Разное

Настройка vpn l2tp vpn: Пример подключения L2TP/IPsec в Windows 7 – Keenetic

Содержание

SoftEther VPN. Практика Часть 6


6. Руководство по настройке L2TP/IPsec.

SoftEther VPN поддерживает также протокол L2TP/IPsec VPN. Вы можете применить L2TP/IPsec VPN протокол на VPN-сервере. iOS, Android, Mac OS X или другие L2TP/IPsec VPN совместимые клиентские устройства смогут подключаться к SoftEther VPN серверу. Маршрутизаторы Cisco или маршрутизатор другого совместимого поставщика l2tpv3 или EtherIP могут также подключаться к вашему SoftEther VPN серверу. Следующие главы описывают, как настроить L2TP/IPsec VPN.

6.1. Настройка L2TP/IPsec VPN-сервера на SoftEther VPN-сервере

Функция IPsec VPN-сервера по умолчанию отключена. Вы можете легко включить её, выполнив следующие шаги.

Руководство по конфигурации

Настройка VPN-сервера очень проста.

Запустите VPN Server Manager

Запустите SoftEther VPN Server Manager (который работает в Windows, но может подключаться к удаленному SoftEther VPN серверу, работающему в Linux, Mac OS X или другой UNIX). В менеджере серверов вы можете увидеть кнопку «IPsec/L2TP Settings». Нажмите на неё.


Главное окно VPN Server Manager

Появится следующее окно. Все IPSec функции сервера включаются и выключаются здесь.


Окно настроек IPsec/L2TP/EtherIP/L2TPv3


Значение каждой опции следующие:

• Серверная функция L2TP (L2TP поверх IPSec) [Enable L2TP Server Function (L2TP over IPsec)]

Эта функция предназначена для приема VPN-подключений от iPhone, iPad, Android и других смартфонов и встроенного L2TP/IPsec VPN-клиента в Windows или Mac OS X. Включите её, если вы хотите подключаться с одного из этих устройств.

• Серверная функция L2TP (Самостоятельный L2TP без шифрования) [Enable L2TP Server Function (Raw L2TP with No Encryption)]

Некоторые специально настроенные VPN-маршрутизаторы или клиентские устройства имеют только протокол L2TP без IPsec шифрования. Чтобы подключаться с такого устройства, вы должны включить его поддержку этой опцией.

• Серверная функция EtherIP/L2TPv3 поверх IPSec [Enable EtherIP/L2TPv3 over IPsec Server Function]

Если вы хотите создать VPN-соединение типа сеть-сеть (Ethernet мост между удалёнными сетями), включите EtherIP/L2TPv3 поверх IPsec. Вы должны добавить название VPN устройства с другой стороны в список.

• IPSec с предварительно определённым ключом [IPsec Pre-Shared Key]

Предварительный общий ключ IPsec иногда называют «PSK» или «Секретным». В этой строке по умолчанию написано «vpn». Однако, не рекомендуется так оставлять. Вы должны задать актуальный текущий ключ всем VPN пользователям.

Как включить и настроить IPsec с помощью vpncmd ?

Если вы не можете использовать графический интерфейс VPN Server менеджера для Windows, вы можете использовать vpncmd для активации и настройки IPsec функции VPN-сервера с помощью команды IPSecEnable. Чтобы узнать, как это сделать в vpncmd, выполните команду «IPsecEnable?» в строке приглашения vpncmd.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа? (со стандартной аутентификацией по паролю)

Принципиально; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN сервером с функцией IPsec/L2TP VPN сервера, он должен добавить имя виртуального концентратора назначения в поле Имя пользователя.

Например, предположим, что сервер SoftEther VPN имеет два виртуальных концентратора: «HUB1» и «HUB2». И есть пользователи «yas» на концентраторе «HUB1» и «jiro» на концентраторе «HUB2».

В этом случае укажите имя виртуального концентратора назначения после имени пользователя с добавлением символа «@», например «yas@HUB1» или «jiro@HUB2». Обратите внимание, что и имя пользователя, и имя концентратора не чувствительны к регистру.

Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя виртуального концентратора назначения опущено в имени пользователя, пытающегося войти в систему, то предполагается, что виртуальный концентратор по умолчанию указывается пользователем.

Например, в случае если виртуальный концентратор по умолчанию — «HUB2», пользователь «jiro» на HUB2 может войти в систему с помощью ввода только «jiro». «@HUB2» можно не дописывать.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа в систему? (с NT доменной аутентификацией или через RADIUS)

Принципиально; когда пользователь VPN хочет установить VPN-подключение к SoftEther VPN-серверу с функцией IPsec/L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.

Например, предположим, что SoftEther VPN сервер имеет два виртуальных концентратора: «HUB1» и «HUB2». И есть пользователь «yas» в «HUB1» и «jiro» в «HUB2».

В этом случае укажите имя виртуального концентратора назначения перед именем пользователя с добавлением символа «\», например «HUB1\yas» или «HUB2\jiro». Обратите внимание, что и имя пользователя, и имя концентратора не чувствительны к регистру.

Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя виртуального концентратора назначения в имени пользователя, пытающегося войти в систему, опущено, то предполагается, что виртуальный концентратор по умолчанию указывается пользователем.

Например, в случае если виртуальный концентратор по умолчанию — «HUB2», пользователь «jiro» на HUB2 может войти в систему введя только «jiro». «HUB2\» можно не добавлять в начале.

Аутентификация пользователя с функцией L2TP/IPsec VPN

Вы должны создать пользователя, прежде чем он попытается подключиться к VPN с помощью функции L2TP/IPsec. Нельзя использовать проверку подлинности по сертификату для функции L2TP/IPsec VPN в текущей версии SoftEther VPN сервера. 

Конфигурация для EtherIP/L2TPv3

EtherIP и L2TPv3 предназначены для приема подключений VPN-маршрутизаторов и создания VPN типа «сеть-сеть». Вы можете нажать кнопку «EtherIP/L2tpv3 Detail Settings» в окне конфигурации, чтобы добавить запись клиентского устройства в список. В записи клиентского устройства в списке строка идентификатора фазы 1 ISAKMP (IKE) и соответствующие учетные данные (имя пользователя и пароль пользователя, зарегистрированного на виртуальном концентраторе назначения).

Вы можете указать звездочку (‘ * ‘) в качестве шаблона для имени пользователя в записи. Такая запись позволит принимать соединения от любых VPN маршрутизаторов удаленной стороны.


Подробные настройки EtherIP/L2TPv3 сервера


Заметка

Отключите любую функцию IPsec/L2TP на сервере, которая может конфликтовать с функцией IPsec/L2TP SoftEther VPN сервера. Если порты UDP (500, 4500 и 1701) конфликтуют с другими программами, связь IPsec не будет работать.

Например, отключите службу «Маршрутизации и удаленного доступа» на Windows Server.

Если вы включите функцию IPsec/L2TP на SoftEther VPN-сервере, функция IPsec/L2TP в Windows будет временно отключена.

Назначение IP-адреса для подключившихся пользователей L2TP

При использовании L2TP функции IP-адрес VPN-клиента должен назначаться автоматически DHCP-сервером, находящимся в сегменте виртуального концентратора, к которому подключается пользователь.

Следовательно, у вас должен быть хотя бы один работающий DHCP сервер в L2 сегменте, к которому L2TP VPN-клиент пытается подключиться.

IP-адрес будет арендован у DHCP-сервера, и назначен на L2TP VPN сеанс клиента. Шлюз по умолчанию, маска подсети, адрес DNS и адрес WINS также будут применены к L2TP VPN клиенту. Так что, если нет DHCP-сервера, то нет успешных входов.

