Информационный портал по безопасности
Информационный портал по безопасности » Админитстрирование » Сетевые технологии » Настройка IPsec VPN-сервера в Kerio Control и клиентского VPN-подключения (на примере ОС Windows)
Настройка IPsec VPN-сервера в Kerio Control и клиентского VPN-подключения (на примере ОС Windows)
Автор: admin от 2-09-2013, 17:47, посмотрело: 20 373
Те, кто используют в работе файрвол Kerio Control (а возможно и те, кто не используют), скорее всего в курсе, что начиная с 8-й версии этого продукта появилась возможность создания VPN-туннелей не только с использованием собственной проприетарной технологии от Kerio, но и с помощью стандартного L2TP и IPsec для безопасности соединения.
Соответственно, это значительно расширило возможности продукта как для клиентских подключений — нет необходимости использовать фирменный VPN-клиент (реализованный только для отдельных ОС), а подключаться стандартными средствами операционной системы, большинство из которых (в том числе мобильные) имеют встроенную поддержку L2TP и IPsec, так и для межсерверных коммуникаций — больше нет необходимости использовать на обоих концах туннеля продукты Kerio.
Собственно настройка VPN-сервера и клиентского подключения для опытного человека не представляет проблемы, плюс на сайте производителя есть пара мануалов (в том числе и на русском), но в процессе всё же есть пара неочевидных моментов, что и подвигло на написание собственного варианта с картинками.
Текст далее в формате «скриншот с типовыми настройками» -> «пояснения», для краткости проприетарная версия VPN-сервера именуется как Kerio-VPN, L2TP и IPsec — как IPSec-VPN.
1. В WEB-консоли управления Kerio Control в разделе «Интерфейсы» проверяем, что «VPN-сервер» включен:
2. Делаем двойной клик на нём (или жмём кнопку «Правка» внизу) для его настройки:
2.1. Общие настройки и настройк IPSec VPN:
Пункты 1, 2 — ставим галочки для выбора нужной реализации VPN-сервера. Обычно задействуем обе;
Пункты 3-5 касаются способа проверки подлинности при авторизации клиента: либо с использованием сертификата, либо с использованием заранее созданного ключа (пароля).
Сервер может поддерживать как оба способа (обычно), так и какой-то один. Клиент при подключении использует какой-то один способ.
Использование сертификата требует дополнительной установки этого сертификата в операционной системе клиента, что требует бOльших усилий (а иногда и невозможно), по-этому такой способ используется редко, в основном в больших организациях, использующих службы каталогов.
Чаще используется проверка подлинности с помощью ключа (достаточно длинны и сложности);
Пункт 6 — Если Kerio Control не подключен к домену, или для авторизации на сервере VPN используются пользователи из локальной базы Kerio Control, нужно:
В примере Kerio Control подключен к домену, поэтому галочка не стоит.
2.2. Настройки Kerio-VPN:
Пункт 7 — выбираем сертификат из имеющихся в Kerio Control, используемый для проверки подлинности при подключении;
Пункт 8 — порт, прослушиваемый Kerio Control для подключения клиентов. В большинстве случаев стоит оставить стандартный — 4090;
Пункт 9 — если клиентам нужен доступ в Интернет, а не только к ресурсам локальной сети — ставим тут галочку. Так же правила трафика (см. ниже) должны разрешать такой доступ.
2.3. Настройки DNS-сервера:
Пункт 10 — определяет вариант, каким образом Kerio Control отвечает на DNS-запросы клиента:
Если ничего не менять, то по-умолчанию обычно стоят уже правильные значения.
3. В разделе «Правила трафика» проверяем правила, касающиеся VPN:
Пункты 1,2 — разрешают подключение VPN-клиентов к серверу Kerio Control по IPSec-VPN (пункт 1) и по Kerio-VPN (пункт 2).
На скриншоте приведены настройки, разрешающие подключение по любому способу;
Пункт 3 — разрешает VPN-клиентам доступ в Интернет (так же должна стоять галочка, см. выше раздел 2.2, пункт 9). Если клиент должен осуществлять доступ в Интернет «обычным» способом, через свой основной шлюз — удаляем «Клиенты VPN);
Пункт 4 — разрешает доступ VPN-клиентам к ресурсам локальной сети. Собственно, наиболее частая цель данных манипуляций.
