Настройка ikev2 vpn windows 10

Настройка IKEv2 VPN подключения в Windows 11

Настройка IKEv2 VPN подключения в Windows 8

Настройка IKEv2 VPN подключения в Windows 7

Выберите Параметры сети и Интернет.

На вкладке VPN нажмите Добавить VPN-подключение.

В разделе Подписки посмотрите домены IKEv2 VPN серверов, Логин и Пароль VPN.

Введите:

Выберите Windows (встроенные)
Любое название подключения
Адрес IKEv2 VPN сервера
IKEv2
Выберите Имя пользователя и пароль
Логин VPN
Пароль VPN
Отметьте Запомнить мои данные для входа

Подключитесь к IKEv2 VPN.

Подключение установлено успешно.

Источник

Время на прочтение
5 мин

Количество просмотров 141K

Сейчас все вокруг настраивают VPN для удаленных сотрудников. Мне больно смотреть, как люди устанавливают монструозные глючные программы, настраивают какие-то сертификаты, устанавливают драйвера TUN/TAP и делают множество сложных операций, в то время как лучшее решение уже встроено в операционную систему.

IKEv2 — это современный протокол VPN, разработанный Microsoft и Cisco. Он используется по умолчанию для новых VPN-подключений в Windows, macOS, iOS. Он быстрее и безопаснее большинства VPN-протоколов и может легко настраиваться на стороне клиента в два клика без использования сторонних программ.

Я считаю, что IPsec IKEv2 отлично подходит не только для соединения серверов, но и для обычных VPN-подключений конечных пользователей. В этом посте я постараюсь убедить вас использовать IPsec IKEv2 для обычных домашних пользователей вместо OpenVPN.

IKEv2 быстрее

При прочих равных условиях, IKEv2 будет всегда быстрее OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.

Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.

^{Сравнение задержек для разных протоколов VPN.}

Скриншот выше показывает разницу в задержке в два раза между IPsec и OpenVPN. Разумеется, разницу в 1мс невозможно заметить на глаз, но при нагрузке на систему эти значения могут значительно изменяться. Кроме того, реальные показатели сильно зависят от характеристик конкретной системы, поэтому я не буду приводить абсолютные цифры для сравнения двух протоколов. Задержки очень важны при использовании голосовой и видеосвязи через VPN.

По моим субъективным ощущениям IKEv2 на Windows 10 работает заметно отзывчивее чем OpenVPN. Ведь реальное использование десктопного компьютера сильно отличается от синтетических тестов VPN-протоколов. Нагрузка на процессор и память непостоянная, пользователь может запускать ресурсоемкие программы, все это будет влиять на показатели.

IKEv2 проще в настройке

Все современные операционные системы (кроме Android) поддерживают IPsec IKEv2 прямо из коробки. Не нужно устанавливать никакие программы, драйвера виртуальных адаптеров TUN/TAP и прочее. Всё управление VPN происходит из системного меню.

При этом настройку на клиенте можно упростить до трех строчек:

Домен — для IPsec домен обязателен, так как для него выпускается SSL-сертификат
логин
пароль

Не нужно больше передавать клиенту файлы с сертификатами и ключами, заставлять его импортировать корневые сертификаты в системное хранилище. Достаточно логина и пароля, при этом соединение будет так же надежно защищено, как и в OpenVPN при использовании сертификатов, ведь для установки соединения используется такой же x.509 сертификат, как и для веб-сайтов с HTTPS.

Настройка на Windows 10

Мастер настройки VPN вызывается из меню подключения к WiFi. С настройкой одного окна справится пользователь любой квалификации. Созданное подключение активируется из меню со списком WiFi-сетей.

^{Интерфейс настройки нового IKEv2 подключения в Windows 10}

Настройка macOS

В macOS поддерживается IKEv2 начиная с версии 10.11 (El Capitan). Создание подключения происходит через меню настроек сети.

Добавляем новое подключение. В качестве имени подключения задаем любое произвольное имя.

Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле «Server Address» можно указать IP-адрес сервера, а домен только в «Remote ID», тогда для подключения не будет выполняться DNS-резолв, и оно будет происходить чуть быстрее.

Логин и пароль пользователя указываем из файла /etc/ipsec.secrets

Настройка iOS

Настройку iOS можно выполнить вручную через мастер, но намного удобнее использовать профиль автоконфигурации mobileconfig.

Ручная настройка по смыслу аналогична десктопной macOS:

Настройки -> VPN -> Добавить конфигурацию VPN

IKEv2 это безопасно

На предыдущем шаге мы выяснили, что для настройки подключения достаточно логина и пароля. Но как клиенту проверить, что подключение не прослушивается, не подменяются данные и сервер действительно тот, за кого себя выдает? Для этого используются обычные SSL-сертификаты, которые мы привыкли использовать для веб-сайтов и HTTPS.

Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Сервер IKEv2 может использовать один и тот же сертификат вместе с веб-сервером, например от популярного Let’s Encrypt. Это сильно упрощает управлением сертификатами.

Такая же модель используется в OpenVPN, и при желании в нем можно использовать сертификат от Lets Encrypt, однако администратору в любом случае потребуется передать пользователю файл для настройки VPN.

Настраиваем IKEv2 сервер

Развернуть свой IKEv2 сервер можно за пару минут с помощью скриптов автоматической установки или используя готовые контейнеры. Использовать docker не рекомендуется, так как его сетевая подсистема снижает производительность IPsec на дешевых тарифах VPS. Вы также можете настроить IKEv2-сервер вручную, на Хабре есть статьи с примерами настройки сервера Strongswan.

Мы будем использовать один из наиболее удачных вариантов скриптов автонастройки github.com/jawj/IKEv2-setup
Этот скрипт хорош тем, что использует сертификаты от Lets Encrypt и автоматически генерирует валидный сертификат.

Шаг 1: Выбор сервера

Для запуска VPN сервера нам потребуется VDS. Подойдет самая простая конфигурация с одним ядром процессора. Скрипт из нашего примера лучше всего протестирован на Ubuntu 18.04, поэтому при создании сервера выбираем этот образ ОС.

Ждем окончания установки сервера и копируем реквизиты для подключения. Пароль root придет на почту, либо его можно задать вручную через веб-интервейс. Далее все команды мы вводим

Шаг 2: Установка Strongswan

Подключаемся SSH-клиентом и запускаем скрипт установки:

# запуск автоматической установки сервера IKEv2 
wget https://raw.githubusercontent.com/jawj/IKEv2-setup/master/setup.sh
chmod u+x setup.sh
./setup.sh
....
# Введите имя домена направленного на IP-адрес сервера
# используйте сервис sslip.io если у вас нет домена
Hostname for VPN: 123-45-67-89.sslip.io
# Имя пользователя VPN
VPN username: coolguy
# пароль 
VPN password (no quotes, please):
....
# скрипт запрос создать нового SSH-пользователя, этот шаг нельзя пропускать.

Шаг 3: Настройка клиента

Введенные реквизиты пользователя VPN теперь нужно использовать для настройки на клиенте. Важно использовать именно то доменное имя, которое вы вводили в Hostname for VPN.

Шаг 4: Добавление новых пользователей

Чтобы добавить нового пользователя в уже созданный сервер, отредактируйте файл /etc/ipsec.sectes.

# nano /etc/ipsec.secrets
123-45-67-89.sslip.io : RSA "privkey.pem"
coolguy : EAP "C00lPassword"
badguy : EAP "bAdP$$word"

После добавления пользователя выполните команду ipsec secrets чтобы Strongswan перечитал конфиг.

Заключение

Мы рассмотрели удобство IKEv2 со стороны пользователя. Администрирование такого сервера не сложнее, а иногда даже проще чем OpenVPN. Если вы только планируете организовать удаленный доступ для своих сотрудников, обязательно посмотрите в сторону IKEv2. Не заставляйте своих пользователей устанавливать лишние программы, если все необходимое уже есть на их компьютере. Это удобнее, безопаснее и намного прогрессивнее.

Источник

Для L2TP/IPsec с общим ключом

Важно: L2TP IPsec клиенты, находящиеся за одним NAT’ом, могут испытывать проблемы подключения если их более одного. Решить проблему может помочь

инструкция

. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPsec.

Имя подключения — название создаваемого подключения;

Имя или адрес сервера — адрес VPN-сервера;

Тип VPN — Протокол L2TP/IPsec с общим ключом;

Общий ключ — значение строки PSK в разделе Пользователи -> VPN-подключение -> Основное -> Подключение по L2TP/IPsec;

Тип данных для входа — Имя пользователя и пароль;

Имя пользователя — имя пользователя, которому разрешено подключение по VPN;

Пароль — пароль пользователя.

При настройке подключения по VPN из сети Интернет, в свойствах VPN-подключения нужно указать следующие параметры:

Перейдите в Настройки параметров адаптера;

Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

Перейдите во вкладку Безопасность и установите:

Шифрование данных — обязательное (отключиться, если нет шифрования)

Протокол расширенной проверки подлинности (EAP) — Microsoft защищенный пароль (EAP MSCHAPV2)

Если создается VPN-подключение к UTM через проброс портов, рекомендуем выполнить следующие действия:

Откройте Редактор реестра;

Перейдите в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent и создайте DWORD-параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

Неправильно указан логин или пароль пользователя. Часто при повторном соединении предлагается указать домен. Старайтесь создавать цифро-буквенные пароли, желательно на латинице для учетных записей. Если есть сомнения в этом пункте, то временно установите логин и пароль пользователю «user» и «123456».

