Настройка vpn windows 7 l2tp ipsec с общим ключом

Шаг 1: создайте новое VPN-соединение

Щёлкните по кнопке Пуск, введите «VPN» в строку поиска и щёлкните “ Установить виртуальное частное соединение VPN

Введите адрес вашего VPN сервера в это поле Internet address и любое название соединения (например, «ZenVPN”) в поле Destination name. Проверьте Не соединяться сейчас; установить, чтобы я мог подключиться позже и кликните на Следующее.

      

Введите ваш логин для VPN в поле Имя пользователя и ваш пароль в поле Пароль. Нажмите Запомнить пароль и кликните Создать.

На этом этапе вы уже должны быть в состоянии подключиться к VPN, однако, он будет использовать протокол PPTP, который считается менее безопасным, чем L2TP/IPsec. Для настройки подключения для использования L2TP/IPSec, перейдите к шагу 2.

Шаг 2: настройте соединение использовать L2TP/IPsec

Кликните на кнопку “Пуск”, введите “Сеть” в строку поиска и кликните Сеть и сетевой центр

Кликните Подключиться к сети

Щелкните правой кнопкой мыши на созданное вами соединение на шаге 1 и выберите Свойства из меню.

Выберите Layer 2 Tunneling Protocol с IPSec (L2TP/IPsec) из Тип VPN выпадающего списка и нажмите кнопку Расширенные настройки

Выберите Использовать предварительно общий ключ для аутентификации из Тип VPN и предварительно введите согласованный ключ в поле ключ. Нажмите кнопку ОК.

Сделано!

Шаг 3: Протестируйте ваше VPN соединение

Активируйте соединение кликнув на кнопку Подключиться к сети в Сеть и Сетевой центр и выберите тип соединения из списка.

После того, как вы подключились, посетите эту страницу , чтобы увидеть ваш новый IP-адрес и убедиться, что все сработало правильно.

Подключаем наш компьютер на MS Windows 7 к VPN-сети предприятия.

Нажмите Пуск и выберите Панель управления. 

В верхнем правом углу выберите пункт «Мелкие значки». Далее нажмите «Центр управления сетями и общим доступом». 

Нажмите «Настройка нового подключения или сети».

Выберите «Подключение к рабочему месту», нажмите «Далее».

Если на компьютере ранее были настроены VPN-подключения, появится следующее окно, в котором надо выбрать «Нет, создать новое подключение» и нажать «Далее». Если VPN-подключений не было, переходите к пункту 6.

Выберите «Использовать мое подключение к Интернету (VPN)».

В строке «Интернет-адрес» введите адрес вашего сервера, в строке «Имя место назначения» нужно ввести произвольное название подключения (например, VPN Office). Отметьте пункт «Не подключаться сейчас, только выполнить установку для подключения в будущем». Нажмите «Далее».

Введите логин и пароль. Если необходимо, отметьте пункты «Отображать вводимые значки» и «Запомнить этот пароль». Нажмите «Создать».

Выберите «Подключиться сейчас», далее нажмите «Закрыть».

В окне «Центр управления сетями и общим доступом» выберите «Изменение параметров адаптера«.

Нажимаем правой кнопкой мыши на пункт «VPN Office«, в открывшемся меню выберите «Свойства«.

Выберите закладку «Безопасность«, в строке «Тип VPN» отмечает «L2TP IPsec VPN«, в строке «Шифрование данных» выбираем «необязательное (подключиться даже без шифрования)«. 

Нажмите «Дополнительные параметры»

 

В поле «Ключ» введите ключ проверки подлинности (pre-shared key) и нажмите кнопку ОК.

 

Нажмите «Ок«, на этом настройка подключения закончена.