Вы можете использовать любой DHCP-сервер, который уже существует в вашей локальной сети. Если в локальной сети нет DHCP-серверов, то вы можете использовать функцию виртуального DHCP-сервера SecureNAT, которая реализована в SoftEther VPN-сервере.

Как подключиться через NAT/Firewall?

Если ваш SoftEther VPN-сервер находится за NAT или межсетевым экраном, вы должны открыть порты UDP 500 и 4500. На NAT`е UDP порты 500 и 4500 должны быть проброшены на VPN- сервер. Если какие-либо пакетные фильтры или межсетевые экраны существуют, откройте UDP порты 500 и 4500 на них.

6.2. Настройка L2TP клиента на iPhone/iPad

В этом документе описывается, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который входит в комплект iOS.

В этой инструкции все скриншоты делаются на iOS 6. В других версиях iOS настройка аналогична, однако в пользовательском интерфейсе могут быть незначительные отличия.

Эти скриншоты английской версии iOS. Если вы используете другой язык, вы все равно можете легко его настроить, следуя приведенным ниже инструкциям.
1. Начальные настройки (делается только один раз в первый раз)

На главном экране iOS запустите приложение «Настройки» / «Settings».


Откройте «VPN» в разделе «General» и нажмите «Add VPN Configuration…». 



Будет создан новый профиль L2TP VPN-подключения, и появится окно конфигурации.


В этом окне вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера. Вы также должны ввести имя пользователя, пароль и секрет (предварительный общий ключ).

2. Подключиться к VPN

Вы можете в любой момент запустить VPN-подключение, используя созданный профиль VPN-подключения.

Нажмите на ползунок-кнопку «OFF», чтобы инициировать VPN-соединение.


Пока VPN установлен, вы можете видеть статус и время соединения на экране. Ваш частный IP-адрес в VPN также отображается. IP-адрес «Connect to» показывает «1.0.0.1», но это нормально.


3. Наслаждайтесь VPN связью

Пока VPN-соединение установлено, все соединения будут идти через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.3. Настройка L2TP клиента на Android`е.

В этом документе описывается, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который входит в комплект ОС Android.

По этой инструкции все скриншоты делаются на Android 4.x. Другие версии Android 4.x настраиваются аналогично, однако могут быть незначительные отличия в пользовательском интерфейсе. Некоторые сторонние производители несколько изменяют окна конфигурации Android.

Эти скриншоты приведены для английской версии Android. Если вы используете другой язык, вы все равно можете легко его настроить, следуя приведенным ниже инструкциям.

1. Начальные настройки (делается только один раз в первый раз)

Запустите приложение «Settings»/ «Настройки» на Android.


В категории «Wireless & Networks / Беспроводные сети» откройте «More…/Ещё …» и нажмите «VPN».


 

Нажмите кнопку «Добавить профиль VPN»/ «Новая сеть VPN» или “+”, чтобы создать новый профиль VPN подключения.


Появится новый экран редактирования настроек VPN-соединения. Введите что-нибудь в поле «Имя» (например, «vpn») и выберите в поле «Тип» «L2TP/IPSec PSK».


Далее вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера. Вы также должны ввести имя пользователя, пароль и секрет (предварительный общий ключ).

Прокрутите экран конфигурации вниз и, если необходимо, установите флажок «Показать дополнительные параметры».


Введите поле «IPSec pre-shared key».

Укажите «0.0.0.0/0» (9 символов) в поле «Forwarding routes» / «Маршруты пересылки». Убедитесь, что вы правильно ввели данные в поле «Маршруты пересылки». Если нет, вы не сможете взаимодействовать через VPN.

После ввода всех данных нажмите кнопку «Сохранить» и сохраните настройки VPN-подключения.

2. Подключите VPN

Вы можете в любой момент запустить VPN-подключение, используя созданный профиль VPN-подключения. Откройте список настроек VPN-подключения и коснитесь настройки, вы увидите следующее на экране.


При первом подключении необходимо ввести «Имя пользователя» и «Пароль». Заполните оба поля «Имя пользователя» и «Пароль» и отметьте «Сохранить информацию об учетной записи». Нажмите «Подключиться», чтобы запустить VPN-подключение.

Пока VPN установлен, вы можете видеть статус и время соединения на экране. Ваш частный IP-адрес VPN также отображается. IP-адрес «Connect to» показывает «1.0.0.1», но так и должно быть.



  

3. Наслаждайтесь VPN связью

Пока VPN-соединение установлено, все соединения будут идти через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.4. Настройка L2TP клиента Windows

Вот инструкция, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который встроен в Windows XP, 7, 8, RT, Server 2003, 2008 и 2012.

В этой инструкции мы используем Windows 7. В Windows 8 и Windows 10 настройки похожи, но есть некоторые отличия.

1. Начальные настройки (делается только один раз в первый раз)

Щелкните правой кнопкой мыши по значку сети в правом нижнем углу экрана в Windows и выберите «Открыть центр управления сетями и общим доступом».


Нажмите «Настройка нового подключения или сети» в «Центре общего доступа к сети».


Далее выберите «Подключение к рабочему месту».


Выберите «Использовать моё подключение к Интернету (VPN)».


Вы должны ввести IP-адрес или имя хоста SoftEther VPN-сервера.


Введите имя хоста или IP-адрес в поле «Интернет-адрес» мастера настройки.


После того, как вы введете «Интернет-адрес», установите флажок «Не подключаться сейчас, только выполнить установку для подключения в будущем» в нижней части окна.

Если появится экран запроса имени пользователя и пароля, введите имя пользователя и пароль. Вы должны поставить галочку «Запомнить этот пароль».

Когда появится сообщение «Подключение готово к использованию», нажмите кнопку «Закрыть». Не нажимайте кнопку «Подключиться сейчас».


Перейдите в «Центр управления сетями и общим доступом» и нажмите «Изменение параметров адаптера».


Выберите только что настроенное VPN-соединения из списка. Щелкните правой кнопкой мыши на его значок и выберите «Свойства».


На экране свойств перейдите на вкладку «Безопасность». Выберите «L2TP/IPSec VPN» в раскрывающемся списке «Тип VPN».


Далее нажмите кнопку «Дополнительные параметры».

Появится следующий экран. Нажмите «Для проверки подлинности использовать предварительный ключ» и введите предварительный общий ключ в поле «Ключ».


После завершения вышеуказанной конфигурации дважды нажмите кнопку «ОК», чтобы закрыть экран свойств настройки VPN-подключения. 

2. Подключиться к VPN-серверу

Дважды щелкните на значок созданного VPN-подключения, появится окно как показано ниже.

Поля «Имя пользователя» и «Пароль» должны быть заполнены, если вы поставили галочку сохранения пароля на предыдущих шагах. Если нет, заполните оба поля: «Имя пользователя» и «Пароль».

Нажмите кнопку «Подключиться», чтобы попробовать подключиться к VPN.


Пока пытается установить VPN, на следующем экране отображаются статусы. Если возникает ошибка, подтвердите свои настройки, убедитесь, что тип VPN — «L2TP/IPsec», и правильно указан предварительный общий ключ.


Если VPN-соединение успешно установлено, на экране появится значок VPN-подключения, который появляется при нажатии значка сети в правом нижнем углу экрана Windows. Статус значка VPN-подключения должен быть «Подключен».

Кстати, вы можете инициировать VPN-соединение, просто нажав на этот значок VPN.


