос — что из себя представляет VPN-пересылка, какие протоколы используются для этого соединения и как его правильно настроить.

Что такое VPN-пересылка

Если не вдаваться в технические подробности, то VPN-пересылка — это передача защищенных пакетов данных по созданному сервисом туннелю, который пролегает в обход провайдера. При этом все передаваемые сведения шифруются, что позволяет оставить в тайне какой контент закачивался, какие сайты были посещены, какая информация проходила по каналу.

Кроме этого, невозможно отследить IP, с которого производились действия, компьютер или гаджет получает адрес зарубежного партнера VPN-сервиса. Благодаря этому существует возможность посещать любые ресурсы без ограничения и избежать назойливого внимания интернет-мошенников разных мастей.

Типы VPN-протоколов

Здесь будут описаны основные протоколы, позволяющие создавать тоннельное подключение:

SSTP. Этот протокол позволяет посредством HTTPS создавать VPN-соединение защищенного типа. Он основан на SSL и позволяет безопасно туннелировать сокеты. Для стабильной работы SSTP, позволяющей из любого места установить соединение, требуется 443 открытый порт. Достоинствами этого протокола является: возможность работать через firewalls, стабильная безопасность. К минусам можно отнести интеграцию только со средой Windows.

IPsec. Это даже не один, а целый набор протоколов. Они подразделяются на технологии: обмена ключами, защиты передаваемых сведений. Сложность использования этого протокола заключается в том, что он определяет набор механизмов и алгоритмов, а не конкретные политики аутентификации и шифрования.

L2TP. Более совершенный тип протокола второго уровня, созданного с использованием L2F и PPTP. К его плюсам следует отнести: объединение в одну сессию UDP двух каналов — управления и данных, возможность средствами IPSec шифровать передаваемые пакеты на более высоком уровне.

Читать еще:  Как удалить все вирусы с андроида

OpenVPN. Технология с открытым кодом, позволяющая без изменения настроек установить соединение между ПК, пребывающими за NAT-firewall.

PPTP. Самый распространенный и наименее безопасный протокол. Он позволяет создавать защищенный тоннель типа точка-точка в стандартной сети. К достоинствам этого протокола можно отнести простоту подключения. К недостаткам — множество уязвимостей.

Поэтому большинство специалистов советуют использовать вместо него протокол PPPoE, о том, как его подключить в виртуальной сети и настроить обычный VPN расскажем ниже.

Настройка VPN-тоннеля

Самым простым вариантом является настройка VPN на ПК под Windows 7 посредством протокола PPTP. Для этого следует:

В панели управления выбрать раздел, как и при настройке обычного интернет-соединения, «Центр управления сетями».

Перейти по вкладке «Подключиться к сети».

Выбрать соответствующую строку, позволяющую настроить VPN, где будет создано новое, PPTP типа, подключение.

В появившемся окне прописать IP сервера и выделить строку «не подключаться сейчас».

После чего заполняются в соответствующих полях логин и высланный в договоре VPN-сервисом пароль.

Настройка свойств подключения и создание ярлыка VPN-соединения на рабочем столе выполняется также, как при подключении обычного интернет-соединения. Созданную виртуальную сеть можно будет найти в перечне сетевых подключений. Это позволит, используя контекстное меню, при необходимости, произвести удаление, переименование, изменение настроек шифрования и прочее.

Как включить PPPoE/ VPN

Этот туннелирующий протокол дает возможность задействовать все плюсы PPP (анализ качества линии, сжатие и шифрование данных, аутентификацию). Кроме этого, отпадает необходимость до подключения к серверу выделять пользователю IP. Всё это позволяет при использовании программного обеспечения, предназначенного для PPP настраивать сеть, ориентированную на передачу пакетных данных.

Процесс настройки

Настройка этого протокола не сильно отличается от подключения VPN-тоннеля. Здесь независимо от канала — FTTx или DSL очередность действий будет аналогичной. Главное, иметь необходимые сведения от поставщика VPN-услуг: пароль, логин и сетевой адрес. Для подключения следует:

Нажав кнопку «Пуск», зайти в «Панель управления».

В открывшемся окне выбрать вкладку «Сеть и интернет».

После перехода в соответствующий раздел необходимо выбрать, находящийся вверху пункт, позволяющий подключиться к сети где следует воспользоваться блоком, позволяющим перенастроить сетевые параметры.

Перейдя в выбранный раздел кликнуть также по верхней вкладке «Подключение к интернету» и активировать надпись: «Высокоскоростное (с PPPoE)».

В выпавшем окне следует ввести предоставленные поставщиком VPN-услуг сведения: логин, пароль и нажать на кнопку «Подключить».

Последний появившийся раздел, информирующий о том, что подключение выполнено следует просто закрыть.