4. В разделе „Пользователив“ проверяем права пользователей, которым нужно подключатся по VPN:
4.1. Если Kerio Control не подключен к домену, или пользователь не в домене, должна стоять галочка „Сохранить пароль в формате, совместимом с MS-CHAP v2в“ (плюс галочка, см. выше раздел 2.1, пункт 6):
Так же должна стоять галочка „Пользователи могут подсоединятся через VPNв“. В случае, если нужно разрешить подключение по VPN для всех пользователей Kerio Control — можно использовать „Шаблон пользователяв“.
При необходимости можно назначить VPN-клиенту статический IP-адерс:
4.2. Если Kerio Control подключен к домену, для доменных пользователей — аналогично разделу 4.1, за исключением „Сохранить пароль в формате, совместимом с MS-CHAP v2в“ — этой галочки там нет.
Это все минимальные настройки для функционирования VPN-сервера Kerio Control.
Так же рассмотрим настройку клиентского VPN-подключения на примере ОС Windows 7 (в остальных версиях этой ОС настройка выполняется схожим способом).
1. Открываем „Центр управления сетями и общим доступомв“ — зайдя „Панели Управленияв“ или сделав правый клик мышью (далее — ПКМ) на значке сетевых подключений в трее:
2. В „Центре управления сетями и общим доступомв“ выбираем „Настройка нового подключения к сетив“:
3. В появившемся окне выбираем „Подключение к рабочему месту — Настройка телефонного или VPN-подключения к рабочему местув“, потом „Далеев“:
4. Выбираем „Использовать моё подключение к Интернету (VPN)в“:
5. В окне создания подключения вводим:
Пункт 1 — IP-адрес сервера Kerio Control, или его DNS-имя (если оно есть), например vasyapupkin.ru;
Пункт 2 — Указываем имя подключения: можно указывать любое, ни на что не влияет;
Пункт 3 — ставим галочку „Не подключаться сейчас. в“, что бы операционная система не выполнила подключение до окончания настройки всех параметров;
Жмём „Далеев“.
6. В следующем окне вводим имя пользователя в Kerio Control, используемое для авторизации, и его пароль. Если Kerio Control входит в домен и это пользователь домена — включаем так же домен (как на скриншоте):
При необходимости ставим галочку „Запомнить парольв“.
Завершаем создание VPN-подключения кнопкой „Создатьв“.
7. Возвращаемся в „Центр управления сетями и общим доступомв“, там выбираем „Изменение параметров адаптерав“:
8. Делаем ПКМ на созданном нами подключении, выбираем „Свойствав“:
9. В окне свойств подключения делаем как на скриншотах ниже:
Закладка „Параметрыв“:
Пункт 1 — галочка отвечает за отображение хода подключения на экране пользователя. Можно снять, можно оставить для наглядности;
Пункт 2 — галочка отвечает за отображение окна с запросом имени пользователя и пароля. Т.к. эти данные уже введены ранее (шаг 6), можно его отключить;
Пункт 3 — нужно снять эту галочку.
Настройки раздела „Параметры повторного звонкав“ настраиваем по необходимости. Оптимально как на скриншоте.
Закладка „Безопасностьв“:
Устанавливаем настройки как на скриншоте выше. В „Дополнительных параметрахв“ вводим либо ключ, либо установленный сертификат, используемые для проверки подлинности сервера — в зависимости от настроек VPN-сервера Kerio Control.
Закладка „Сетьв“:
Выбираем „Протокол Интернета версии 4 (TCP/IPv4)в“, жмём кнопку „Свойствав“, в появившемся окне жмём кнопку „Дополнительнов“, выбираем нужное состояние галочки „Использовать основной шлюз в удалённой сетив“:
- если галочка УСТАНОВЛЕНА: после подключения к VPN серверу основным шлюзом для клиентского компьютера станет сервер Kerio Control, соответственно весь внешний трафик (в том числе Интернет) клиентский компьютер будет направлять через Kerio Control. Следствия:
Нажимая „ОКв“, закрываем все окна, в том числе окно свойств подключения.