3. Наслаждайтесь VPN Связью

Пока VPN-соединение установлено, все соединения будут проходить через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой вы подключились.

6.5. Настройка L2TP клиента Mac OS X

Здесь приведена инструкция по подключению к общедоступному VPN Gate серверу ретрансляции с помощью L2TP/IPsec VPN-клиента, встроенного в Mac OS X.

В этой инструкции все скриншоты делаются на Mac OS X Mountain Lion. В других версиях Mac OS X настройки аналогичны, однако могут быть незначительные отличия в пользовательском интерфейсе.

Мы приводим скриншоты экрана, сделанные в английской версии Mac OS X. Если вы используете ОС с другим языком, вы все равно сможете легко настроить подключение, следуя приведенным ниже инструкциям.

1. Начальные настройки (делается только один раз в первый раз)

Нажмите значок сети в правом верхнем углу экрана. Нажмите «Открыть настройки сети …» в появившемся меню.


Нажмите кнопку «+» на экране конфигурации сети.


Выберите «VPN» в поле «Interface», «L2TP через IPsec» в поле «VPN Type» и нажмите кнопку «Create».


Будет создана новая конфигурация L2TP VPN, и появится окно конфигурации.


На этом экране вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера.

После того как вы укажите «Server Address», введите имя пользователя в поле «Account Name», которое находится рядом с полем «Server Address».

Далее нажмите кнопку «Authentication Settings…».


Откроется экран аутентификации. Введите свой пароль в поле «Password». Укажите предварительный общий ключ также в поле «Shared Secret». После их ввода нажмите кнопку «ОК».

После возврата к предыдущему экрану установите флажок «Show VPN status in menu bar» и нажмите кнопку «Advanced…».


Появятся расширенные настройки. Установите флажок «Send all traffic over VPN connection»/«Отправить весь трафик через VPN-соединение» и нажмите кнопку «ОК».

На экране настроек VPN-подключения нажмите кнопку «Connect»/«Подключиться», чтобы запустить VPN-подключение.

2. Запустите VPN-подключение

Вы можете установить новое VPN-подключение нажав кнопку «Connect»/«Подключиться» в любое время. Вы также можете установить VPN-подключение, щелкнув значок VPN в строке меню.

После того, как VPN-подключение будет установлено, окно настройки VPN-подключения станет таким, как показано ниже, а «Status»/«Статус» будет «Connected»/«Подключен». Ваш частный IP-адрес VPN и время подключения будут отображаться в окне.


3. Наслаждайтесь VPN связью

Пока VPN-подключение установлено, все соединения будут проходить через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.6. Настройка L2TPv3/IPsec Edge-VPN на маршрутизаторе Cisco

Большинство Cisco маршрутизаторов, выпущенных в 2005 году или позднее, поддерживают протокол L2TPv3 поверх IPsec.

Если вы используете L2TPv3 поверх IPsec, вы можете установить туннель с IPsec шифрованием между маршрутизатором Cisco в филиале и SoftEther VPN сервером в центральном офисе (HQ штаб-квартире).

На этой веб-странице объясняется, как настроить маршрутизатор Cisco 1812 или Cisco 892 для подключения к SoftEther VPN-серверу.

Ниже в разделе [6.7. Почему совместное использование Cisco маршрутизаторов с SoftEther VPN сервером самый лучший вариант?] будет описано преимущество совместного использования SoftEther VPN сервера с Cisco маршрутизаторами.


Маршрутизаторы Cisco


Подготовка

Перед настройкой Cisco маршрутизатора вы должны настроить SoftEther VPN-сервер.


На приведенном выше экране установите флажок «Enable EtherIP / L2TPv3 over IPsec Server Function» и нажмите кнопку «Detail Settings». Появится следующий экран.


В этом окне вы должны указать идентификатор isakmp (IKE) фазы 1 клиента для протокола l2tpv3, имя виртуального концентратора, а также имя пользователя и пароль.

В приведенном выше примере попытки L2TPv3 VPN-подключения от любых маршрутизаторов будут проходить с использованием имени пользователя «l2tpv3», подключения будут к виртуальному концентратору «DEFAULT». (Пользователь «l2tpv3» должен быть создан на виртуальном концентраторе.)

По сути, вы должны указать идентификатор фазы 1 ISAKMP (IKE) Cisco маршрутизатора в поле идентификатора. Тем не менее, вы можете указать «*», шаблон соответствия любым идентификаторам. Это небезопасно, но у нас это просто учебный пример. В долгосрочной рабочей системе вы должны точно указать идентификатор фазы 1 вместо знака «*».

Пример конфигурации маршрутизатора Cisco № 1 (с фиксированным физическим IP-адресом)

Пример окружения:

  • Ethernet порты

    FastEthernet 0: WAN Port (IP Address: 2.3.4.5 / Subnet Mask: 255.255.255.0 / Default GW: 2.3.4.254)

    FastEthernet 1: Bridge Port

     
  • IP-адрес SoftEther VPN сервера к которому подключаемся

    1.2.3.4

     
  • Настройки шифрования isakmp SA

    AES-256 / SHA / DH Group 2 (1024 bit)

     
  • Параметры шифрования IPSec SA

    AES-256 / SHA

     
  • Предварительный общий IPsec ключ

    vpn
Пример конфигурации Cisco-маршрутизатора

conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
ip address 2.3.4.5 255.255.255.0
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

ip route 0.0.0.0 0.0.0.0 2.3.4.254 permanent

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit

crypto isakmp policy 1
encryption aes 256
hash sha
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface FastEthernet 0
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit

Пример конфигурации Cisco маршрутизатора №2 (Физический IP-адрес назначается по DHCP)

Пример окружения:

  • Ethernet порты

    FastEthernet 0: WAN Port (Автоматическая аренда IP-адреса от DHCP-сервера)

    FastEthernet 1: Bridge Port

     
  • IP-адрес SoftEther VPN сервера, к которому подключаемся

    1.2.3.4

     
  • Настройки шифрования isakmp SA

    AES-256 / SHA / DH Group 2 (1024 bit)

     
  • Параметры шифрования IPSec SA

    AES-256 / SHA

     
  • Предварительный общий IPsec ключ

    vpn
Пример конфигурации Cisco-маршрутизатора

conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
ip address dhcp
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit

crypto isakmp policy 1
encryption aes 256
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface FastEthernet 0
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit

Пример конфигурации Cisco маршрутизатора №3 (PPPoE соединение через WAN-порт)

Пример окружения:

  • Ethernet порты

    FastEthernet 0: WAN Port (Автоматическое назначение IP-адреса через PPPoE)

    FastEthernet 1: Bridge Port

     
  • IP-адрес SoftEther VPN сервера к которому подключаемся

    1.2.3.4

     
  • Настройки шифрования isakmp SA

    AES-256 / SHA / DH Group 2 (1024 bit)

     
  • Параметры шифрования IPSec SA

    AES-256 / SHA

     
  • Предварительный общий IPsec ключ

    vpn
Пример конфигурации Cisco-маршрутизатора

conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

interface FastEthernet 0
pppoe enable
pppoe-client dial-pool-number 1
exit

interface FastEthernet 1
no ip address
exit

interface Dialer 1
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
ip mtu 1454
keepalive 15 6
ppp authentication chap callin
ppp chap hostname [email protected]
ppp chap password 0 nekojamu
dialer idle-timeout 0
dialer persistent
exit

ip route 0.0.0.0 0.0.0.0 Dialer1 permanent

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface Dialer 1
exit

crypto isakmp policy 1
encryption aes 256
hash sha
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface Dialer 1
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit

 

6.7. Почему совместное использование Cisco маршрутизаторов с SoftEther VPN сервером самый лучший вариант?