Как видно из описания процесс подключения PPPoE/ VPN так же прост, как и создание обычного интернет-соединения и под силу любому продвинутому пользователю ПК.

Заключение

Как видно из статьи, создать VPN-подключение на ПК не столь сложная задача. С ней сможет справиться большинство владельцев компьютеров. Главное, правильно выбрать подходящего поставщика услуг и в зависимости от задач, используемый протокол.

Настройка туннелей VPN-устройств в Windows 10 Configure VPN device tunnels in Windows 10

Область применения: Windows 10 версии 1709 Applies to: Windows 10 version 1709

Always On VPN предоставляет возможность создания выделенного профиля VPN для устройства или компьютера. Always On VPN gives you the ability to create a dedicated VPN profile for device or machine. Always On VPN-подключения включают два типа туннелей: Always On VPN connections include two types of tunnels:

Туннель устройства подключается к указанным VPN-серверам, прежде чем пользователи смогут войти на устройство. Device tunnel connects to specified VPN servers before users log on to the device. Сценарии подключения до входа в систему и в целях управления устройствами используют туннель устройства. Pre-login connectivity scenarios and device management purposes use device tunnel.

Туннель пользователя подключается только после входа пользователя на устройство. User tunnel connects only after a user logs on to the device. Пользовательский туннель позволяет пользователям получать доступ к ресурсам Организации через VPN-серверы. User tunnel allows users to access organization resources through VPN servers.

В отличие от пользовательского туннеля, которое подключается только после входа пользователя на устройство или компьютер, туннель устройства позволяет VPN устанавливать подключение до входа пользователя в систему. Unlike user tunnel, which only connects after a user logs on to the device or machine, device tunnel allows the VPN to establish connectivity before the user logs on. Туннель туннеля устройства и пользователь взаимодействуют независимо с их профилями VPN. они могут быть подключены одновременно и могут использовать разные методы проверки подлинности и другие параметры конфигурации VPN. Both device tunnel and user tunnel operate independently with their VPN profiles, can be connected at the same time, and can use different authentication methods and other VPN configuration settings as appropriate. Туннель пользователя поддерживает протоколы SSTP и IKEv2, а туннель устройства поддерживает IKEv2 только без поддержки отката SSTP. User tunnel supports SSTP and IKEv2, and device tunnel supports IKEv2 only with no support for SSTP fallback.

Пользовательский туннель поддерживается на устройствах, присоединенных к домену, не присоединенных к домену (Рабочей группе) или в составе устройств, присоединенных к Azure AD, чтобы разрешить сценарии как для предприятия, так и для BYOD. User tunnel is supported on domain-joined, nondomain-joined (workgroup), or Azure AD–joined devices to allow for both enterprise and BYOD scenarios. Он доступен во всех выпусках Windows, а функции платформы доступны третьим сторонам посредством поддержки подключаемого модуля VPN UWP. It is available in all Windows editions, and the platform features are available to third parties by way of UWP VPN plug-in support.

Читать еще:  Как проверить работает ли vpn

Туннель устройства можно настроить только на устройствах, присоединенных к домену, под управлением Windows 10 Корпоративная или для образовательных версий 1709 или более поздней версии. Device tunnel can only be configured on domain-joined devices running Windows 10 Enterprise or Education version 1709 or later. Сторонние средства управления туннелем устройства не поддерживаются. There is no support for third-party control of the device tunnel.

Требования и функции туннеля для устройства Device Tunnel Requirements and Features

Необходимо включить проверку подлинности сертификата компьютера для VPN-подключений и определить корневой центр сертификации для проверки подлинности входящих VPN-подключений. You must enable machine certificate authentication for VPN connections and define a root certification authority for authenticating incoming VPN connections.

Конфигурация туннеля VPN-устройства VPN Device Tunnel Configuration

Приведенный ниже пример XML-кода профиля предоставляет хорошее руководство для сценариев, в которых для туннеля устройства требуются только инициированные клиентом опросы. The sample profile XML below provides good guidance for scenarios where only client initiated pulls are required over the device tunnel. Фильтры трафика используются, чтобы ограничить туннель устройства только трафиком управления. Traffic filters are leveraged to restrict the device tunnel to management traffic only. Эта конфигурация хорошо подходит для Центр обновления Windows, типичных групповая политика (GP) и Microsoft Endpoint Configuration Manager обновления, а также VPN-подключения для первого входа без кэшированных учетных данных или сценариев сброса пароля. This configuration works well for Windows Update, typical Group Policy (GP) and Microsoft Endpoint Configuration Manager update scenarios, as well as VPN connectivity for first logon without cached credentials, or password reset scenarios.