10. В окне „Сетевые подключенияв“ делаем ПКМ на созданном нами VPN-подключении, выбираем „Подключитьв“ — проверяем, что подключение происходит корректно.
На этом основная настройка завершена. При необходимости создаём ярлык для этого подключения на рабочий стол пользователя.
Дополнительно: если на шаге 9 на закладке „Сетьв“ вы НЕ установили галочку „Использовать основной шлюз в удалённой сетив“, то для использования ресурсов удалённой локальной сети через Kerio Control нужно дополнительно настроить маршрутизацию в операционной системе:
11. В командной строке вводим:
route PRINT
Данная команда выводит активные сетевые маршруты и перечень сетевых интерфейсов в системе. На этом шаге определяем системный номер созданного VPN-подключения — в данном случае 20.
12. Добавляем маршрут для доступа к ресурсам удалённой локальной сети через Kerio Control (измените нужные значения сообразно своему случаю):
route -p ADD 192.168.10.0 MASK 255.255.255.0 172.26.227.1 METRIC 1 IF 20
В примере:
— удалённая локальная сеть 192.168.10.0 с маской 255.255.255.0;
— 172.26.227.1 — IP-адрес VPN-сервера Kerio Control;
— METRIC — метрика (приоритет) 1, т.е. наивысшая;
— IF — номер интерфейса в системе, определённый на шаге 11 (в данном случае 20).
— p — ключ, добавляющий постоянный маршрут, сохраняющийся после перезагрузки системы (без этого ключа будет создан временный маршрут, действующий только на период текущей сессии пользователя).
Примечание: если VPN-подключение будет удалено, а потом создано снова (даже с тем же именем), то нужно удалить прежний маршрут и прописать новый, т.к. изменится номер интерфейса. Переименование подключения не меняет его номера.
Источник
Настройка VPN-туннеля IPSec между двумя межсетевыми экранами Kerio Control 9.2
Оглавление
Введение
И так у меня есть задача по объединению двух сетей через VPN туннель. Для этого я выбрал Kerio Control 9.2, так как он уже был настроен в обоих локальных сетях в качестве межсетевого экрана. Вот небольшой план, которого мы будем придерживаться:
Настройка правил трафика
Для начала переходим в настройку Правила трафика межсетевого экрана и проверяем что правило VPN-службы включено, а в правилах Доступ к Интернету (NAT) и Локальный трафик разрешены VPN клиенты и VPN туннели.
Настройка PIsec VPN Сервера
В Kerio Control, начиная с 8-ой версии, появилась возможность поднимать IPsec VPN туннели! Поэтому мы можем соединять не только Kerio to Kerio, но и также с любым другим устройством которое поддерживает IPsec.
Открываем Свойства VPN-сервера во вкладке Интерфейсы. Отмечаем чекбокс Включить сервер IPsec. Указываем VPN-сеть (подсеть должна отличаться от уже используемой и от тех, которые используются на втором Kerio). Выбираем Сертификат. Если необходимого сертификата нет, то создайте его в разделе Сертификаты SSL самостоятельно. Аналогичные настройки проделайте на втором Kerio.
Настройка VPN туннеля
Создаём новый VPN туннель, выбираем Активное подключение, вводим внешний IP адрес второго Kerio, между которыми поднимаем VPN туннель. Во вкладке Аутентификация выбираем по удалённому сертификату. Тут необходимо получить сертификат от второго Kerio и импортировать его к себе.
Тут ничего сложного. Смотрите скрины ниже, думаю всё понятно и так.
Теперь переходим во вкладку Удалённые сети. Тут добавляем локальную сеть удалённого Kerio и сеть, присвоенную удалённому VPN-серверу Kerio. Аналогично в Локальных сетях добавляем две сетки, используемые нашим Kerio.
Если вы зеркально проделали всё правильно, что описано выше, то по завершению настройки вашь VPN туннель Kerio автоматически поднимется. И в сведеньях туннеля вы увидите статус Соединение с IP_адрес установлено.
Заключение
Если у вас есть что сказать по настройке VPN туннеля на межсетевом экрана Kerio 9.2, то поделитесь вашим мнением в комментариях. Всем спасибо за внимание!
Источник