В этом документе объясняется преимущество совместного использования Cisco маршрутизаторов и SoftEther VPN-сервера, а также использования VPN протокола L2TPv3/IPsec для создания VPN-мостов Ethernet между несколькими точками.


С первого взгляда на преимущество

Если только использовать младшие модели Cisco маршрутизаторов:

  • Cisco VPN-маршрутизаторы младших моделей могут строить только L2TPv3 VPN-туннели точка-точка.
  • Если у вас есть три филиала, то вам нужно будет устанавливать три VPN-маршрутизатора в центральном офисе, каждый из них будет использоваться для соединения с одним филиалом.
  • Центральные VPN маршрутизаторы должны знать фиксированный статический глобальный IP-адрес Cisco маршрутизатора в каждом филиале.

    (Каждому филиалу должен быть назначен статический глобальный IP-адрес.)
Cisco маршрутизаторы начального уровня не могут объединить несколько филиалов.


  • Из-за ограничения, заключающегося в том, что младшие модели Cisco маршрутизаторов не поддерживают L2TPv3 VPN-туннели «точка-многоточка», невозможно объединение многоточечных L2TPv3 VPN-туннелей из разных филиалов на один центральный Cisco маршрутизатор младшей модели.
Для агрегирования VPN вы должны приобрести высокопроизводительные Cisco маршрутизаторы

  • Cisco VPN-маршрутизатор старших моделей может делать многоточечные L2TPv3 VPN-туннели.

    Хотя у вас есть три филиала, вам нужен только один маршрутизатор Cisco 7200 или старше в центральном офисе.

    Центральный VPN-маршрутизатор должен знать фиксированные статические глобальные IP-адреса Cisco маршрутизаторов каждого филиала.

    (Каждому филиалу должен быть назначен статический глобальный IP-адрес.)
Лучшее решение с SoftEther VPN Сервер

  • Настройте только один SoftEther VPN-сервер в центральном офисе, тогда младшие модели Cisco VPN-маршрутизаторов каждого филиала смогут установить L2TPv3 туннель на SoftEther VPN-сервер.
  • Стоимость будет дешевле, чем при покупке высокопроизводительного Cisco маршрутизатора, SoftEther серверу не нужно знать кто инициатор VPN-соединения. (Динамический IP-адрес и маршрутизатор за NAT`ом в филиалах допускаются.)

Сравнение решений с Cisco маршрутизаторами


1. Ethernet (L2) site-to-Site VPN только с SoftEther VPN сервером и SoftEther VPN мостом

Преимущества

  • Низкая стоимость.
  • Простая установка
  • Высокая производительность. (VPN Сервер в центре может агрегировать VPN сеансы на скорости более чем 600 Мбит/с.)
  • В центре необходим только один VPN сервер.
  • Допустимы динамические IP-адреса в каждой филиале.
Недостатки

  • Каждый филиал должен иметь сервер, на котором установлен SoftEther VPN мост.  (ПК занимает физическую площадь на полу или столе, имеет большой вес и потребляет большую часть электроэнергии.)
  • Требуется установка операционной системы и SoftEther VPN моста в каждом филиале.

2. Ethernet (L2) VPN типа «сеть-сеть» только с Cisco VPN маршрутизаторами (младших моделей).

Преимущества

  • Каждый Cisco VPN маршрутизатор занимает меньше физического места в каждом филиале, чем серверный ПК с SoftEther VPN мостом.
  • Для Cisco маршрутизаторов не требуется устанавливать операционную систему.
Недостатки

  • Компания должна настроить много VPN-маршрутизаторов в центральном офисе.  (В маршрутизаторах Cisco младших моделей нет функций агрегации многоточечных VPN.)
  • Каждый филиал должен иметь статический глобальный IP-адрес подключения к интернету. (Каждому филиалу должен быть присвоен статический глобальный IP-адрес.)

3. Ethernet (L2) VPN типа “Сеть-сеть” только c Cisco VPN маршрутизаторами (младших и старших моделей.)

Преимущества

  • Каждый Cisco VPN маршрутизатор занимает меньше физического места в каждом филиале, чем серверный ПК с SoftEther VPN мостом.
  • Для маршрутизаторов Cisco не требуется устанавливать операционную систему. В центре необходим только один маршрутизатор высокого класса.
Недостатки

  • Слишком дорого. (Соответствующий набор Cisco маршрутизатора старших моделей будет стоить $30000 или больше.)
  • Конфигурация центрального маршрутизатора слишком сложная. Компания должна нанять эксперта Cisco.
  • Каждый филиал должен иметь статический глобальный IP-адрес для подключения к интернету.

4. Ethernet (L2) VPN типа «сеть-сеть» с SoftEther VPN в центральном отделении и Cisco маршрутизаторами в филиалах.

Преимущества

  • Простая установка
  • Высокая производительность. (Центральный VPN-сервер может агрегировать VPN сеансы со скоростью свыше 600 Мбит/с.)
  • В Центральном офисе необходим только один VPN-сервер.
  • Допустимы динамические IP-адреса в каждом филиале.
  • Каждый маршрутизатор Cisco VPN занимает меньше физического места в каждом филиале, чем серверный ПК с SoftEther VPN мостом.
  • Для Cisco маршрутизаторов в филиалах не требуется установка операционной системы.
  • Тот же самый VPN-сервер может также обслуживать пользователей смартфонов и ПК для удаленного доступа VPN.

Недостатки


Настраиваем VPN сервер — L2TP. Платформа Windows server 2008 / 2008R2

Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP VPN-сервера на платформе Windows server 2008 r2.

PPTP

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения.

Плюсы:

  • клиент PPTP встроен почти во все операционные системы
  • очень прост в настройке
  • работает быстро

Минусы:

  • небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

Плюсы:

  • очень безопасен
  • легко настраивается
  • доступен в современных операционных системах

Минусы:

  • работает медленнее, чем OpenVPN
  • может потребоваться дополнительная настройка роутера

И так вернемся к настройкам, для развертывания VPN L2TP-сервера мы будем использовать Windows Server 2008 R2, однако все сказанное, с небольшими поправками, будет справедливо и для иных версий Windows Server.

Нам потребуется установленная роль Службы политики сети и доступа, которая должна содержать Службы маршрутизации и удаленного доступа как это сделать мы подробно описывали в предыдущей статье где мы поднимали PPTP VPN, поэтому описывать этот процесс еще раз не вижу смысла, далее мы будем считать что роль Службы политики сети и доступа у вас уже установлена и содержит Службы маршрутизации и удаленного доступа. Вообще развертывание VPN L2TP-сервера очень похоже на развертывание PPTP VPN, за исключением нескольких настроек о которых мы и поговорим подробно.

Переходим в Диспетчеру сервера: РолиМаршрутизация и удалённый доступ, щелкаем по этой роли правой кнопкой мыши и выбираем Свойства, на вкладке Общие ставим галочку в полях IPv4-маршрутизатор, выбираем локальной сети и вызова по требованию, и IPv4-сервер удаленного доступа:

Теперь нам необходимо ввести предварительный ключ. Переходим на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ. (По поводу ключа. Вы можете ввести туда произвольную комбинацию букв и цифр главный принцип чем сложнее комбинация -тем безопаснее и еще запомните или запишите эту комбинацию она нам еще понадобиться) Во вкладке Поставщик службы проверки подлинности выберите Windows — проверка подлинности.

Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN а так же настроим пул выдаваемых адресов клиен

Пошаговая инструкция по объединению сетей разных провайдеров с помощью L2TP и L2TP/IPSec на оборудовании Mikrotik | IT блоги

! Если кому-то инструкция кажется большой и сложной, попробуйте воспользоваться этой инструкцией по объединению офисов через VPN (l2tp).

В эпоху тотальной информатизации всех бизнес-процессов, всё более остро постаёт вопрос объединения удалённых офисов и филиалов между собой в единую информационную сеть. Довольно часто немаловажную роль играет возможность предоставления удаленного доступа для сотрудников из дома, либо любой точки земного шара, где есть доступ в Интернет.

Объединение сетей мы будем рассматривать на примере оборудования компании Mikrotik. В качестве тестового сервера используется маршрутизатор RB2011UiAS-RM, который является отличным выбором для небольших офисов и компаний, ограниченных в бюджете. В качестве конечного клиента используется одно из самых доступных решений – Mikrotik hAP lite (RB941-2n).

Благодаря своей невысокой, hAP lite можно с легкостью применять в домашних условиях, для подключения сотрудников, работающих удалённо. Хороший показатель производительности позволяет использовать этого «малыша» даже в малых офисах, где нет высоких требований.

Бывают ситуации, когда офис и филиалы находятся в локальной сети одного и того же провайдера, что существенно упрощает процесс объединения сетей. Тем не менее, чаще всего филиалы территориально разграничены и могут находиться на большом удалении друг от друга.

Одной из самых популярных технологий для таких целей можно считать VPN – Virtual Private Network. Для реализации VPN, можно прибегнуть к нескольким вариантам: PPTP, L2TP, OpenVPN, SSTP и т.д. PPTP морально устарел, а OpenVPN и SSTP поддерживаются далеко не на всех устройствах.

По этим причинам, а также благодаря простоте настройки и доступности на устройствах, работающих под управлением разных ОС, протокол L2TP (Layer 2 Tunnel Protocol) является одним из самых популярных протоколов туннелирования. Проблемы могут возникать в случае нахождения клиента за NAT, когда Firewall блокирует пакеты. Однако даже в этом случае есть решения по обходу блокировки. Один из недостатков L2TP – безопасность, которая решается применением IPSec. Второй и, пожалуй, самый значимый недостаток – производительность. При использовании IPSec происходит двойная инкапсуляция, что снижает производительность – это именно та цена, которую придется заплатить за безопасность передаваемых данных.

Тестовый стенд

Для лучшего понимания настроек, ниже приведена иллюстрация, которая показывает структуру сети.

В качестве интернет-провайдера выступает маршрутизатор RB951Ui-2HnD, который выдает устройствам IP в подсети 192.168.106.0/24. В реальности же у вас будут другие IP-адреса на WAN-интерфейсах.

Настройка сервера

Итак, на главном сервер должен быть статический белый внешний IP-адрес, в качестве примера у нас это 192.168.106.246. Наличие статики важно т.к. адрес не должен меняться, в противном случае придётся прибегать к лишним действиям и использовать DNS-имя.

Создание профилей

Заходим в раздел PPP, открываем вкладку Profiles, здесь необходимо создать профиль, который будет применяться к VPN-подключениям. Отметьте опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться шифрования MPPE 128 bit.

Переходим на вкладку Interface. Нажимаем L2TP Server, в появившемся окошке ставим галочку Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации, по желанию – оставить как есть, либо выбрать только MS-CHAP v2.

Опцию IPsec оставляем отключенной.

Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, тут же можно указать используемый профиль.

Локальный адрес указываем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Для каждого пользователя локальный IP будет одинаковым, удалённый IP увеличиваем на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно конечно прибегнуть к использованию пула адресов, но со статикой вам проще будет писать маршруты.

Создание интерфейса

Для каждого пользователя создаём свой интерфейс. Открываем раздел интерфейсов и нажимаем плюс, в выпадающем меню выбираем L2TP Server Binding, указываем отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться вся информация.

Настройки файрволла

Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После чего необходимо поднять приоритет правила, перемещаем его выше.

Далее заходим в NAT и добавляем маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), это необходимо делать для того, чтобы компьютеры за роутером видели друг друга.

Добавление маршрутов

Прописываем маршрут в удалённую подсеть. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.

На этом настройка сервера завершена, приступаем к настройке клиентского подключения на втором устройстве.

Настройка клиента

Открываем раздел интерфейсов и добавляем новый L2TP Client, указываем IP-адрес сервера и свои учётные данные, по-умолчанию выбираем профиль с шифрованием и снимаем галочку с дефолтного маршрута.

Применяем, если всё сделано правильно – соединение должно быть установлено.

Пробуем пинговать 192.168.1.1… и он, конечно же, отвечать не будет. Добавляем новый статический маршрут – удаленная подсеть 192.168.1.0/24, в качестве шлюза IP сервера в виртуальной сети, Pref. Source – наш IP в виртуальной сети. Т.е. на клиенте все адреса проставляются наоборот.

Пробуем повторно выполнить ping 192.168.1.1 – есть.

Но компьютеры за роутером ещё не видят удалённую сеть.

Создаем для них маскарадинг, аналогичный тому, что создан на сервере. В качестве выходного интерфейса указываем наше VPN-подключение.

Ping пошел, значит, всё работает. Поздравляем, ваш туннель работает, а компьютеры видят друг друга.

В нашем примере, как показало тестирование, удалось получить канал с пропускной способностью около 50 Мбит/сек.

На этом базовая настройка завершена. При добавлении новых пользователей, необходимо добавлять соответствующие маршруты на устройствах, где вы хотите, чтобы устройства за роутером видели друг друга. При пробросе маршрута между Client1 и Client2, на самом сервере ничего делать не нужно. Достаточно прописать маршруты на клиентах, в качестве шлюза будет выступать IP оппонента в виртуальной сети.

Настройка L2TP + IPSec

Иногда на практике нужно обеспечить должный уровень безопасности. При использовании L2TP целесообразно прибегать к использованию IPSec. В качестве примера используется сеть, настроенная по вышеизложенной инструкции.

Обратите внимание! IPSec создаётся внутри туннеля L2TP между виртуальными адресами 10.50.0.X. Такая реализация позволяет не зависеть от IP клиента.

Если же вы хотите создать IPSec-туннель между WAN сервера и WAN клиента, необходимо, чтобы у клиента был белый внешний IP. Если IP будет динамичным, вам потребуется также использовать разные скрипты для изменения политик IPSec. К тому же, в случае IPSec между внешними IP, необходимость в L2TP вовсе отпадает.

Настройки на сервере

Первым делом заходим в NAT и отключаем маскарадинг для PPP, если этого не сделать, пакеты шифроваться не будут. Необходима перезагрузка маршрутизатора.

Заходим в раздел IP – IPSec, открываем вкладку Proposals. Здесь нам необходимо указать тип шифрования и аутентификации. Алгоритм аутентификации выбираем sha1, для шифрования оптимальным будет использовать алгоритм AES 128-бит. При необходимости, можно также указать 3DES (Triple DES), он является алгоритмом по-умолчанию для L2TP/IPSec в Windows 7, в то время, как для мобильных ОС целесообразным может быть применение AES 256-бит.

Во вкладке Peers добавляем новый пир с адресом 0.0.0.0/0, что разрешит маршрутизатору принимать все подключения. По-умолчанию, используется 500-й порт. Метод аутентификации выбираем pre shared key, чуть ниже указываем желаемый пароль. Exchange Mode следует указать main l2tp.