Кликните 2 раза по иконке подключения и нажмите «Подключить«

Время на прочтение
6 мин

Количество просмотров 245K

Недавно я озадачился поиском возможности создания шифрованного подключения к своему офису средствами L2TP/IPsec протокола. Задача усложнилась, когда, кроме Windows клиентов, появилась потребность пускать в сеть еще iOS и Android клиентов. В Интернете множество статей как проделать это на Windows Server с «внешним» IP-адресом. Но я хочу предложить сообществу реализацию стандартными средствами Windows 7/8 шифрованного L2TP тоннеля в локальную сеть с популярной, на мой взгляд, топологией.

Структура сети

Маленькая сеть из десяти Windows 7/8 клиентов с выделенным сервером на базе Windows Server 2008 Std (на него пока не обращаем внимание) и с доступом в Интернет средствами простого роутера. Для VPN сервера я выделил одну из машин на Windows 7 Pro. Далее будет описано два способа поднятия L2TP/IPsec сервера на Windows 7 Pro.

Windows 7 L2TP/IPsec AES 128-bit с использованием сертификата

• Первым делом нужно сгенерировать сертификат компьютера и пользователя на VPN сервере.
  Для этого воспользуемся бесплатной утилитой Simple Authority.
  Устанавливаем, запускаем. Сразу программа предложит сгенерировать сертификат компьютера. Заполняем поля. Хаотично клацаем по клавиатуре, тем самым генерируя случайное число. Вводим пароль (лучше длиннее 8-ми символов, иначе могут быть глюки) Сертификат компьютера (CA) готов. Если пользователь не добавлен, то добавляем. Справа заполняем необходимые поля. Жмем «New certificate». После этого на рабочем столе появится два файла сертификатов с расширениями *.cer и *.p12
• Установим сертификаты на наш VPN сервер.
  Для этого делаем Win+R(«Выполнить»), вводим mmc, жмем Enter. Откроется Консоль.
  Добавляем оснастку (Файл->Добавить удалить оснастку). Выбираем «Сертификаты». Жмем «Добавить». Выбираем пункт «учетной записи компьютера» при вопросе, где будет управлять эта оснастка сертификатами. Далее, «Личное»->Правой кнопкой мыши->Все задачи->Импорт->Выбираем файл сертификата с расширением *.p12 (именно его). Вводим пароль, ставим галку «Пометить этот ключ как экспортируемый». В категории «Личное» появится два сертификата. Тот сертификат, у которого поля «Кому выдан» и «Кем выдан» одинаковые, нужно перенести в категорию «Доверенные корневые центры сертификации».
• Нужно убедиться в отсутствии параметра ProhibitIpSec=1.
  Идем в реестр (Win+R -> regedit). Ищем ветку HKLM\System\CurrentControlSet\Services\Rasman\Parameters. Если вышеуказанного параметра там нет или он равен 0, то все хорошо. Иначе, исправляем это.
• Создаем входящее подключение.
  Идем в «Центр управления сетями и общим доступом»->«Изменение параметров адаптеров». Жмем клавишу Alt, сверху выпадет меню. Далее Файл->«Новое входящее подключение». Выбираем нужных пользователей, ставим галку «Через интернет… VPN». Выбираем нужные протоколы. На TCP/IP v4->Ставим галку «Разрешить доступ к локальной сети» и обязательно устанавливаем пул адресов, выдаваемых клиенту. После создания подключения обязательно откройте его свойства и во вкладке «Пользователи» проверьте наличие галки «Пользователи должны держать пароли в секрете»
• Проверим, открылись ли нужные нам порты. Открываем командную строку и командой netstat /a /p udp смотрим, открылись ли UDP 1701 UDP 4500 UDP 500.