Для инициированных сервером вариантов push-уведомлений, таких как служба удаленного управления Windows (WinRM), Remote GPUpdate и Remote Configuration Manager Update, необходимо разрешить входящий трафик в туннеле устройства, чтобы не использовать фильтры трафика. For server-initiated push cases, like Windows Remote Management (WinRM), Remote GPUpdate, and remote Configuration Manager update scenarios – you must allow inbound traffic on the device tunnel, so traffic filters cannot be used. Если в профиле туннеля устройства вы включите фильтры трафика, то туннель устройства отклоняет входящий трафик. If in the device tunnel profile you turn on traffic filters, then the Device Tunnel denies inbound traffic. Это ограничение будет удалено в будущих выпусках. This limitation is going to be removed in future releases.

Пример VPN-Профилексмл Sample VPN profileXML

Ниже приведен пример VPN-Профилексмл. Following is the sample VPN profileXML.

В зависимости от потребностей каждого конкретного сценария развертывания другой компонент VPN, который можно настроить с помощью туннеля устройства, — это Обнаружение доверенных сетей. Depending on the needs of each particular deployment scenario, another VPN feature that can be configured with the device tunnel is Trusted Network Detection.

Развертывание и тестирование Deployment and Testing

Туннели устройств можно настроить с помощью сценария Windows PowerShell и моста инструментарий управления Windows (WMI) (WMI). You can configure device tunnels by using a Windows PowerShell script and using the Windows Management Instrumentation (WMI) bridge. Туннель VPN-устройства Always On должен быть настроен в контексте локальной системной учетной записи. The Always On VPN device tunnel must be configured in the context of the LOCAL SYSTEM account. Для этого потребуется использовать PsExec, один из комплекта PsTools , входящий в комплект служебных программ Sysinternals Suite. To accomplish this, it will be necessary to use PsExec, one of the PsTools included in the Sysinternals suite of utilities.

Рекомендации по развертыванию для каждого устройства (.Device) и для каждого пользователя (.User) профиле см. в статье Использование сценариев PowerShell с поставщиком моста WMI. For guidelines on how to deploy a per device (.Device) vs. a per user (.User) profile, see Using PowerShell scripting with the WMI Bridge Provider.

Выполните следующую команду Windows PowerShell, чтобы убедиться, что профиль устройства успешно развернут. Run the following Windows PowerShell command to verify that you have successfully deployed a device profile:

В выходных данных отображается список профилей устройств,-широкие VPN-профили, развернутые на устройстве. The output displays a list of the device-wide VPN profiles that are deployed on the device.

Пример сценария Windows PowerShell Example Windows PowerShell Script

Для создания собственного скрипта для создания профиля можно использовать следующий сценарий Windows PowerShell. You can use the following Windows PowerShell script to assist in creating your own script for profile creation.

Дополнительные ресурсы Additional Resources

Ниже приведены дополнительные ресурсы для помощи при развертывании VPN. The following are additional resources to assist with your VPN deployment.

Ресурсы конфигурации VPN-клиента VPN client configuration resources

Ниже приведены ресурсы конфигурации VPN-клиента. The following are VPN client configuration resources.

Ресурсы шлюза сервера удаленного доступа Remote Access Server Gateway resources

Ниже приведены ресурсы шлюза сервера удаленного доступа (RAS). The following are Remote Access Server (RAS) Gateway resources.

При использовании туннеля устройства с шлюзом Microsoft RAS необходимо настроить сервер RRAS для поддержки проверки подлинности сертификата компьютера по протоколу IKEv2, включив параметр Разрешить проверку подлинности на основе сертификата компьютера для проверки подлинности IKEv2, как описано здесь. When using Device Tunnel with a Microsoft RAS gateway, you will need to configure the RRAS server to support IKEv2 machine certificate authentication by enabling the Allow machine certificate authentication for IKEv2 authentication method as described here. После включения этого параметра настоятельно рекомендуется использовать командлет PowerShell Set-впнауспротокол вместе с необязательным параметром рутцертификатенаметоакцепт , чтобы убедиться, что подключения RRAS по протоколу IKEv2 разрешены только для сертификатов VPN-клиентов, которые связаны с явно определенным внутренним или частным корневым центром сертификации. Once this setting is enabled, it is strongly recommended that the Set-VpnAuthProtocol PowerShell cmdlet, along with the RootCertificateNameToAccept optional parameter, is used to ensure that RRAS IKEv2 connections are only permitted for VPN client certificates that chain to an explicitly defined internal/private Root Certification Authority. Кроме того, необходимо внести изменения в хранилище доверенных корневых центров сертификации на сервере RRAS, чтобы убедиться, что он не содержит общедоступных центров сертификации, как описано здесь. Alternatively, the Trusted Root Certification Authorities store on the RRAS server should be amended to ensure that it does not contain public certification authorities as discussed here. Аналогичные методы также могут быть рассмотрены для других VPN-шлюзов. Similar methods may also need to be considered for other VPN gateways.