Отмечаем опции Send Initial Contact и NAT Traversal. Последнюю опцию можно и не отмечать, если вы точно уверены, что клиент не находится за NAT провайдера. Generate policy выбираем port strict. Остальные опции вы можете посмотреть на скриншоте.

После добавления пира следует создать политику, для этого открываем вкладку Policies. Политику по-умолчанию можно отключить. Создаем новую политику, где указываем наши 2 локальные сети. Src. Adress (source) – наша локальная подсеть 192.168.1.0/24, Dst. Adress (destination) – удаленная подсеть 192.168.2.0/24. В закладке Action необходимо указать применяемое действие: action – encrypt, level – require. В качестве протокола выбираем ESP и ставим галочку Tunnel. SA Src. Adress – наш локальный адрес в виртуальной сети (10.50.0.10), SA Dst. Adress – адрес удаленного клиента в виртуальной сети.

На этом в принципе все, нужно также зайти в Firewall и добавить правила для используемых портов. Порт UDP 1701 используется для начальной инициализации и конфигурации. UDP 500 используется в L2TP/IPSec для инициализации обмена ключами. Протокол 50 – IPSec ESP, который используется для шифрования данных. Иногда необходимо также открывать порт UDP 4500 для обхода NAT.

Настройка клиента

В первую очередь, добавляем правила файрволла и отключаем маскарадинг для нашего VPN-подключения.

В разделе IP – IPSec необходимо настроить Proposal аналогично тому, как это сделано на сервере.

В качестве пира будет выступать 10.50.0.10, т.е. адрес сервера в виртуальной сети. Все остальные настройки должны соответствовать тем, которые вы указали при настройке сервера.

При создании политики, все адреса и подсети указываются обратно тому, как они указаны на сервере, т.е. у клиента всё наоборот.

Если вы всё сделали правильно, во вкладке Remote Peers у вас отобразится список пиров и используемые порты.

Теперь необходимо открыть вкладку Installed SAs, здесь следует обратить особое внимание на значение Current Bytes – если оно равно нулю, значит, пакеты не шифруются.

В файрволле вы можете посмотреть движения трафика.

Что же касается загрузки процессора, в минимальной нагрузке канала для RB2011UiAS-RM она поднялась до 9-13%.

Проверка производительности L2TP/IPSec

Пришло время проверить производительность канала, ведь в случае с L2TP/IPSec происходит двойная инкапсуляция, что создаёт нагрузку на центральный процессор.

В однопоточном тесте, производительность нашего канала между RB2011UiAS-RM и RB941-2n упала до 17 Мбит/сек. Если увеличить количество потоков до 10, можно добиться скорости 19 Мбит/сек.

Загрузка процессора обеих устройств при этом составляет 95%, что немало. Это та цена, которую приходится платить за безопасность передаваемых данных.

Для получения высокой производительности по L2TP/IPSec следует покупать оборудование более высокого уровня, либо собирать маршрутизатор на PC + RouterOS. Если вы выбираете вариант покупки производительного маршрутизатора, обратите внимание на наличие аппаратного блока шифрования, что существенно увеличит производительность.

! Если кому-то инструкция кажется большой и сложной, попробуйте воспользоваться этой инструкцией по объединению офисов через VPN (l2tp).

оригинал статьи тут: http://lanmarket.ua/stats/poshagovaya-instrukciya-po-obedineniyu-setey-s-pomoshchyu-L2TP-i—L2TP-IPSec-na-Mikrotik Создателям — большое спасибо!

Смотрите также:

Что безопаснее, PPTP, L2TP / IPsec и OpenVPN?

Приобретя тариф VPN на нашем сайте, вы можете подключиться к VPN, используя три разные технологии: PPtP, L2TP / IPSec и OpenVPN. Однако не все понимают различия в безопасности этих технологий. Давайте посмотрим на упомянутые технологии и посмотрим, какая технология безопаснее с точки зрения шифрования трафика.

Прежде чем рассматривать каждую технологию по отдельности, хотелось бы рассказать о шифровании.

При отправке трафика в открытом виде данные от отправителя к получателю и обратно не шифруются, поэтому любой, кто имеет минимальные знания в области сетевых технологий, может прочитать передаваемые данные. Например, вы заполняете форму логина и пароля на сайте и нажимаете кнопку «Войти». Если трафик на веб-сервер передается по протоколу http, то злоумышленник, который перехватывает трафик, распознает ваши входные данные, анализируя отправленный пакет.

Напротив, если трафик передается по протоколу https, он скрывается с помощью шифрования, которое можно расшифровать только с помощью ключа.Следовательно, злоумышленнику, прежде чем вы увидите данные из формы авторизации, которую вы заполнили на сайте, придется либо декодировать, либо каким-то образом получить ключ для дешифрования.

Главный критерий ключа — его длина. На данный момент существует множество ключей разной длины, например 112, 128, 256, 1024, 2048 и даже 3072 бит. Сегодня практически невозможно встретить ключи длиннее 128 бит. Вся соль в том, что в обозримом будущем взломать 128-битный ключ невозможно.18 или почти 1 миллиард лет, чтобы взломать ключ взломом.

Стоит отметить, что тип соединения OpenVPN нашего провайдера VPN использует длину ключа 1024 бита, поэтому вы можете быть уверены, что данные, передаваемые вами через наши серверы, надежно зашифрованы в течение миллиардов лет.

Теперь давайте посмотрим на типы VPN-подключений, которые мы предоставляем.

PPTP

Протокол туннелирования точка-точка, или протокол туннелирования точка-точка — позволяет компьютеру установить соединение с сервером путем создания туннеля.Первой компанией, внедрившей этот протокол, была Cisco. Однако позже они передали лицензию на этот протокол Microsoft. Благодаря Microsoft этот протокол был массово внедрен почти во все операционные системы и стал стандартным протоколом для построения VPN.

При настройке VPN с использованием этого протокола вам будет предложено выбрать 128-битное шифрование. Однако это не оправдывает того факта, что протокол очень уязвим. После того, как протокол стал доступен в Windows в 1999 году, был обнаружен ряд уязвимостей.В том числе уязвимость протокола аутентификации MS-CHAP v.2, при эксплуатации которой PPTP был взломан в течение 2 дней. И это лишь один пример, список уязвимостей этого протокола очень большой. Парадоксально, но даже сама Microsoft рекомендует по возможности не использовать PPTP.

Только из-за распространенности протокола PPTP, а также того факта, что VPN, использующий этот протокол, очень легко настраивается, мы реализовали его поддержку нашим провайдером. Использование PPTP подходит для обычного серфинга в Интернете, когда вам не нужно вводить какие-либо данные авторизации или передавать важную информацию.

Суммируем:

Преимущества:
• PPTP — наиболее доступный протокол, поскольку он встроен практически во все ОС;
• VPN на основе PPTP очень легко настраивается;
• Благодаря простоте реализации работает быстро.

Недостатки:
• Несмотря на используемое шифрование, он очень уязвим

L2TP и L2TP / IPsec

Туннельный протокол уровня 2 или протокол туннелирования уровня 2 — протокол, разработанный специально для VPN в качестве безопасной альтернативы PPTP.Стоит отметить, что L2TP сам по себе не шифрует трафик, поэтому разработчики реализовали возможность использовать его с протоколом IPec для шифрования.

Протокол разработан, или, точнее говоря, как клей, Microsoft (PPTP) и Cisco (L2TP). И опять же, благодаря участию в разработке Microsoft, протокол можно было использовать сначала в ее операционных системах, а затем почти во всех остальных. Сегодня протокол поддерживают все устройства.