Создание клиентского подключения для этого способа

• Установим сертификаты на нашего VPN клиента. Копируем с VPN сервера сертификаты, которые создали ранее. Устанавливаем их точно таким же способом, как и на сервере.
• Создадим VPN подключение. Идем в «Центр управления сетями и общим доступом» -> Настройка нового подключения или сети. Далее «Подключение к рабочему месту» -> Использовать мое подключение к Интернет. Вводим адрес нашего VPN сервера. Подключение готово.
• Настроим наше VPN подключение. Имя пользователя и пароль, думаю, вопросов не вызывают. Во вкладке «Безопасность» выбираем тип VPN L2TP/IPsec и в дополнительных параметрах выбираем «Использовать сертификат» и убираем галку «Проверить атрибуты имени сертификата». Шифрование ставим Обязательное и «Разрешаем следующие протоколы» проверки подлинности: MS-CHAPv2. Далее вкладка Сеть -> TCP/IPv4 свойства -> Дополнительно -> Убираем галку «Использовать основной шлюз».
• Если не поднимается подключение. То на Windows 8 стоит попробовать такой ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\IPsec создаем параметр DWORD с именем AssumeUDPEncapsulationContextOnSendRule и значением 2. Для Windows 7/Vista этот параметр нужно создать в HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent

Итоги этого способа

Для Windows клиентов это хороший способ реализации L2TP/IPsec, но когда дело доходит до iOS клиентов, задача расширяется. Проблема в том, что iOS могут подключаться по L2TP только с шифрованием по Заранее подготовленной ключевой фразе (Preshared Key), а по сертификату могут подключаться только к Cisco VPN. Второй способ расскажет, как решить эту проблему.

Windows 7 L2TP/IPsec Preshared Key с ESP 3DES шифрованием и контролем целостности

• Вернемся к чудо-параметру ProhibitIpSec=1. Идем в Реестр, в ветку HKLM\System\CurrentControlSet\Services\Rasman\Parameters и создаем там параметр типа DWORD с именем ProhibitIpSec и присваиваем ему значение 1. После этого необходимо или перезагрузить ОС, или перезапустить службы RemoteAccess и RasMan. Этим действием мы отключаем локальную политику IP безопасности по-умолчанию для IPsec.
• Создадим теперь новую политику безопасности IP. «Выполнить» -> mmc -> Добавить оснастку -> «Управление политикой IP-безопасности» и выбираем Локальный компьютер. Далее «Создать политику IP-безопасности». «Далее» -> Вводим имя -> Галку «Использовать правило по умолчанию» не ставим -> Далее -> «Изменить свойства» галку оставляем. Откроются свойства новой политики. Здесь убрать галку «использовать мастер» и «Добавить». Теперь по порядку о каждой вкладке:
  • Список IP-фильтров. Вводим имя, снимаем галку «Исп. мастер», «Добавить». Адрес источника: «Любой». Адрес назначения: «Любой». Вкладка протокол. В выпадающем списке выбираем UDP. Пакеты ИЗ этого порта: 1701. Пакеты НА любой порт. ОК, ОК и возвращаемся в список IP-фильтров. Здесь вновь созданный фильтр отмечаем «точкой» и переходим на следующую вкладку.
  • Действие фильтра. По аналогии. Имя, галку про мастер, «Добавить». Выбираем «Согласовать безопасность», «Добавить». Выбираем «Шифрование и обеспечение целостности. (ESP)». ОК. Смотрим, чтоб не стояло никаких галок ниже списка методов безопасности. ОК. Аналогично отмечаем точкой и переходим к очередной вкладке.
  • Тип подключения. Все сетевые подключения.
  • Параметры туннеля. Это правило не указывает туннель IPsec.
  • Методы проверки подлинности. Не обращаем пока внимание на Kerberos, жмем «Добавить». Выбираем «Использовать данную строку (Предварительный ключ)» и вводим наш заранее придуманный Ключ. ОК. И теперь можно удалить Kerberos. В этой же вкладке можно добавить проверку подлинности по Сертификату. Процесс генерации и установки Сертификата описан в первом способе.
• Обязательно нужно назначить новую политику IP-безопасности. Правой кнопкой мыши по ней, «Назначить».

Создание клиентского подключения для этого способа

• Отличается от создания клиентского подключения для первого способа только Дополнительными свойствами L2TP/IPsec, где вместо использования сертификата выбираем «… использовать общий ключ».

