Меню

Softether vpn настройка site to site



Практическое применение (Часть 6).

6. Руководство по настройке L2TP/IPsec.

SoftEther VPN поддерживает также протокол L2TP/IPsec VPN. Вы можете применить L2TP/IPsec VPN протокол на VPN-сервере. iOS, Android, Mac OS X или другие L2TP/IPsec VPN совместимые клиентские устройства смогут подключаться к SoftEther VPN серверу. Маршрутизаторы Cisco или маршрутизатор другого совместимого поставщика l2tpv3 или EtherIP могут также подключаться к вашему SoftEther VPN серверу. Следующие главы описывают, как настроить L2TP/IPsec VPN.

6.1. Настройка L2TP/IPsec VPN-сервера на SoftEther VPN-сервере

Функция IPsec VPN-сервера по умолчанию отключена. Вы можете легко включить её, выполнив следующие шаги.

Руководство по конфигурации

Настройка VPN-сервера очень проста.

Запустите VPN Server Manager

Запустите SoftEther VPN Server Manager (который работает в Windows, но может подключаться к удаленному SoftEther VPN серверу, работающему в Linux, Mac OS X или другой UNIX). В менеджере серверов вы можете увидеть кнопку «IPsec/L2TP Settings». Нажмите на неё.

Главное окно VPN Server Manager

Появится следующее окно. Все IPSec функции сервера включаются и выключаются здесь.

Окно настроек IPsec/L2TP/EtherIP/L2TPv3

Значение каждой опции следующие:

• Серверная функция L2TP (L2TP поверх IPSec) [Enable L2TP Server Function (L2TP over IPsec)]
Эта функция предназначена для приема VPN-подключений от iPhone, iPad, Android и других смартфонов и встроенного L2TP/IPsec VPN-клиента в Windows или Mac OS X. Включите её, если вы хотите подключаться с одного из этих устройств.

• Серверная функция L2TP (Самостоятельный L2TP без шифрования) [Enable L2TP Server Function (Raw L2TP with No Encryption)]
Некоторые специально настроенные VPN-маршрутизаторы или клиентские устройства имеют только протокол L2TP без IPsec шифрования. Чтобы подключаться с такого устройства, вы должны включить его поддержку этой опцией.

• Серверная функция EtherIP/L2TPv3 поверх IPSec [Enable EtherIP/L2TPv3 over IPsec Server Function]
Если вы хотите создать VPN-соединение типа сеть-сеть (Ethernet мост между удалёнными сетями), включите EtherIP/L2TPv3 поверх IPsec. Вы должны добавить название VPN устройства с другой стороны в список.

• IPSec с предварительно определённым ключом [IPsec Pre-Shared Key]
Предварительный общий ключ IPsec иногда называют «PSK» или «Секретным». В этой строке по умолчанию написано «vpn». Однако, не рекомендуется так оставлять. Вы должны задать актуальный текущий ключ всем VPN пользователям.

Как включить и настроить IPsec с помощью vpncmd ?

Если вы не можете использовать графический интерфейс VPN Server менеджера для Windows, вы можете использовать vpncmd для активации и настройки IPsec функции VPN-сервера с помощью команды IPSecEnable. Чтобы узнать, как это сделать в vpncmd, выполните команду «IPsecEnable?» в строке приглашения vpncmd.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа? (со стандартной аутентификацией по паролю)

Принципиально; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN сервером с функцией IPsec/L2TP VPN сервера, он должен добавить имя виртуального концентратора назначения в поле Имя пользователя.
Например, предположим, что сервер SoftEther VPN имеет два виртуальных концентратора: «HUB1» и «HUB2». И есть пользователи «yas» на концентраторе «HUB1» и «jiro» на концентраторе «HUB2».
В этом случае укажите имя виртуального концентратора назначения после имени пользователя с добавлением символа «@», например «yas@HUB1» или «jiro@HUB2». Обратите внимание, что и имя пользователя, и имя концентратора не чувствительны к регистру.
Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя виртуального концентратора назначения опущено в имени пользователя, пытающегося войти в систему, то предполагается, что виртуальный концентратор по умолчанию указывается пользователем.
Например, в случае если виртуальный концентратор по умолчанию — «HUB2», пользователь «jiro» на HUB2 может войти в систему с помощью ввода только «jiro». «@HUB2» можно не дописывать.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа в систему? (с NT доменной аутентификацией или через RADIUS)