Для того, чтобы пакеты пошли через VPN-туннель, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удалённой сети в разделе Настройка параметров адаптера -> Правой кнопкой мыши по подключению -> Свойства -> Сеть -> Свойства опции «Протокол Интернета версии 4 (TCP/IPv4)» ->Дополнительно. Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную.

Подключение происходит через DNAT, т.е. внешний интерфейс Ideco UTM не имеет «белого» IP-адреса, а необходимые для работы порты (500 и 4500) «проброшены» на внешний интерфейс устройства, расположенного перед Ideco UTM и имеющего «белый» IP-адрес. В данном случае VPN-подключение либо вообще не будет устанавливаться, либо будут периодические обрывы. Решение — исключить устройство перед Ideco UTM и указать на внешнем интерфейсе Ideco UTM «белый» IP-адрес, к которому в итоге и будут осуществляться L2TP/IPsec-подключения. Либо используйте протокол SSTP, потому что его проще опубликовать с помощью проброса портов.

Если в OC Windows 10 повторно подключиться по L2TP, но при этом использовать невалидный ключ PSK (введя его в дополнительных параметрах (скриншот ниже)), подключение все равно будет установлено успешно. Это связано с особенностями работы ОС.

Убедитесь, что локальная сеть (или адрес на сетевой карте) на удалённой машине не пересекается с локальной сетью организации. Если пересекается, то доступа к сети организации не будет (трафик по таблице маршрутизации пойдёт в физический интерфейс, а не в VPN). Адресацию необходимо менять.

Источник

This guide will help you set up an IPSec connection using IKEv2

Open the Control panel by clicking the start menu icon and typing control
Click Network and Internet followed by Network and Sharing Centre
Click Setup a new connection or network
Click Connect to a workplace, then click Next
Click Use my Internet connection (VPN)
Enter the address of one of the servers from the server status list (depending on which country you want to connect to).

Below that give the connection a name e.g. IVPN — GB.

Choose Remember my credentials if you don’t want to enter your account ID and password every time you connect.

Click Create to continue
The VPN connection is now created but we still need to configure it. Open the Network and Sharing Centre as shown in steps 1 and 2.

Click Change Adapter settings
Right click the icon with the name of the connection you created and with the text WAN Miniport (IKE v2)
Below it and click Properties
Select the Security tab and change the Type of VPN to IKEv2 and the data encryption to Maximum strength encryption (disconnect if server declines)

Under Authentication select Use Extensible Authentication Protocol (EAP) and Microsoft: Secured password (EAP-MSCHAP v2) (encryption enabled)
Right click the icon with the name of the connection you created again and select Create shortcut
Click Yes to create a shortcut on the desktop
Search for VPN settings in the search field on the Taskbar or in the Start menu. Click VPN settings in the results list.
Click the VPN connection created in step #6 above and click the Advanced options button.
Under Connection properties, click the Edit button.
Enter your account ID that begins with letters ‘ivpnXXXXXXXX’ or ‘i-XXXX-XXXX-XXXX’ (case-sensitive) and the following password — ivpn, then click the Save button. Close all of the windows that have been opened during this process.
To Connect, click your Task Bar Network Icon, then click the name of the IVPN connection and then Connect
After a few seconds the network applet should indicate that you are connected to the VPN server.

DNS may leak with this manual connection. Check out our guide on setting DNS manually.

Disabling IPv6 may be another way to further tighten up your system.

Spotted a mistake or have an idea on how to improve this page?

Suggest an edit on GitHub.

Источник

In order to set up IKEv2 VPN connection on Windows 10, you will need:

A secure FastVPN connection (Don’t have one? Sign up here!);
An internet connection;
Access to you FastVPN Account Panel.

1. Open the Settings menu from the Windows icon on the bottom left of your device as shown below:

2. Select the Network&Internet option from the Settings menu:

3. Select the VPN tab from the Network & Internet menu on the left side:

4. Click on the Add a VPN connection button below VPN:

5. Enter the following details:

VPN Provider: Windows (built-in)
Connection Name: FastVPN Built In.
Server name or address: Select your preferred server from the FastVPN Account Panel (e.g. sea-a24.vpn.server.com)
VPN Type: IKEv2
Type of sign-in info: Username and password
User Name: your FastVPN account username from the FastVPN Account Panel
Password: your FastVPN accout password from the FastVPN Account Panel

NOTE: If you are copying your credentials from Account panel and pasting it to the login fields, please make sure there are NO spaces before or after the entries.

Once all the settings are configured, click the Save button:

6. Navigate back to the VPN tab and click Change adapter options listed below Related settings:

7. You will be redirected to the Network Connections. Find the IKEv2 VPN connection you established and right click it. Select Properties >> Networking >> IPv4 >> Properties >> Advanced and put the check mark next to Use default gateway on remote network:

8. Click OK and close the Network Connections window:

9. Click the Connect button to establish the IKEv2 VPN connection from your VPN settings window.

If you need any further assistance, please contact our Support Team.

Источник