Доступ к VPN серверу

На роутере я использовал службу Dynamic DNS, т.к. внешний IP динамический. Для возможности подключения необходимо сделать проброс портов (Port Forwarding) для портов UDP 1701 UDP 4500 UDP 500 к нашему VPN серверу. Мы подобрались к финишному этапу, где нас ждет еще одна немаленькая проблема. Дело в том, что Windows 7/8 имеет ограничение на максимальное количество подключений для удаленного доступа, и оно равно 1. Такого ограничения нет на Windows Server. Тут и напрашивается фраза «А на фига ты тут всё это написал?!» Есть два способа решения. Первый: один хороший человек провел немаленькую работу и написал патч, снимающий ограничение для Windows 7 Pro SP1. Здесь подробно описан сам процесс поиска решения и присутствует патч. Второй: использовать Windows Server. Но использовать не так, как написано в большинстве статей, где говорится о назначении серверу Роли «Маршрутизации и удаленного доступа» и использовании специальных оснасток, в которых чёрт ногу сломит, а использовать вышеописанный метод. Он отлично работает на Windows Server без назначения специальных ролей и без ограничений на число подключений.

Переработанный материал:

• Windows XP Pro as a L2TP IPSec VPN Server
• VPN сервер L2TP на Windows 7
• Конфигурация подключений L2TP/IPSec, использующих проверку подлинности на основе предварительного ключа
• Роль сервера удаленного доступа или VPN-сервера: настройка сервера удаленного доступа или VPN-сервера

Шаг 1.

Зайдите в меню “Пуск” и выберите в нем “Панель управления”.

Шаг 2.

В правом верхнем углу найдите пункт “Просмотр: Мелкие значки” и выберите его, после чего выберите меню “Центр управления сетями и общим доступом”.

Шаг 3.

Далее в блоке “Изменение сетевых параметров” выберите пункт “Настройка нового подключения или сети”.

Шаг 4.

Во вновь открывшемся окне “Установка подключения или сети” выберите пункт “Подключение к рабочему месту”, после чего нажмите кнопку “Далее”.

Шаг 5.

Если на компьютере ранее уже настраивалось VPN-соединение, на экране появится окно, в котором следует выбрать пункт “Нет, создать новое подключение”, и снова нажать кнопку “Далее”. Если это первая попытка создать VPN-соединение, просто перейдите к Шагу 6.

Шаг 6.

В открывшемся окне “Подключение к рабочему месту” выберите пункт “Использовать мое подключение к Интернету (VPN)”.

Шаг 7.

• “Интернет-адрес” – IP-адрес вашего сервера, полученный в письме.
• “Имя местоназначения” – любое удобное вам имя подключения.

Здесь же следует поставить “Галочку” напротив пункта “Не подключаться сейчас, только выполнить установку для подключения в будущем”, после чего нажать кнопку “Далее”.

Шаг 8.

Введите имя пользователя и пароль, заданные вами при настройке сервера.
(Не путать с логином/паролем от Личного Кабинета).

Нажмите кнопку “Создать”.

Шаг 9.

В новом окне выберите “Подключиться сейчас” и нажмите кнопку “Закрыть”.

Шаг 10.

Снова вернитесь в окно “Центр управления сетями и общим доступом”, где слева вверху выберите пункт “Изменение параметров адаптера”.

Шаг 11.

В открывшемся окне выберите созданное подключение и кликните по нему правой кнопкой мыши, после чего выберите пункт “Свойства”.

Шаг 12.

На вкладке “Безопасность” установите:

• “Тип VPN” – L2TP IPSec VPN;
• “Шифрование данных” – обязательное;
• “Разрешить следующие протоколы” – оба пункта “Протокол проверки CHAP…”.

Шаг 13.

В свойствах протокола нажмите “Дополнительные параметры” и в новом окне введите ключ – vpnext.
После завершения настроек нажмите кнопку “ОК”.

Шаг 14.

Правой кнопкой мыши кликните по созданному VPN-соединению и нажмите “Подключить”.