Читать еще:  Asa vpn omk

ВПН туннель

Перед тем, как объяснить, что такое VPN-туннель, следует вспомнить, что такое виртуальная сеть. VPN или виртуальная частная сеть – это технология, позволяющая создать одно или несколько соединений поверх другой сети. При подключении к VPN, создается «виртуальная» сеть между устройством пользователя и сервером ВПН, с зашифрованным соединением. Запрос в зашифрованном виде направляется от пользователя, через защищенный канал связи, именуемый ВПН–туннелем, на сервер ВПН. Оттуда запрос перенаправляется по назначению – в интернет или к другому серверу.

Безопасность

Если используется обыкновенное подключение к сети, трафик передается от пользователя напрямую интернет провайдеру. Информация передается в открытом виде, и третьи лица могут получить к ней доступ. Туннелирование позволяет создать защищенный канал, по которому информация передается в зашифрованном виде на сервер, а ключи шифрования есть только у пользователя и сервера. Получить доступ к информации пользователя можно, лишь имея физический доступ к серверу в момент подключения. Большинство крупных провайдеров VPN услуг никогда не сохраняют логи, а физический доступ к их серверам практически исключен. Хотя трафик расшифровывается на сервере, определить конкретного пользователя, который делал этот запрос невозможно – к ВПН подключаются одновременно сотни хостов.

Методы шифрования в туннелях

ВПН туннель – это своеобразный защищенный мост между устройством пользователя и сервером, где данные шифруются при помощи надежных 256-битных алгоритмов. Некоторые сервисы используют 128 битные AES. Даже такие ключи взломать невозможно – используя метод грубого перебора (брутфорса) это заняло бы миллионы лет.

Типы протоколов в VPN туннелях

Самый распространенный среди ВПН сервисов протокол передачи данных в ВПН сетях — OpenVPN. Он использует стандартные TCP и UDP запросы, что позволяет скрыть использование VPN подключения. Пакеты данных шифруются 256-битным шифрованием, а для его работы нужно только соответствующее клиентское приложение. PPTP – самый простой программный протокол. Используется для установления связи типа точка-точка. Для авторизации использует пароль. Шифрование отсутствует, его область применения — настройка соединений программными средствами операционных систем L2TP, IPSec. L2tp это более совершенная версия PPTP, но шифрование у протокола по-прежнему отсутствует. L2TP используется в связке с IPSec – протоколом, шифрующим пакеты данных и обеспечивающим безопасность. Главный недостаток IPsec – сложная настройка клиентских приложений. PPTP или IPSec гораздо менее стабильные протоколы, чем OpenVPN. Хотя для настройки виртуальной сети через PPTP не требуется никаких дополнительных программ, PPTP требует поддержки GRE47, из-за чего может нестабильно работать под сетевым экраном (NAT) и требовать долгих настроек.

Как установить и настроить VPN туннель

Туннелирование VPN может использоваться для объединения двух локальных сетей, к примеру внутренних сетей двух филиалов одной организации для безопасного обмена информацией. Сделать VPN туннель можно как при помощи стороннего ПО, вроде программы OpenVPN, так и при помощи встроенных средств ОС.

Создание ВПН туннеля

Самой простой задачей, для которой может потребоваться VPN туннели – получение доступа к домашнему ПК из любой точки мира. Нередки ситуации, когда человек уезжает в командировку в страну, в которой доступ к соцсетям или любимым ресурсам заблокирован. Чтобы не платить деньги ВПН-провайдерам, достаточно настроить vpn туннель между мобильным устройством и домашним ПК. Собственный VPN туннель будет совершенно бесплатным. Доступ к сайтам восстановится, а скорость работы будет всегда большой, ведь к домашнему ПК подключается только один пользователь.

Порядок настройки

В первую очередь, необходимо обеспечить статический ip-адрес для ПК, к которому планируется подключаться.

  1. OpenVPN GUI можно бесплатно скачать по ссылке — https://openvpn.net/community-downloads/
  2. Необходимо выполнить генерацию ключей. Делается это с помощью easy-rsa, скачать программу можно тут: https://github.com/OpenVPN/easy-rsa
  3. Генерация ключей происходит при помощи командной строки. Для корректной работы должны быть созданы следующие ключи:
  • Ключ, сертификат ca.crt, ca.key
  • Ключ, сертификат сервера server.crt server.key.
  • Ключ, сертификат клиента cl1.crt cl1.key
  • Параметры DiffieHellman dh1024.pem.
  • Ключ TLS для аутентификации пакетов ta.key
  1. После этого создаются файлы конфигурации клиента (.ovpn), где указываются ip адрес с местоположением ключей.
  2. Последним шагом настраиваются брандмауэр и маршрутизация.

При помощи мобильного приложения OpenVPN Connect и файла конфигурации, можно подключиться по защищенному ВПН туннелю к домашнему ПК из любой точки мира.

Ссылка на основную публикацию
Adblock
detector
×
×