Принципиально; когда пользователь VPN хочет установить VPN-подключение к SoftEther VPN-серверу с функцией IPsec/L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.
Например, предположим, что SoftEther VPN сервер имеет два виртуальных концентратора: «HUB1» и «HUB2». И есть пользователь «yas» в «HUB1» и «jiro» в «HUB2».
В этом случае укажите имя виртуального концентратора назначения перед именем пользователя с добавлением символа «\», например «HUB1\yas» или «HUB2\jiro». Обратите внимание, что и имя пользователя, и имя концентратора не чувствительны к регистру.
Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя виртуального концентратора назначения в имени пользователя, пытающегося войти в систему, опущено, то предполагается, что виртуальный концентратор по умолчанию указывается пользователем.
Например, в случае если виртуальный концентратор по умолчанию — «HUB2», пользователь «jiro» на HUB2 может войти в систему введя только «jiro». «HUB2\» можно не добавлять в начале.

Читайте также:  Выносной пульт управления и настройки впу тритон

Аутентификация пользователя с функцией L2TP/IPsec VPN

Вы должны создать пользователя, прежде чем он попытается подключиться к VPN с помощью функции L2TP/IPsec. Нельзя использовать проверку подлинности по сертификату для функции L2TP/IPsec VPN в текущей версии SoftEther VPN сервера.

Конфигурация для EtherIP/L2TPv3

EtherIP и L2TPv3 предназначены для приема подключений VPN-маршрутизаторов и создания VPN типа «сеть-сеть». Вы можете нажать кнопку «EtherIP/L2tpv3 Detail Settings» в окне конфигурации, чтобы добавить запись клиентского устройства в список. В записи клиентского устройства в списке строка идентификатора фазы 1 ISAKMP (IKE) и соответствующие учетные данные (имя пользователя и пароль пользователя, зарегистрированного на виртуальном концентраторе назначения).
Вы можете указать звездочку (‘ * ‘) в качестве шаблона для имени пользователя в записи. Такая запись позволит принимать соединения от любых VPN маршрутизаторов удаленной стороны.

Подробные настройки EtherIP/L2TPv3 сервера

Заметка

Отключите любую функцию IPsec/L2TP на сервере, которая может конфликтовать с функцией IPsec/L2TP SoftEther VPN сервера. Если порты UDP (500, 4500 и 1701) конфликтуют с другими программами, связь IPsec не будет работать.
Например, отключите службу «Маршрутизации и удаленного доступа» на Windows Server.
Если вы включите функцию IPsec/L2TP на SoftEther VPN-сервере, функция IPsec/L2TP в Windows будет временно отключена.

Назначение IP-адреса для подключившихся пользователей L2TP

При использовании L2TP функции IP-адрес VPN-клиента должен назначаться автоматически DHCP-сервером, находящимся в сегменте виртуального концентратора, к которому подключается пользователь.
Следовательно, у вас должен быть хотя бы один работающий DHCP сервер в L2 сегменте, к которому L2TP VPN-клиент пытается подключиться.
IP-адрес будет арендован у DHCP-сервера, и назначен на L2TP VPN сеанс клиента. Шлюз по умолчанию, маска подсети, адрес DNS и адрес WINS также будут применены к L2TP VPN клиенту. Так что, если нет DHCP-сервера, то нет успешных входов.
Вы можете использовать любой DHCP-сервер, который уже существует в вашей локальной сети. Если в локальной сети нет DHCP-серверов, то вы можете использовать функцию виртуального DHCP-сервера SecureNAT, которая реализована в SoftEther VPN-сервере.

Как подключиться через NAT/Firewall?

Если ваш SoftEther VPN-сервер находится за NAT или межсетевым экраном, вы должны открыть порты UDP 500 и 4500. На NAT`е UDP порты 500 и 4500 должны быть проброшены на VPN- сервер. Если какие-либо пакетные фильтры или межсетевые экраны существуют, откройте UDP порты 500 и 4500 на них.

6.2. Настройка L2TP клиента на iPhone/iPad

В этом документе описывается, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который входит в комплект iOS.
В этой инструкции все скриншоты делаются на iOS 6. В других версиях iOS настройка аналогична, однако в пользовательском интерфейсе могут быть незначительные отличия.
Эти скриншоты английской версии iOS. Если вы используете другой язык, вы все равно можете легко его настроить, следуя приведенным ниже инструкциям.
1. Начальные настройки (делается только один раз в первый раз)
На главном экране iOS запустите приложение «Настройки» / «Settings».

Откройте «VPN» в разделе «General» и нажмите «Add VPN Configuration. ».

Будет создан новый профиль L2TP VPN-подключения, и появится окно конфигурации.

В этом окне вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера. Вы также должны ввести имя пользователя, пароль и секрет (предварительный общий ключ).

2. Подключиться к VPN
Вы можете в любой момент запустить VPN-подключение, используя созданный профиль VPN-подключения.
Нажмите на ползунок-кнопку «OFF», чтобы инициировать VPN-соединение.

Пока VPN установлен, вы можете видеть статус и время соединения на экране. Ваш частный IP-адрес в VPN также отображается. IP-адрес «Connect to» показывает «1.0.0.1», но это нормально.

3. Наслаждайтесь VPN связью
Пока VPN-соединение установлено, все соединения будут идти через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.3. Настройка L2TP клиента на Android`е.

В этом документе описывается, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который входит в комплект ОС Android.
По этой инструкции все скриншоты делаются на Android 4.x. Другие версии Android 4.x настраиваются аналогично, однако могут быть незначительные отличия в пользовательском интерфейсе. Некоторые сторонние производители несколько изменяют окна конфигурации Android.
Эти скриншоты приведены для английской версии Android. Если вы используете другой язык, вы все равно можете легко его настроить, следуя приведенным ниже инструкциям.

1. Начальные настройки (делается только один раз в первый раз)

Запустите приложение «Settings»/ «Настройки» на Android.

В категории «Wireless & Networks / Беспроводные сети» откройте «More…/Ещё . » и нажмите «VPN».

Нажмите кнопку «Добавить профиль VPN»/ «Новая сеть VPN» или “+”, чтобы создать новый профиль VPN подключения.

Появится новый экран редактирования настроек VPN-соединения. Введите что-нибудь в поле «Имя» (например, «vpn») и выберите в поле «Тип» «L2TP/IPSec PSK».

Читайте также:  Avaya настройка dhcp vlan

Далее вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера. Вы также должны ввести имя пользователя, пароль и секрет (предварительный общий ключ).
Прокрутите экран конфигурации вниз и, если необходимо, установите флажок «Показать дополнительные параметры».

Введите поле «IPSec pre-shared key».
Укажите «0.0.0.0/0» (9 символов) в поле «Forwarding routes» / «Маршруты пересылки». Убедитесь, что вы правильно ввели данные в поле «Маршруты пересылки». Если нет, вы не сможете взаимодействовать через VPN.
После ввода всех данных нажмите кнопку «Сохранить» и сохраните настройки VPN-подключения.

2. Подключите VPN

Вы можете в любой момент запустить VPN-подключение, используя созданный профиль VPN-подключения. Откройте список настроек VPN-подключения и коснитесь настройки, вы увидите следующее на экране.

При первом подключении необходимо ввести «Имя пользователя» и «Пароль». Заполните оба поля «Имя пользователя» и «Пароль» и отметьте «Сохранить информацию об учетной записи». Нажмите «Подключиться», чтобы запустить VPN-подключение.
Пока VPN установлен, вы можете видеть статус и время соединения на экране. Ваш частный IP-адрес VPN также отображается. IP-адрес «Connect to» показывает «1.0.0.1», но так и должно быть.

3. Наслаждайтесь VPN связью

Пока VPN-соединение установлено, все соединения будут идти через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.4. Настройка L2TP клиента Windows

Вот инструкция, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который встроен в Windows XP, 7, 8, RT, Server 2003, 2008 и 2012.
В этой инструкции мы используем Windows 7. В Windows 8 и Windows 10 настройки похожи, но есть некоторые отличия.

1. Начальные настройки (делается только один раз в первый раз)

Щелкните правой кнопкой мыши по значку сети в правом нижнем углу экрана в Windows и выберите «Открыть центр управления сетями и общим доступом».

Нажмите «Настройка нового подключения или сети» в «Центре общего доступа к сети».

Далее выберите «Подключение к рабочему месту».

Выберите «Использовать моё подключение к Интернету (VPN)».

Вы должны ввести IP-адрес или имя хоста SoftEther VPN-сервера.

Введите имя хоста или IP-адрес в поле «Интернет-адрес» мастера настройки.

После того, как вы введете «Интернет-адрес», установите флажок «Не подключаться сейчас, только выполнить установку для подключения в будущем» в нижней части окна.
Если появится экран запроса имени пользователя и пароля, введите имя пользователя и пароль. Вы должны поставить галочку «Запомнить этот пароль».
Когда появится сообщение «Подключение готово к использованию», нажмите кнопку «Закрыть». Не нажимайте кнопку «Подключиться сейчас».

Перейдите в «Центр управления сетями и общим доступом» и нажмите «Изменение параметров адаптера».

Выберите только что настроенное VPN-соединения из списка. Щелкните правой кнопкой мыши на его значок и выберите «Свойства».

На экране свойств перейдите на вкладку «Безопасность». Выберите «L2TP/IPSec VPN» в раскрывающемся списке «Тип VPN».

Далее нажмите кнопку «Дополнительные параметры».
Появится следующий экран. Нажмите «Для проверки подлинности использовать предварительный ключ» и введите предварительный общий ключ в поле «Ключ».

После завершения вышеуказанной конфигурации дважды нажмите кнопку «ОК», чтобы закрыть экран свойств настройки VPN-подключения.

2. Подключиться к VPN-серверу

Дважды щелкните на значок созданного VPN-подключения, появится окно как показано ниже.
Поля «Имя пользователя» и «Пароль» должны быть заполнены, если вы поставили галочку сохранения пароля на предыдущих шагах. Если нет, заполните оба поля: «Имя пользователя» и «Пароль».
Нажмите кнопку «Подключиться», чтобы попробовать подключиться к VPN.

Пока пытается установить VPN, на следующем экране отображаются статусы. Если возникает ошибка, подтвердите свои настройки, убедитесь, что тип VPN — «L2TP/IPsec», и правильно указан предварительный общий ключ.

Если VPN-соединение успешно установлено, на экране появится значок VPN-подключения, который появляется при нажатии значка сети в правом нижнем углу экрана Windows. Статус значка VPN-подключения должен быть «Подключен».
Кстати, вы можете инициировать VPN-соединение, просто нажав на этот значок VPN.

3. Наслаждайтесь VPN Связью

Пока VPN-соединение установлено, все соединения будут проходить через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой вы подключились.

6.5. Настройка L2TP клиента Mac OS X

Здесь приведена инструкция по подключению к общедоступному VPN Gate серверу ретрансляции с помощью L2TP/IPsec VPN-клиента, встроенного в Mac OS X.
В этой инструкции все скриншоты делаются на Mac OS X Mountain Lion. В других версиях Mac OS X настройки аналогичны, однако могут быть незначительные отличия в пользовательском интерфейсе.
Мы приводим скриншоты экрана, сделанные в английской версии Mac OS X. Если вы используете ОС с другим языком, вы все равно сможете легко настроить подключение, следуя приведенным ниже инструкциям.

1. Начальные настройки (делается только один раз в первый раз)

Читайте также:  Mikrotik ipsec настройка nat

Нажмите значок сети в правом верхнем углу экрана. Нажмите «Открыть настройки сети . » в появившемся меню.

Нажмите кнопку «+» на экране конфигурации сети.

Выберите «VPN» в поле «Interface», «L2TP через IPsec» в поле «VPN Type» и нажмите кнопку «Create».

Будет создана новая конфигурация L2TP VPN, и появится окно конфигурации.

На этом экране вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера.
После того как вы укажите «Server Address», введите имя пользователя в поле «Account Name», которое находится рядом с полем «Server Address».
Далее нажмите кнопку «Authentication Settings. ».

Откроется экран аутентификации. Введите свой пароль в поле «Password». Укажите предварительный общий ключ также в поле «Shared Secret». После их ввода нажмите кнопку «ОК».
После возврата к предыдущему экрану установите флажок «Show VPN status in menu bar» и нажмите кнопку «Advanced. ».

Появятся расширенные настройки. Установите флажок «Send all traffic over VPN connection»/«Отправить весь трафик через VPN-соединение» и нажмите кнопку «ОК».
На экране настроек VPN-подключения нажмите кнопку «Connect»/«Подключиться», чтобы запустить VPN-подключение.

2. Запустите VPN-подключение

Вы можете установить новое VPN-подключение нажав кнопку «Connect»/«Подключиться» в любое время. Вы также можете установить VPN-подключение, щелкнув значок VPN в строке меню.
После того, как VPN-подключение будет установлено, окно настройки VPN-подключения станет таким, как показано ниже, а «Status»/«Статус» будет «Connected»/«Подключен». Ваш частный IP-адрес VPN и время подключения будут отображаться в окне.

3. Наслаждайтесь VPN связью

Пока VPN-подключение установлено, все соединения будут проходить через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.6. Настройка L2TPv3/IPsec Edge-VPN на маршрутизаторе Cisco

Большинство Cisco маршрутизаторов, выпущенных в 2005 году или позднее, поддерживают протокол L2TPv3 поверх IPsec.
Если вы используете L2TPv3 поверх IPsec, вы можете установить туннель с IPsec шифрованием между маршрутизатором Cisco в филиале и SoftEther VPN сервером в центральном офисе (HQ штаб-квартире).
На этой веб-странице объясняется, как настроить маршрутизатор Cisco 1812 или Cisco 892 для подключения к SoftEther VPN-серверу.
Ниже в разделе [6.7. Почему совместное использование Cisco маршрутизаторов с SoftEther VPN сервером самый лучший вариант?] будет описано преимущество совместного использования SoftEther VPN сервера с Cisco маршрутизаторами.

Подготовка

Перед настройкой Cisco маршрутизатора вы должны настроить SoftEther VPN-сервер.

На приведенном выше экране установите флажок «Enable EtherIP / L2TPv3 over IPsec Server Function» и нажмите кнопку «Detail Settings». Появится следующий экран.

В этом окне вы должны указать идентификатор isakmp (IKE) фазы 1 клиента для протокола l2tpv3, имя виртуального концентратора, а также имя пользователя и пароль.
В приведенном выше примере попытки L2TPv3 VPN-подключения от любых маршрутизаторов будут проходить с использованием имени пользователя «l2tpv3», подключения будут к виртуальному концентратору «DEFAULT». (Пользователь «l2tpv3» должен быть создан на виртуальном концентраторе.)
По сути, вы должны указать идентификатор фазы 1 ISAKMP (IKE) Cisco маршрутизатора в поле идентификатора. Тем не менее, вы можете указать «*», шаблон соответствия любым идентификаторам. Это небезопасно, но у нас это просто учебный пример. В долгосрочной рабочей системе вы должны точно указать идентификатор фазы 1 вместо знака «*».

Пример конфигурации маршрутизатора Cisco № 1 (с фиксированным физическим IP-адресом)

Пример окружения:

  • Ethernet порты
    FastEthernet 0: WAN Port (IP Address: 2.3.4.5 / Subnet Mask: 255.255.255.0 / Default GW: 2.3.4.254)
    FastEthernet 1: Bridge Port
  • IP-адрес SoftEther VPN сервера к которому подключаемся
    1.2.3.4
  • Настройки шифрования isakmp SA
    AES-256 / SHA / DH Group 2 (1024 bit)
  • Параметры шифрования IPSec SA
    AES-256 / SHA
  • Предварительный общий IPsec ключ
    vpn

Пример конфигурации Cisco-маршрутизатора

Пример конфигурации Cisco маршрутизатора №2 (Физический IP-адрес назначается по DHCP)

Пример окружения:

  • Ethernet порты
    FastEthernet 0: WAN Port (Автоматическая аренда IP-адреса от DHCP-сервера)
    FastEthernet 1: Bridge Port
  • IP-адрес SoftEther VPN сервера, к которому подключаемся
    1.2.3.4
  • Настройки шифрования isakmp SA
    AES-256 / SHA / DH Group 2 (1024 bit)
  • Параметры шифрования IPSec SA
    AES-256 / SHA
  • Предварительный общий IPsec ключ
    vpn

Пример конфигурации Cisco-маршрутизатора

Пример конфигурации Cisco маршрутизатора №3 (PPPoE соединение через WAN-порт)

Пример окружения:

  • Ethernet порты
    FastEthernet 0: WAN Port (Автоматическое назначение IP-адреса через PPPoE)
    FastEthernet 1: Bridge Port
  • IP-адрес SoftEther VPN сервера к которому подключаемся
    1.2.3.4
  • Настройки шифрования isakmp SA
    AES-256 / SHA / DH Group 2 (1024 bit)
  • Параметры шифрования IPSec SA
    AES-256 / SHA
  • Предварительный общий IPsec ключ
    vpn

Пример конфигурации Cisco-маршрутизатора

6.7. Почему совместное использование Cisco маршрутизаторов с SoftEther VPN сервером самый лучший вариант?

В этом документе объясняется преимущество совместного использования Cisco маршрутизаторов и SoftEther VPN-сервера, а также использования VPN протокола L2TPv3/IPsec для создания VPN-мостов Ethernet между несколькими точками.

Источник

Adblock
detector