Протокол зашифрован 256-битным ключом с использованием алгоритма AES.В то же время в VPN с использованием L2TP / IPsec по-прежнему нет критических уязвимостей, которые могут помочь в расшифровке трафика.

Единственным недостатком L2TP / IPsec является то, что по этому протоколу пакет, который отправляется дважды, инкапсулируется (упаковывается), поэтому теоретически этот протокол считается медленным, но на практике вы практически не почувствуете разницы.

Суммируем:

Преимущества:
• Очень надежный и безопасный;
• Так же, как PPTP очень легко настроить;
• Доступен практически во всех современных операционных системах;

Недостатки:
• Работает медленнее, чем PPTP и OpenVPN.

OpenVPN

OpenVPN — это технология с открытым исходным кодом, специально разработанная для создания зашифрованного VPN-соединения точка-точка и клиентского сервера. Клиент был разработан относительно недавно. На данный момент он поддерживается практически всеми операционными системами персональных компьютеров.

Важно отметить, что с момента разработки в 2002 году технология не обнаружила никаких уязвимостей. Это очень хороший показатель. А учитывая, что шифрование данных обеспечивается библиотекой OpenSSL и протоколами SSLv3 / TLSv1, о безопасности этой технологии, передаваемой через VPN, вам не о чем беспокоиться.Протокол поддерживает различные алгоритмы шифрования, такие как AES, Blowfish, 3DES, CAST-128, Camelia и другие.

Стоит отметить, что в отличие от стандартных протоколов PPTP и L2TP / IPsec, OpenVPN очень гибок в настройке. Поскольку PPTP и L2TP / IPsec являются стандартными протоколами, провайдеры могут легко их заблокировать. VPN с использованием технологии OpenVPN можно настроить для работы через порт 443 или любой другой порт, таким образом маскируясь под обычный трафик HTTPS TCP. Так что провайдеру будет сложнее заблокировать такой трафик.

Естественно, из-за простоты реализации этот протокол работает быстрее L2TP / IPsec и даже PPTP.

Единственным недостатком пока является то, что протокол не очень хорошо работает с мобильными операционными системами iOS и Android. Однако эта проблема решается.

Подведем итоги:

Преимущества:
• Очень гибкая конфигурация, поэтому вы можете маскироваться под обычный TCP-трафик;
• Высокий уровень безопасности;
• Можно настроить практически любой алгоритм шифрования.

Недостатки:
• Может быть сложно настроить;
• Плохо работает с мобильными операционными системами.

В этом обзоре PPTP, L2TP / IPsec и OpenVPN можно считать завершенными. Сделаем вывод:

VPN на основе протокола PPTP очень легко настроить, хотя и не очень безопасен. Мы не рекомендуем вам использовать его, если у вас нет возможности настроить VPN через протоколы L2TP / IPsec и OpenVPN, или если вы не беспокоитесь о безопасности своих данных.

VPN на основе протокола L2TP / IPsec — лучшее решение для мобильных устройств. Настроить очень просто — безопасно. Но по идее работает чуть медленнее, чем PPTP. Это также очень хорошее решение для персональных компьютеров с точки зрения простоты настройки.

VPN на основе протокола OpenVPN — идеальное решение для персональных компьютеров с точки зрения безопасности. Настройка VPN на основе этого протокола может быть затруднена загрузкой приложения, но это не является большим недостатком.Поддержка мобильных устройств еще не реализована полностью, но в ближайшее время она должна быть исправлена.

Mobile VPN с L2TP

    Перейти к основному содержанию

    Счет
    Настройки


    Выйти

    • заполнитель

    Аккаунт
    Настройки


    Выйти

    Фильтр:

    • ● Все файлы

    Отправить поиск

    Настройка Mac L2TP — VPNUK

    div,.btn-skin, .btn-skin: active, .btn-skin: focus, .btn-skin: hover, .btn-skin-h-dark, .btn-skin-h-dark.inverted: active, .btn- skin-h-dark.inverted: focus, .btn-skin-h-dark.inverted: hover, .woocommerce .woocommerce-info, .woocommerce .woocommerce-message, .woocommerce button.button [type = submit] ,. woocommerce #respond input # submit, .woocommerce input # submit, .woocommerce input.button, .woocommerce a.button, .woocommerce .button.add_to_cart_button, .woocommerce button.button [type = submit]: hover, .woocommerce #respond input # отправить: навести ,.woocommerce input # submit: hover, .woocommerce input.button: hover, .woocommerce a.button: hover, .woocommerce .button.add_to_cart_button: hover, .woocommerce button.button [type = submit]: focus, .woocommerce #respond input #submit: focus, .woocommerce input # submit: focus, .woocommerce input.button: focus, .woocommerce a.button: focus, .woocommerce .button.add_to_cart_button: focus, .woocommerce button.button [type = submit]: active , .woocommerce #respond input # submit: active, .woocommerce input # submit: active, .woocommerce input.button: active, .woocommerce a.button: active, .woocommerce .button.add_to_cart_button: active {border-color: # 444444} .tc-header.border-top {border-top-color: # 444444} [class * = ‘grid-container__’] .entry-title a: hover :: after, .grid-container__classic .post-type__icon, .btn-skin, .btn-skin.inverted: active, .btn-skin.inverted: focus ,. btn-skin.inverted: hover, .btn-skin-h-dark, .btn-skin-h-dark.inverted: active, .btn-skin-h-dark.inverted: focus, .btn-skin-h- dark.inverted: hover, .sidebar .widget-title :: after, input [type = radio]: checked :: before ,.woocommerce button.button [type = submit] ,. woocommerce #respond input # submit, .woocommerce input # submit, .woocommerce input.button, .woocommerce a.button, .woocommerce .button.add_to_cart_button {background-color: # 444444} .btn-skin-light: active, .btn-skin-light: focus, .btn-skin-light: hover, .btn-skin-light.inverted {color: # 6a6a6a} input: not ([type = ‘submit ‘]): not ([type =’ button ‘]): not ([type =’ number ‘]): not ([type =’ checkbox ‘]): not ([type =’ radio ‘]): фокус, textarea: focus, .btn-skin-light, .btn-skin-light.inverted, .btn-skin-light: active ,.btn-skin-light: focus, .btn-skin-light: hover, .btn-skin-light.inverted: active, .btn-skin-light.inverted: focus, .btn-skin-light.inverted: hover { border-color: # 6a6a6a} .btn-skin-light, .btn-skin-light.inverted: active, .btn-skin-light.inverted: focus, .btn-skin-light.inverted: hover {background-color : # 6a6a6a} .btn-skin-lightest: active, .btn-skin-lightest: focus, .btn-skin-lightest: hover, .btn-skin-lightest.inverted {color: # 777777} .btn-skin- lightest, .btn-skin-lightest.inverted, .btn-skin-lightest: активный, .btn-skin-lightest: фокус,.btn-skin-lightest: hover, .btn-skin-lightest.inverted: active, .btn-skin-lightest.inverted: focus, .btn-skin-lightest.inverted: hover {border-color: # 777777} .btn -skin-lightest, .btn-skin-lightest.inverted: active, .btn-skin-lightest.inverted: focus, .btn-skin-lightest.inverted: hover {background-color: # 777777} .pagination, a: hover, a: focus, a: active, .btn-skin-dark: active, .btn-skin-dark: focus, .btn-skin-dark: hover, .btn-skin-dark.inverted, .btn-skin -dark-oh: активен, .btn-skin-dark-oh: focus, .btn-skin-dark-oh: hover, .post-info a: not (.btn): hover, .grid-container__classic .post-type__icon .icn-format, [class * = ‘grid-container__’] .hover .entry-title a, .widget-area a: not (.btn): hover, a.czr-format-link: hover, .format-link.hover a.czr-format-link, button [type = submit]: hover, button [type = submit]: active, button [type = submit]: focus , input [type = submit]: hover, input [type = submit]: active, input [type = submit]: focus, .tabs .nav-link: hover, .tabs .nav-link.active, .tabs .nav -link.active: hover, .tabs .nav-link.active: focus, .woocommerce input # submit [class * = alt]: hover ,.woocommerce input.button [class * = alt]: hover, .woocommerce a.button [class * = alt]: hover, .woocommerce button.button [class * = alt]: hover, .woocommerce input # submit.alt.disabled : hover, .woocommerce input.button.alt.disabled: hover, .woocommerce button.button.alt.disabled: hover, .woocommerce a.button.alt.disabled: hover, .woocommerce input # submit [class * = alt] : focus, .woocommerce input.button [class * = alt]: focus, .woocommerce a.button [class * = alt]: focus, .woocommerce button.button [class * = alt]: focus, .woocommerce input # submit .alt.disabled: focus, .woocommerce input.button.alt.disabled: focus, .woocommerce button.button.alt.disabled: focus, .woocommerce a.button.alt.disabled: focus, .woocommerce input # submit [class * = alt]: active, .woocommerce input.button [class * = alt]: active, .woocommerce a.button [class * = alt]: active, .woocommerce button.button [class * = alt]: active, .woocommerce input # submit.alt.disabled: active, .woocommerce input.button.alt.disabled: active, .woocommerce button.button.alt.disabled: active, .woocommerce a.button.alt.disabled: active ,.woocommerce #content div.product .woocommerce-tabs ul.tabs li a: hover, .woocommerce #content div.product .woocommerce-tabs ul.tabs li.active a {color: # 252525} .grid-container__classic.tc-grid -border .grid__item, .btn-skin-dark, .btn-skin-dark.inverted, button [type = submit], input [type = submit] ,. btn-skin-dark: active, .btn-skin-dark. : focus, .btn-skin-dark: hover, .btn-skin-dark.inverted: active, .btn-skin-dark.inverted: focus, .btn-skin-dark.inverted: hover, .btn-skin- h-dark: активен, .btn-skin-h-dark: focus, .btn-skin-h-dark: hover ,.btn-skin-h-dark.inverted, .btn-skin-h-dark.inverted, .btn-skin-h-dark.inverted, .btn-skin-dark-oh: active, .btn-skin-dark- oh: focus, .btn-skin-dark-oh: hover, .btn-skin-dark-oh.inverted: active, .btn-skin-dark-oh.inverted: focus, .btn-skin-dark-oh. инвертированный: наведение, кнопка [type = submit]: hover, button [type = submit]: active, button [type = submit]: focus, input [type = submit]: hover, input [type = submit]: active, input [type = submit]: focus, .woocommerce input # submit [class * = alt]: hover, .woocommerce input.button [class * = alt]: hover, .woocommerce a.button [class * = alt]: hover, .woocommerce button.button [class * = alt]: hover, .woocommerce input # submit.alt.disabled: hover, .woocommerce input.button.alt.disabled: hover, .woocommerce button.button.alt.disabled: hover, .woocommerce a.button.alt.disabled: hover, .woocommerce input # submit [class * = alt]: focus, .woocommerce input.button [class * = alt]: focus, .woocommerce a.button [class * = alt]: focus, .woocommerce button.button [class * = alt]: focus, .woocommerce input # submit.alt.disabled: focus, .woocommerce input.button.alt.disabled: фокус ,.woocommerce button.button.alt.disabled: focus, .woocommerce a.button.alt.disabled: focus, .woocommerce input # submit [class * = alt]: active, .woocommerce input.button [class * = alt]: active , .woocommerce a.button [class * = alt]: active, .woocommerce button.button [class * = alt]: active, .woocommerce input # submit.alt.disabled: active, .woocommerce input.button.alt.disabled : active, .woocommerce button.button.alt.disabled: active, .woocommerce a.button.alt.disabled: active, .woocommerce input # submit [class * = alt] ,.woocommerce input.button [class * = alt] ,.woocommerce a.button [class * = alt] ,.woocommerce button.button [class * = alt] ,.woocommerce input # submit.alt.disabled, .woocommerce input.button.alt. disabled, .woocommerce button.button.alt.disabled, .woocommerce a.button.alt.disabled {border-color: # 252525} .btn-skin-dark, .btn-skin-dark.inverted: active, .btn- skin-dark.inverted: focus, .btn-skin-dark.inverted: hover, .btn-skin-h-dark: active, .btn-skin-h-dark: focus, .btn-skin-h-dark: hover, .btn-skin-h-dark.inverted, .btn-skin-h-dark.inverted, .btn-skin-h-dark.инвертированный, .btn-skin-dark-oh.inverted: active, .btn-skin-dark-oh.inverted: focus, .btn-skin-dark-oh.inverted: hover, .grid-container__classic .post-type__icon: наведение, кнопка [type = submit], input [type = submit] ,.czr-link-hover-underline .widgets-list-layout-links a: not (.btn) :: before, .czr-link-hover- подчеркивание .widget_archive a: not (.btn) :: before, .czr-link-hover-underline .widget_nav_menu a: not (.btn) :: before, .czr-link-hover-underline .widget_rss ul a: not ( .btn) :: before, .czr-link-hover-underline .widget_recent_entries a: not (.btn) :: before, .czr-link-hover-underline .widget_categories a: not (.btn) :: before, .czr-link-hover-underline .widget_meta a: not (.btn) :: before, .czr -link-hover-underline .widget_recent_comments a: not (.btn) :: before, .czr-link-hover-underline .widget_pages a: not (.btn) :: before, .czr-link-hover-underline .widget_calendar a: not (.btn) :: before, [class * = ‘grid-container__’] .hover .entry-title a :: after, a.czr-format-link :: before, .comment-author a :: before, .comment-link :: before, .tabs .nav-link.active :: before, .woocommerce input # submit [class * = alt] ,.woocommerce input.button [class * = alt] ,. woocommerce a.button [class * = alt] ,. woocommerce button.button [class * = alt] ,. woocommerce input # submit.alt.disabled, .woocommerce input.button .alt.disabled, .woocommerce button.button.alt.disabled, .woocommerce a.button.alt.disabled, .woocommerce #content div.product .woocommerce-tabs ul.tabs li.active a :: before, .czr- link-hover-underline .widget_product_categories a: not (.btn) :: before {background-color: # 252525} .btn-skin-dark-shaded: active, .btn-skin-dark-shaded: focus, .btn- кожа-тёмно-затушеванная: парение ,.btn-skin-dark-shaded.inverted {background-color: rgba (37,37,37,0.2)}. btn-skin-dark-shaded, .btn-skin-dark-shaded.inverted: active, .btn- skin-dark-shaded.inverted: focus, .btn-skin-dark-shaded.inverted: hover {background-color: rgba (37,37,37,0.8)}. navbar-brand, .header-tagline, h2, h3, h4, .tc-dropcap {семейство шрифтов: ‘Open Sans’; }
    тело {font-family: ‘Open Sans’; }

    body {
    размер шрифта: 0.88rem;
    высота строки: 1.5em;
    }

    .tc-header.border-top {border-top-width: 5 пикселей; border-top-style: solid}
    .липкий-включен .czr-wccart-off .primary-nav__woocart {display: none; }
    .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *