Vpn настройка l2tp: Настраиваем VPN сервер. Часть 5 — L2TP. Платформа Windows.
Как подключиться удаленно по vpn. Настройка L2TP
Рассмотрев подробно в предыдущей статье, как поднять серверную часть VPN-соединения на платформе Windows, мы переходим к настройке клиентского подключения L2TP. Для начала хотелось бы вспомнить на всякий случай такое L2TP. Присоединяйтесь к нашей группе в ВК! Времонте! Умная мастерская!
L2TP — протокол туннелирования второго уровня, более совершенный протокол, созданный на базе PPTP и L2F (протокол эстафетной передачи второго уровня от Cisco). К его достоинствам относится гораздо более высокая безопасность за счет шифрования средствами протокола IPSec и объединения канала данных и канала управления в одну UDP сессию. Для работы данного протокола необходимо иметь 2 открытых порта во вне. Это правила для порта 1701 (TCP) и 500 (UDP). Как создать такие правила в штатном фаерволе, если вы напрямую подключены к интернету, можно почитать тут. Если вы находитесь за маршрутизатором, то можно почитать тут.
Но мы же все это уже читали-знаем. Поэтому примемся за настройку клиентского VPN соединения под L2TP.
Как подключиться удаленно по vpn. Настройка L2TP
Для начала необходимо зайти в Панель управления, в Win7 для этого стоит всего лишь нажать Пуск. и перейти в Панель управления. Далее в зависимости от настроек отображения мы либо нажимаем Сеть и Интернет -> Центр управления сетями и общим доступом -> Настройка нового подключения или сети. Либо же переходим сразу в Центр управления сетями и общим доступом -> Настройка нового подключения или сети.
Как подключиться удаленно по vpn. Настройка L2TP
Появится мастер Установка и подключения и сети. Выбираем Подключение к рабочему месту
Как подключиться удаленно по vpn. Настройка L2TP
Далее выбираем Использовать мое подключение к интернету (VPN)
Как подключиться удаленно по vpn. Настройка L2TP
Далее вводим Интернет-адрес (адрес сервера) и название создаваемого подключения, лучше всего Разрешить использование этого подключение другими пользователями. Также на всякий случай советую поставить галочку на Не подключаться сейчас. Т.к мы будем настраивать параметры VPN вручную.
Как подключиться удаленно по vpn. Настройка L2TP
Подключение у нас успешно создалось. Теперь необходим его настроить. Переходим в раздел Изменение параметров адаптеров с окна Центр управления сетями и общим доступом.
Как подключиться удаленно по vpn. Настройка L2TP
Там ищем наше VPN подключение и с помощью ПКМ переходим в пункт меню Свойства. На вкладке Безопасность в тип VPN выбираем L2TP.
Как подключиться удаленно по vpn. Настройка L2TP
Так как технология работы протокола L2TP является технологией с повышенной безопасностью за счет работы шифрования через протокол IPSec, мы можем выставить на сервере сами, либо столкнуться с тем, что там уже выставлен Предварительный ключ для проверки подлинности. Его вводить следует в разделе Безопасность -> Дополнительные параметры -> Ввести ключ в поле Для проверки подлинности использовать предварительный ключ
Как подключиться удаленно по vpn. Настройка L2TP
Далее переходим во вкладку Сеть. Двойным кликом открываем параметры Протокол Интернета версии 4 -> Дополнительно -> Вкладка Параметры IP -> Убираем галочку Использовать основной шлюз в удаленной сети, дабы наш интернет после установки vpn-соединения не стал работать через удаленный маршрутизатор, либо вообще не пропал.
Как подключиться удаленно по vpn. Настройка L2TP
По сути это и все. На стороне клиента по протоколу L2TP больше настраивать и нечего. Если у Вас вдруг приключится при соединении ошибка 789, не расстраивайтесь, это ребята с офиса мелкомягких опять немного забыли доделать, то что делали. Но решение Ошибка 789 l2tp вы можете прочитать тут.
Присоединяйтесь к нашей группе в ВК! Времонте! Умная мастерская!
Поделиться ссылкой:
Реализация L2TP/IPsec VPN сервера стандартными средствами Windows 7/8 для подключения Windows/iOS/Android систем к внутренней сети
Недавно я озадачился поиском возможности создания шифрованного подключения к своему офису средствами L2TP/IPsec протокола. Задача усложнилась, когда, кроме Windows клиентов, появилась потребность пускать в сеть еще iOS и Android клиентов. В Интернете множество статей как проделать это на Windows Server с «внешним» IP-адресом. Но я хочу предложить сообществу реализацию стандартными средствами Windows 7/8 шифрованного L2TP тоннеля в локальную сеть с популярной, на мой взгляд, топологией.
Структура сети
Маленькая сеть из десяти Windows 7/8 клиентов с выделенным сервером на базе Windows Server 2008 Std (на него пока не обращаем внимание) и с доступом в Интернет средствами простого роутера. Для VPN сервера я выделил одну из машин на Windows 7 Pro. Далее будет описано два способа поднятия L2TP/IPsec сервера на Windows 7 Pro.
Windows 7 L2TP/IPsec AES 128-bit с использованием сертификата
- Первым делом нужно сгенерировать сертификат компьютера и пользователя на VPN сервере.
Для этого воспользуемся бесплатной утилитой Simple Authority.
Устанавливаем, запускаем. Сразу программа предложит сгенерировать сертификат компьютера. Заполняем поля. Хаотично клацаем по клавиатуре, тем самым генерируя случайное число. Вводим пароль (лучше длиннее 8-ми символов, иначе могут быть глюки) Сертификат компьютера (CA) готов. Если пользователь не добавлен, то добавляем. Справа заполняем необходимые поля. Жмем «New certificate». После этого на рабочем столе появится два файла сертификатов с расширениями *.cer и *.p12 - Установим сертификаты на наш VPN сервер.
Для этого делаем Win+R(«Выполнить»), вводим mmc, жмем Enter. Откроется Консоль.
Добавляем оснастку (Файл->Добавить удалить оснастку). Выбираем «Сертификаты». Жмем «Добавить». Выбираем пункт «учетной записи компьютера» при вопросе, где будет управлять эта оснастка сертификатами. Далее, «Личное»->Правой кнопкой мыши->Все задачи->Импорт->Выбираем файл сертификата с расширением *.p12 (именно его). Вводим пароль, ставим галку «Пометить этот ключ как экспортируемый». В категории «Личное» появится два сертификата. Тот сертификат, у которого поля «Кому выдан» и «Кем выдан» одинаковые, нужно перенести в категорию «Доверенные корневые центры сертификации». - Нужно убедиться в отсутствии параметра ProhibitIpSec=1.
Идем в реестр (Win+R -> regedit). Ищем ветку HKLM\System\CurrentControlSet\Services\Rasman\Parameters. Если вышеуказанного параметра там нет или он равен 0, то все хорошо. Иначе, исправляем это. - Создаем входящее подключение.
Идем в «Центр управления сетями и общим доступом»->«Изменение параметров адаптеров». Жмем клавишу Alt, сверху выпадет меню. Далее Файл->«Новое входящее подключение». Выбираем нужных пользователей, ставим галку «Через интернет… VPN». Выбираем нужные протоколы. На TCP/IP v4->Ставим галку «Разрешить доступ к локальной сети» и обязательно устанавливаем пул адресов, выдаваемых клиенту. После создания подключения обязательно откройте его свойства и во вкладке «Пользователи» проверьте наличие галки «Пользователи должны держать пароли в секрете» - Проверим, открылись ли нужные нам порты. Открываем командную строку и командой netstat /a /p udp смотрим, открылись ли UDP 1701 UDP 4500 UDP 500.
Создание клиентского подключения для этого способа
- Установим сертификаты на нашего VPN клиента. Копируем с VPN сервера сертификаты, которые создали ранее. Устанавливаем их точно таким же способом, как и на сервере.
- Создадим VPN подключение. Идем в «Центр управления сетями и общим доступом» -> Настройка нового подключения или сети. Далее «Подключение к рабочему месту» -> Использовать мое подключение к Интернет. Вводим адрес нашего VPN сервера. Подключение готово.
- Настроим наше VPN подключение. Имя пользователя и пароль, думаю, вопросов не вызывают. Во вкладке «Безопасность» выбираем тип VPN L2TP/IPsec и в дополнительных параметрах выбираем «Использовать сертификат» и убираем галку «Проверить атрибуты имени сертификата». Шифрование ставим Обязательное и «Разрешаем следующие протоколы» проверки подлинности: MS-CHAPv2. Далее вкладка Сеть -> TCP/IPv4 свойства -> Дополнительно -> Убираем галку «Использовать основной шлюз».
- Если не поднимается подключение. То на Windows 8 стоит попробовать такой ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\IPsec создаем параметр DWORD с именем AssumeUDPEncapsulationContextOnSendRule и значением 2. Для Windows 7/Vista этот параметр нужно создать в HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent
Итоги этого способа
Для Windows клиентов это хороший способ реализации L2TP/IPsec, но когда дело доходит до iOS клиентов, задача расширяется. Проблема в том, что iOS могут подключаться по L2TP только с шифрованием по Заранее подготовленной ключевой фразе (Preshared Key), а по сертификату могут подключаться только к Cisco VPN. Второй способ расскажет, как решить эту проблему.
- Вернемся к чудо-параметру ProhibitIpSec=1. Идем в Реестр, в ветку HKLM\System\CurrentControlSet\Services\Rasman\Parameters и создаем там параметр типа DWORD с именем ProhibitIpSec и присваиваем ему значение 1. После этого необходимо или перезагрузить ОС, или перезапустить службы RemoteAccess и RasMan. Этим действием мы отключаем локальную политику IP безопасности по-умолчанию для IPsec.
- Создадим теперь новую политику безопасности IP. «Выполнить» -> mmc -> Добавить оснастку -> «Управление политикой IP-безопасности» и выбираем Локальный компьютер. Далее «Создать политику IP-безопасности». «Далее» -> Вводим имя -> Галку «Использовать правило по умолчанию» не ставим -> Далее -> «Изменить свойства» галку оставляем. Откроются свойства новой политики. Здесь убрать галку «использовать мастер» и «Добавить». Теперь по порядку о каждой вкладке:
- Список IP-фильтров. Вводим имя, снимаем галку «Исп. мастер», «Добавить». Адрес источника: «Любой». Адрес назначения: «Любой». Вкладка протокол. В выпадающем списке выбираем UDP. Пакеты ИЗ этого порта: 1701. Пакеты НА любой порт. ОК, ОК и возвращаемся в список IP-фильтров. Здесь вновь созданный фильтр отмечаем «точкой» и переходим на следующую вкладку.
- Действие фильтра. По аналогии. Имя, галку про мастер, «Добавить». Выбираем «Согласовать безопасность», «Добавить». Выбираем «Шифрование и обеспечение целостности. (ESP)». ОК. Смотрим, чтоб не стояло никаких галок ниже списка методов безопасности. ОК. Аналогично отмечаем точкой и переходим к очередной вкладке.
- Тип подключения. Все сетевые подключения.
- Параметры туннеля. Это правило не указывает туннель IPsec.
- Методы проверки подлинности. Не обращаем пока внимание на Kerberos, жмем «Добавить». Выбираем «Использовать данную строку (Предварительный ключ)» и вводим наш заранее придуманный Ключ. ОК. И теперь можно удалить Kerberos. В этой же вкладке можно добавить проверку подлинности по Сертификату. Процесс генерации и установки Сертификата описан в первом способе.
- Обязательно нужно назначить новую политику IP-безопасности. Правой кнопкой мыши по ней, «Назначить».
Создание клиентского подключения для этого способа
- Отличается от создания клиентского подключения для первого способа только Дополнительными свойствами L2TP/IPsec, где вместо использования сертификата выбираем «… использовать общий ключ».
Доступ к VPN серверу
На роутере я использовал службу Dynamic DNS, т.к. внешний IP динамический. Для возможности подключения необходимо сделать проброс портов (Port Forwarding) для портов UDP 1701 UDP 4500 UDP 500 к нашему VPN серверу. Мы подобрались к финишному этапу, где нас ждет еще одна немаленькая проблема. Дело в том, что Windows 7/8 имеет ограничение на максимальное количество подключений для удаленного доступа, и оно равно 1. Такого ограничения нет на Windows Server. Тут и напрашивается фраза «А на фига ты тут всё это написал?!» Есть два способа решения. Первый: один хороший человек провел немаленькую работу и написал патч, снимающий ограничение для Windows 7 Pro SP1. Здесь подробно описан сам процесс поиска решения и присутствует патч. Второй: использовать Windows Server. Но использовать не так, как написано в большинстве статей, где говорится о назначении серверу Роли «Маршрутизации и удаленного доступа» и использовании специальных оснасток, в которых чёрт ногу сломит, а использовать вышеописанный метод. Он отлично работает на Windows Server без назначения специальных ролей и без ограничений на число подключений.
Переработанный материал:
Подключение к VPN-серверу L2TP/IPSec из Windows – Keenetic
NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный «белый» IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме «Прямой доступ». При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.
Встроенный VPN-сервер L2TP/IPSec можно настроить по инструкции «VPN-сервер L2TP/IPsec».
Рассмотрим пример создания VPN-подключения L2TP/IPSec на компьютере с ОС Windows 10.
Нажмите правой кнопкой мыши на значок «Пуск», выберите раздел «Сетевые подключения» и на появившемся экране VPN.
Выберите пункт «Добавить VPN-подключение».
В настройках подключения в качестве поставщика услуг VPN выберите «Windows (встроенные)». Задайте имя подключения, например «Домашняя сеть». Введите доменное имя или IP-адрес Keenetic, в нашем примере myhomerouter.keenetic.link. Выберите тип VPN — «L2TP/IPSec с предварительным ключом». Введите общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic, потом имя пользователя (которому разрешено подключение по VPN) и его пароль. Нажмите кнопку «Сохранить».
Для установления соединения нажмите кнопку «Подключиться».
Соединение установлено.
NOTE: Важно! В операционной системе Windows существует проблема, когда невозможно установить одновременно более одного соединения к внешнему VPN-серверу L2TP/IPSec с компьютеров под управлением Windows, использующих один выход в Интернет (один внешний IP-адрес). Подробную информацию вы найдете в инструкции «Установка нескольких одновременных L2TP/IPSec-подключений».
Примечание
Возможность подключиться из Интернет к имеющему частный «серый» IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с «белым» IP настроен проброс портов на «серый» адрес Keenetic’а. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант — проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.
Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера «белый» адрес и выдавать Keenetic’у «серый». Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.
Другой пример такого маршрутизатора это оптический GPON-роутер или терминал от Ростелеком или МГТС, установленный на входе в квартиру. В таких устройствах проброс настраивается в их веб-интерфейсе.
Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним «белым» IP-адресом такого маршрутизатора. Он пробросит его на «серый» адр
Настраиваем VPN связь посредством l2tp + ipsec c использованием в качестве сервера OpenVZ контейнер
Здравствуйте,
не так давно командой OpenVZ было выпущено новое ядро с поддержкой ipsec внутри контейнера. Давно хотелось отказаться от стороннего ПО на локальной Windows машине и использовать возможность настройки защищенного VPN канала силами самой системы. В качестве сервера будем использовать Debian 7 контейнер на OpenVZ. В качестве клиента — стандартный VPN клиент Windows. В качестве авторизации — авторизацию по PSK ( по ключу ).
Прежде всего активируем возможность net_admin для контейнера и дадим контейнеру ppp устройство для работы, как указано в подсказке от разработчиков:
vzctl set CTID --capability net_admin:on --save
vzctl set CTID --devices c:108:0:rw --save
vzctl restart CTID
Внутри контейнера создаем ppp устройство и выставляет корректные права доступа к нему:
mknod /dev/ppp c 108 0
chmod 600 /dev/ppp
загрузим на HN нужные модули через modprobe:
modprobe ppp_async
modprobe pppol2tp
modprobe xfrm4_mode_transport
modprobe xfrm4_mode_tunnel
modprobe xfrm_ipcomp
modprobe esp4
Внутри контейнера в качестве ipsec демона будем использовать openswan, а в качестве l2tp сервера стандартный xl2tpd из репозиториев:
apt-get install openswan xl2tpd
Далее настроим форвардинг и остальную часть сетевой подсистемы для корректной работы с NAT и VPN:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source <main IP of server>
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
for each in /proc/sys/net/ipv4/conf/*; do echo 0 > $each/accept_redirects; echo 0 > $each/send_redirects; done
Приступим к настройке ipsec демона.
Приведем конфиг /etc/ipsec.conf к виду:
config setup
protostack=netkey
nat_traversal=yes # Enables NAT traversal
virtual_private=%v4:192.168.1.0/8 # with this option you can add your local IP in NAT
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret # Auth with PSK ( preshared key )
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
salifetime=10m
type=tunnel # type of l2tp connection ( tunnel / transport )
left=11.11.11.11 # left - is internet IP of l2tp server
leftprotoport=17/1701
right=%any # right - is IP of client ( if client NATed , that IP of client is IP in NAT )
rightprotoport=17/1701
Наиболее важные моменты конфига прокомментированы. Также следует не забыть составить конфиг именно таким образом, как указано выше, то есть с сохранением пробелов в начале строки у тех команд, у которых они указаны, так как отступ команды демоном привязывается к блоку, определяемому безотступным «conn».
Теперь зададим авторизацию для работы с ipsec. Существует два метода авторизации — по сертификату и по ключу ( PSK ). В данном примере мы настроим авторизацию по ключу в файле /etc/ipsec.secrets:
11.11.11.11 %any: PSK "mykey"
11.11.11.11 — это внешний IP адрес нашего сервера
%any — это встроенная переменная обозначающая любой IP адрес
PSK — метод авторизации ( может быть RSA )
«mykey» — секретный ключ для авторизации, который потребуется передать клиенту.
Теперь пришло время настроить l2tp сервер. Он будет работать через протокол ppp.
Приводим конфиг /etc/xl2tpd/xl2tpd.conf к виду:
[global]
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets # auth file with pars login/password for l2tp auth
[lns default]
ip range = 10.0.0.2-10.0.0.200 # range of IP's , that give to clients when auth is good
local ip = 10.0.0.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = no # debug mode
pppoptfile = /etc/ppp/options.xl2tpd # this is ppp options config file
length bit = yes
exclusive = no
assign ip = yes
name = VPN-Server
В данном конфиге, опять же, все критичные места прокомментированы, а остальные интуитивно понятны. При настройке сервера комментарии из конфига требуется убрать.
Настраиваем файл авторизации l2tp — /etc/xl2tpd/l2tp-secrets. В файле позволим подключаться всем, так как у нас l2tp работает через ppp, то и использовать будем именно ppp авторизацию.
# Secrets for authenticating l2tp tunnels
# us them secret
# * marko blah3
# zeus marko blah
# * * interop
* * * # let all , because we use auth with ppp
Далее настраиваем конфиг ppp, который запрашивается нашим l2tp демоном ( /etc/ppp/options.xl2tpd ):
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
В случае возникновения проблем со связью или с подключением для дебага работы l2tp просто раскомментируем «#debug» и смотрим в системный лог /var/log/syslog на наличие ошибок.
Настраиваем авторизацию в ppp ( /etc/ppp/chap-secrets ):
# Secrets for authentication using CHAP
# client server secret IP addresses
test2 l2tpd test *
Логин — test2
Сервер, для которого валидна эта пара для авторизации — l2tpd
Пароль — test
Подключаться с этим паролем могут клиенты со всех IP адресов — *
Рестартим оба сервиса:
/etc/init.d/ipsec restart
/etc/init.d/xl2tpd restart
Теперь проверим корректность работы модулей самого ipsec внутри контейнера:
ipsec verify
выводом работоспособного ipsec будет нечто подобное:
root@XXX:~# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.37-g955aaafb-dirty/K2.6.32-042stab084.10 (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [OK]
[OK]
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support
Теперь настроим в Windows 7 клиент для подключения к нашему VPN l2tp с шифрованием по ipsec.
Для начала создадим новое VPN подключение
Всё стандартно
Пуск — Панель управления — Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к интернету ( VPN )
Далее указываем IP адрес или FQDN имя l2tp сервера
Подсказка
Вписываем логин и пароль от l2tp
Подсказка
Не подключаемся и закрываем настройку подключения
Подсказка
Идем в свойства нашего нового подключения и проверяем еще раз корректность ввода адреса сервера ( вкладка Общие )
Подсказка
Во вкладке «Безопасность» выставляем верный тип нашего соединения ( l2tp over ipsec ) и разрешаем авторизацию по протоколу CHAP. В дополнительных настройках l2tp выбираем авторизацию по ключу и вписываем наш PSK от IPsec
Подсказка
Настройка окончена. Теперь Вы можете использовать новое подключение к VPN.
Спасибо за внимание
Ваганов Николай, старший системный администратор FastVPS LLC
UPD На данный момент, ядро, указанное в статье, является нестабильным и на наших нодах не установлено. Думаю, в течение пары недель разработчики ядра включат его в стабильную ветку.
Настраиваем VPN сервер L2TP и IPsec на Mikrotik RouterOS / Прямые руки / Howitmake.ru
В этот раз я расскажу как настроить VPN L2TP сервер, т.к. он обеспечивает более высокий уровень безопасности но и более требователен к ресурсам системы, а также поддерживается не всем оборудованием, например, только самыми последними версиями Andriod на 100%, по крайней мере, мне не попадались современные телефоны которые его не поддерживают. Основной плюс данной стемы это:
а) Использование тоннеля передачи данных (тунелирование).
б) Защита передаваемых данных с помощью IPsec.
Чтобы было понятнее, мы создадим отдельную подсеть для клиентов подключающихся через L2TP, а оттуда уже настроим маршрутизацию туда куда нам нужно.
Для начала создадим диапазон IP адресов для подключающихся клиентов, мы не будем выдавать каждому пользователю персональный IP адрес, а автоматизируем этот процесс и будем выдавать из пула свободных адресов.
Переходим в IP -> Pool мы создадим пул на 20 IP адресов. Назовем его l2tp_pool чтобы было понятно за что он отвечает.
В результате у нас есть 2 пула адресов, первый используется, у меня, для локальной сети, а второй для L2TP клиентов.
Создаем профиль нашего L2TP сервера
переходим в PPP -> Profiles
В настройках профиля указываем:
Имя профиля: L2TP-server ( чтобы было понятно за что он отвечает)
Local adrdress: 192.168.10.1 начало диапазона IP адресов
Remote Address: l2tp_pool указываем название пула адресов который мы создали ранее
Change TCP MSS: yes
(Все что менялось выделено синим!)
Переходим в вкладку Protocols
Use MPLS: yes
Use Compressiaon: no
Use VJ Compressiaon: no
Use Encription: yes
(Все что менялось выделено синим!)
Переходим во вкладку Limits
Там все оставляем по умолчанию и в строке Only one оставляем default
Создаем пользователя, переходим в PPP -> Secrets
Где указываем имя пользователя, пароль, указываем сервис к которому этот пользователь будет применен L2TP, а также профиль с которым будет работать наш L2TP сервер, мы его создали ранее (L2TP-server)
нам остается включить L2TP сервер, переходим в PPP -> Interface нажимаем кнопку L2TP server
Все сто менялось выделено красным!
Где:
Включаем сам сервер L2TP (ставим галку)
Включаем профиль, который мы создали ранее L2TP-server
Убираем все протоколы, оставляем mschap2 (остальные протоколы уже давно и успешно взломаны!)
Ставим галку Use IPsec
Придумываем IPsec Secret: по сути это парольная фраза, которая едина для всех.
Нам с остается создать правила для фаерволла, чтобы мы могли достучаться до нашего L2TP сервера.
Переходим в IP -> Firewall -> Filter Rules
необходимо создать разрешающее правило для следующих портов и протоколов:
Протокол: UDP
Разрешаем порты: 1701,500,4500
В качестве In.Interface указываем тот что подключен к интернет
Также добавляем правило разрешающее ipcec
протокол: ipsec-esp
В качестве In.Interface указываем тот что подключен к интернет
Почти все готово, но если мы подключимся к нашему L2TP серверу, то не сможем выйти в интернет т.к. не создано разрешающее правило, переходим во вкладку NAT
Создаем новое правило
Chain: snat (т.к. NAT это у нас источник пакетов)
Src. Address: 192.168.10.0/24 (указываем подсеть которая у нас используется для выдачи IP адресов клиентам L2TP сервера)
Out.Inerface указываем интерфейс который у нас подключен к интернет.
переходим во вкладку Action и в строке Action указываем маскарадинг
Вот теперь все готово, нам осталось настроить VPN подключение, в Windows оно делается штатными средствами,
но есть нюанс.
Настраиваем соединение с vpn сервером
Создаем стандартное VPN подключение, в нем указываем протокол L2TP/IPsec, чтобы система не переберала все доступные протоколы, а подключалась сразу по нужному.
Указываем, разрешить следующие протоколы, ставим галку MS-CHAP v2
Нам необходимо нажать кнопку: Дополнительные параметры и там указываем парольную фразу, которую мы придумали при создании в строке IPsec Secret
Вот теперь точно все, подключаемся и пользуемся.
Дополнение
Если есть необходимость изменить настройки шифрования, то нам необходимо перейти в IP -> IPsec во вкладку Proposals и там выставить необходимые виды шифрования
Также в этом разделе можно добавлять свои ключи или сгенерировать, хотя я не готов гарантировать что роутер сможет обеспечить высокий уровень энтропии при генерации ключей, так что генерировать лучше на чем-то другом, а сюда их уже импортировать
В общем данный роутер, позволяет настроить систему довольно гибко исходя из ваших задач.
В процессе использования также выплыл один баг. Если вы подключены по L2TP то при попытке подключиться к маршрутизатору через Winbox система пишет что не правильный логин/пароль, а вот при подключении через PPTP такой проблемы не наблюдается. Как эту тему побороть, я пока не выяснил, если разберусь обязательно отпишусь.
О том что еще можно настроить на MikroTik
Как настроить VPN на роутере: интернет без ограничений | Роутеры (маршрутизаторы) | Блог
Интернет, наполненный духом свободы, становится все более и более контролируемым — провайдеры блокируют все подряд на свое усмотрение, поисковые системы следят за каждым вашим шагом, да и злоумышленники не дремлют. Неудивительно, что многие задумываются о том, чтобы обойти ограничения, вернувшись во времена «свободного Интернета». И VPN — один из таких способов.
Что такое VPN и зачем он нужен
VPN (Virtual Private Network, виртуальная частная сеть) — технология, позволяющая организовать локальную сеть поверх другой сети (чаще всего интернета). Чтобы пояснить, приведем такой пример. Допустим, вы военнослужащий срочной службы и хотите написать письмо девушке. Вы не собираетесь выдавать каких-либо секретов, но вам наверняка будет неприятно, что вашу переписку будут читать военные цензоры. Поэтому вы идете к прапорщику Семенову и договариваетесь с ним, что он будет отправлять ваши письма с городского почтового ящика. Семенов предлагает также, чтобы девушка писала ответы на адрес его городской квартиры, а он будет носить эти письма вам. Таким образом, прапорщик организовал виртуальную частную почту поверх обычной почты.
VPN-сервисы делают то же самое, подменяя ваш IP-адрес адресом своего сервера, зачастую расположенного в другой стране. Трафик между вами и VPN-сервером зашифрован, поэтому никто, даже ваш провайдер, не сможет определить, на какие сайты вы ходили и что там делали. Минус такой схемы в том, что бесплатные VPN-сервисы не отличаются высокой скоростью, да и уровень предоставляемой ими конфиденциальности зачастую сомнителен. А надежные и высокоскоростные VPN-сервисы требуют хоть и небольшой, но регулярной оплаты — в среднем, 2-5 долларов в месяц. Ну, так ведь и прапорщик Семенов вряд ли будет носить чужие письма «за спасибо».
Зачем подключать роутер к VPN
Подключить компьютер к VPN несложно. Вам не нужно разбираться, «как все устроено», достаточно скачать с сайта провайдера VPN-сервиса специальную утилиту, запустить ее, ввести полученные при регистрации логин/пароль — и все. Но при этом «свободный Интернет» будет только на этом компьютере. Все остальные устройства — пусть даже и подключенные к тому же роутеру — будут по-прежнему «под колпаком». Можно, конечно, установить ту же утилиту на все остальные компьютеры, а на смартфоны — аналогичные мобильные приложения (которые тоже можно скачать с сайта провайдера сервиса). Но это слишком хлопотно, намного удобнее подключить через VPN сам роутер. Правда, тут уже потребуется немного разобраться.
Во-первых, не всякий роутер в принципе может работать VPN-клиентом. Если настроить подключение не удается, то вполне возможно, что прошивка вашего роутера просто не позволяет подключаться к VPN-серверу поверх обычного интернета. В этом случае можно воспользоваться альтернативной прошивкой для роутеров DD-wrt или Tomato, но это потребует определенных знаний и навыков.
Во-вторых, многие, способные подключаться к VPN, роутеры предлагают небольшой выбор протоколов для подключения (OpenVPN, PPTP, L2TP и т.д.), а иногда выбора нет вообще и доступный протокол только один. Если вы подсоединяетесь к определенному VPN-серверу, убедитесь, что у него найдется хотя бы один общий протокол с вашим роутером.
Как подключить роутер к VPN
Зайдите в веб-интерфейс роутера, как это описано в руководстве по эксплуатации (обычно он находится по адресу 192.168.0.1 или 192.168.1.1). Если в меню найдется раздел «VPN-клиент», воспользоваться следует именно им — ваш роутер подготовлен для работы с VPN, и никаких проблем не предвидится.
Если такого раздела нет, попробуйте создать новое WAN-подключение. Для этого надо найти пункт меню «WAN» или «Internet». Иногда этот пункт расположен в корневом меню, иногда — в разделах «Connections», «Network» или «Settings». На открывшейся странице следует создать новое подключение и выбрать необходимый протокол.
Если вариантов выбора больше одного (и VPN-сервер, и роутер имеют несколько общих протоколов), то имейте в виду, что OpenVPN считается более безопасным, но он довольно сильно нагружает процессор роутера и может снижать скорость соединения.
При выборе PPTP и L2TP вам потребуется ввести данные, полученные от VPN-сервиса при регистрации: адрес сервера, пароль и логин. Иногда также требуется ввести IP-адреса DNS-серверов. Также следует задать получение IP-адреса от сервера (Dynamic IP).
Поищите на сайте VPN-сервиса описание настроек роутеров — даже если вашей модели там нет, посмотрите какие именно параметры требуется ввести.
При выборе OpenVPN вам может потребоваться загрузить конфигурационный файл с расширением .ovpn — он содержит настройки, относящиеся к конкретному серверу. Этот файл также можно загрузить с сайта VPN-сервиса.
Сохраните настройки и дождитесь подключения к WAN (возможно, потребуется перезагрузка роутера). Если подключения не происходит, попробуйте отключить в настройках роутера IPv6, найти опцию VPN Passthrough и убедиться, что она включена или отключить NAT для клиентов.
Как настроить VPN через L2TP для Windows 7 – Наши инструкции
1. Нажмите Пуск и выберите Панель управления.
2. В верхнем правом углу выберите пункт «Мелкие значки». Далее нажмите «Центр управления сетями и общим доступом».
3. Нажмите «Настройка нового подключения или сети».
4. Выберите «Подключение к рабочему месту», нажмите «Далее».
5. Если на компьютере ранее были настроены VPN-подключения, появится следующиее окно, в котором надо выбрать «Нет, создать новое подключение» и нажать «Далее». Если VPN-подключений не было, переходите к пункту 6.
6. Выберите «Использовать мое подключение к Интернету (VPN)».
7. В строке «Интернет-адрес» введите адрес сервера, в строке «Имя местоназначения» нужно ввести произвольное название подключения (например, Office). Отметьте пункт «Не подключаться сейчас, только выполнить установку для подключения в будущем». Нажмите «Далее».
8. Введите логин и пароль. Если необходимо, отметьте пункты «Отображать вводимые значки» и «Запомнить этот пароль». Нажмите «Создать».
9. Выберите «Подключиться сейчас», далее нажмите «Закрыть».
10. В окне «Центр управления сетями и общим доступом» выберите «Изменение параметров адаптера».
11. Нажимаем правой кнопкой мыши на пункт «Office», в открывшемся меню выберите «Свойства».
12. Выберите закладку «Безопасность», в строке «Тип VPN» отмечает «L2TP IPsec VPN», в строке «Шифрование данных» выбираем «необязательное (подключиться даже без шифрования)».
12. Нажмите «Дополнительные параметры»
13. В поле «Ключ» введите ключ проверки подлинности (pre-shared key) и нажмите кнопку ОК.
14. Нажмите «Ок», на этом настройка подключения закончена.
15. Кликните 2 раза по иконке подключения и нажмите «Подключить»
Подключение к VPN-шлюзу с использованием протокола L2TP / IPsec VPN
В этом документе описывается, как подключиться к VPN-реле.
Сервер VPN-шлюза с использованием VPN-клиента L2TP / IPsec, который
входит в состав операционной системы.
L2TP / IPsec VPN-клиент встроен в Windows, Mac, iOS
и Android. Настроить проще, чем
используя OpenVPN. L2TP / IPsec
Перед попыткой использования OpenVPN рекомендуется использовать VPN. Однако,
некоторые сети или брандмауэры блокируют пакеты L2TP / IPsec.Если
L2TP / IPsec не работает, попробуйте OpenVPN.
Параметры подключения для L2TP / IPsec VPN
Вы можете быстро настроить свой L2TP / IPsec VPN-клиент,
используя следующие параметры, если вы уже знали, как
установить.
Выберите свою ОС
VPN в Windows, пошаговое руководство (Использование L2TP / IPsec VPN)
Вот инструкция, как подключиться к VPN Gate
Общедоступный сервер ретрансляции VPN с использованием VPN-клиента L2TP / IPsec, который
встроен в Windows XP, 7, 8, 10, RT, Server 2003, 2008 и
2012 г.
-
SoftEther VPN-клиент
рекомендуется для Windows.
Конфигурации клиента L2TP / IPsec сложнее, чем
SoftEther VPN-клиент.
Если вы используете Windows, использование SoftEther VPN Client
рекомендуется, потому что его очень легко настроить и
стабильный. SoftEther VPN-клиент может отображать список
в настоящее время запущены серверы VPN Gate на программном обеспечении
экран.
В этой инструкции мы используем экраны Windows 7. Windows XP
и Windows 8 похожи, но есть небольшое количество
изменений.
1. Начальные настройки (только один раз в первый раз)
Щелкните правой кнопкой мыши значок сети в правом нижнем углу
Экран Windows и нажмите «Открыть сеть и общий доступ.
Центр ».
Нажмите «Настроить новое соединение или сеть»
в «Центре общего доступа к сети».
Выбрать «Подключиться к рабочему месту» .
Выберите «Использовать мое подключение к Интернету (VPN)»
.
Откройте список VPN-серверов
и выберите VPN-сервер, к которому вы хотите подключиться.
Скопируйте имя хоста DDNS (идентификатор заканчивается на «.opengw.net »
) или IP-адрес (цифры как xxx.xxx.xxx.xxx) и вставьте его в
«Интернет-адрес» поле на
мастер настройки.
- Обычно имя хоста DDNS (идентификатор заканчивается на
«.opengw.net») рекомендуется указывать. DDNS
имя хоста можно продолжать использовать, даже если
соответствующий IP-адрес имени хоста DDNS будет
изменение в будущем. Однако в некоторых странах или регионах
возможно, вы не сможете использовать имя хоста DDNS.Если ты проиграешь
чтобы указать имя хоста DDNS, попробуйте IP-адрес (цифры как
xxx.xxx.xxx.xxx) вместо этого.
После вставки «Интернет-адреса» проверьте
«Не подключайтесь сейчас; просто настройте, чтобы я мог подключиться позже»
флажок в нижней части экрана обязательно.
Если появляется экран запроса имени пользователя и пароля,
введите «vpn» (3 буквы) в оба имени пользователя
и поле пароля.Вы должны проверить «Помните это
пароль «.
Когда появится сообщение «Соединение готово к использованию»,
нажмите кнопку «Закрыть» . Не нажимайте
Кнопка «Подключиться сейчас».
Перейдите в «Центр управления сетями и общим доступом» и щелкните
«Изменить настройки адаптера» .
Отображаются текущие настройки подключения VPN.Щелкните правой кнопкой мыши значок, созданный на предыдущем шаге, и
нажмите «Свойства» .
На экране свойств переключитесь на
«Безопасность» таб. (В Windows XP переключитесь на
Вкладка «Сеть».) Выберите «Протокол туннелирования уровня 2.
с IPsec (L2TP / IPSec) « на » Тип
Выпадающий список VPN «.
Далее нажмите «Дополнительные настройки»
кнопка.(В Windows XP нажмите «Настройки IPsec» на
Вкладка «Безопасность».)
Появится следующий экран. Нажмите «Использовать предварительный доступ»
ключ для аутентификации »и введите« vpn »(3 буквы) на
Поле «Ключ».
После завершения вышеуказанной конфигурации нажмите «ОК»
дважды нажмите кнопку, чтобы закрыть экран свойств VPN.
настройка подключения.
2.Подключитесь к VPN-серверу
Дважды щелкните созданный параметр VPN-подключения,
появится экран ниже.
Поля «Имя пользователя» и «Пароль» должны быть заполнены.
автоматически, если вы включите параметры сохранения пароля в
предыдущие шаги. Если нет, введите «vpn» на обоих
Поля «Имя пользователя» и «Пароль».
Нажмите кнопку «Подключить», чтобы начать подключение к VPN.
попытки.
Пока VPN пытается установить, следующие
экран отображает статусы. В случае ошибки подтвердите свой
в настройках убедитесь, что тип VPN — «L2TP / IPsec»,
и предварительный общий ключ указан правильно.
Если соединение VPN установлено успешно, VPN
значок подключения будет указан на экране, который появится
когда вы щелкаете значок сети в правом нижнем углу
Экран Windows.Статус значка VPN-подключения должен
быть «Подключено» .
Кстати, вы можете инициировать VPN-соединение, просто
щелкнув этот значок VPN с этого момента.
3. Интернет через ретрансляцию VPN
Пока установлен VPN, все коммуникации к
Интернет будет ретранслироваться через VPN-сервер. Вы можете проверить
это с помощью «tracert 8.8.8.8 « команда на
Командная строка Windows.
Как показано на рисунке выше, если путь пакета проходит через
«10.211.254.254», теперь ваше общение передается через один
публичных VPN-серверов VPN Gate.
Вы также можете посетить главную страницу VPN-шлюза
чтобы увидеть ваш текущий глобальный IP-адрес. Вы можете увидеть свой
страна-источник или регион были изменены на другие, если вы
подключаются к VPN-серверу, который находится за границей
страна.
Наслаждайтесь YouTube, Facebook или Twitter, используя VPN
соединение установлено.
Facebook, Twitter и Gmail используют зашифрованный HTTPS (SSL)
протоколы связи. Независимо от VPN или не-VPN, нет
можно прослушивать эти зашифрованные сообщения.
VPN на Mac, пошаговое руководство (Использование L2TP / IPsec VPN)
Вот инструкция, как подключиться к VPN Gate
Общедоступный сервер ретрансляции VPN с использованием VPN-клиента L2TP / IPsec, который
встроена в Mac OS X.
По этой инструкции все скриншоты сделаны на Mac
OS X Mountain Lion. Другие версии Mac OS X похожи
должны быть настроены, однако на
UI.
Эти снимки экрана относятся к английской версии Mac OS X. Если
вы используете другой язык, вы все равно можете легко настроить его,
обращаясь к следующим инструкциям.
1. Начальные настройки (только один раз в первый раз)
Щелкните значок сети в правом верхнем углу на Mac.
экран.Нажмите «Открыть сетевые настройки …»
в меню.
Нажмите кнопку «+» в сети
экран конфигурации.
Выберите «VPN» как «Интерфейс»
, «L2TP через IPsec» как «Тип VPN»
и нажмите кнопку «Создать» .
Будет создана новая конфигурация L2TP VPN, и
появится экран конфигурации.
На этом экране вы должны указать имя хоста или IP
адрес назначения VPN Gate Public VPN Relay Server.
Откройте список VPN-серверов
страницу и щелкните один сервер ретрансляции VPN, который вы хотите использовать.
Скопируйте имя хоста DDNS (идентификатор заканчивается на «.opengw.net »
) или IP-адрес (цифры как xxx.xxx.xxx.xxx) и вставьте его в
«Адрес сервера» поле на
экран конфигурации.
- Обычно имя хоста DDNS (идентификатор заканчивается на
«.opengw.net») рекомендуется указывать. DDNS
имя хоста можно продолжать использовать, даже если
соответствующий IP-адрес имени хоста DDNS будет
изменение в будущем. Однако в некоторых странах или регионах
возможно, вы не сможете использовать имя хоста DDNS.Если ты проиграешь
чтобы указать имя хоста DDNS, попробуйте IP-адрес (цифры как
xxx.xxx.xxx.xxx) вместо этого.
После того, как вы указали «Адрес сервера»
, введите «vpn» (3 буквы) в «Имя учетной записи»
поле, которое находится рядом с полем «Адрес сервера».
Затем нажмите «Настройки аутентификации …»
кнопка.
Появится экран аутентификации.Вход «впн»
(3 буквы) в поле «Пароль» .
Укажите «vpn» (3 буквы) также на
«Общий секрет» поле. После ввода
их, нажмите кнопку «ОК» .
После возврата к предыдущему экрану проверьте
«Показать статус VPN в строке меню» и щелкните
«Продвинутый …»Кнопка .
Появятся расширенные настройки. Проверьте
«Отправлять весь трафик через VPN-соединение» и нажать
кнопку «ОК» .
На экране настроек VPN-подключения щелкните значок
Кнопка «Подключить» для запуска VPN-соединения.
2.Запустите VPN-соединение
Вы можете запустить новое VPN-соединение, нажав
«Подключить» кнопка в любой момент. Вы также можете
инициировать VPN-соединение, щелкнув значок VPN на
строка меню.
После того, как VPN-соединение будет установлено, VPN
экран настройки подключения станет таким, как показано ниже.
«Статус» будет «Подключено» . Ваш личный
IP-адрес в VPN и время подключения будут
отображается на экране.
3. Интернет через ретрансляцию VPN
Пока установлен VPN, все коммуникации к
Интернет будет ретранслироваться через VPN-сервер.
Вы можете посетить главную страницу VPN Gate, чтобы увидеть
ваш текущий глобальный IP-адрес. Вы можете увидеть свой источник
страна или регион были изменены на другие, если вы
подключение к серверу VPN, который находится за границей
страна.
Наслаждайтесь YouTube, Facebook или Twitter, используя VPN
соединение установлено.
Facebook, Twitter и Gmail используют зашифрованный HTTPS (SSL)
протоколы связи. Независимо от VPN или не-VPN, нет
можно прослушивать эти зашифрованные сообщения.
VPN на iPhone / iPad, пошаговое руководство (Использование
L2TP / IPsec VPN)
Вот инструкция, как подключиться к VPN Gate
Общедоступный сервер ретрансляции VPN с использованием VPN-клиента L2TP / IPsec, который
встроен в iPhone / iPad.
По этой инструкции все скриншоты сделаны на iOS.
6. Другие версии iOS настраиваются аналогично,
однако пользовательский интерфейс может немного отличаться.
Эти скриншоты сделаны в английской версии iOS. если ты
использовать другой язык, вы все равно можете легко настроить его,
обращаясь к следующим инструкциям.
1. Начальные настройки (только один раз в первый раз)
На главном экране iOS запустите «Настройки»
заявление.
Откройте «VPN» в «General» ,
и коснитесь «Добавить конфигурацию VPN …» .
Будет создана новая настройка подключения L2TP VPN, и
появится экран конфигурации.
На этом экране вы должны указать имя хоста или IP
адрес назначения VPN Gate Public VPN Relay Server.
Откройте список VPN-серверов
страницу и щелкните один сервер ретрансляции VPN, который вы хотите использовать.
Скопируйте имя хоста DDNS (идентификатор заканчивается на «.opengw.net»
) или IP-адрес (цифры как xxx.xxx.xxx.xxx) и вставьте его в
поле «Сервер» в конфигурации
экран.
- Обычно имя хоста DDNS (идентификатор заканчивается на
«.opengw.net») рекомендуется указывать. DDNS
имя хоста можно продолжать использовать, даже если
соответствующий IP-адрес имени хоста DDNS будет
изменение в будущем.Однако в некоторых странах или регионах
возможно, вы не сможете использовать имя хоста DDNS. Если ты проиграешь
чтобы указать имя хоста DDNS, попробуйте IP-адрес (цифры как
xxx.xxx.xxx.xxx) вместо этого.
После того, как вы укажете поле «Сервер» ,
Вам необходимо ввести «vpn» (3 буквы) в «Account»
, «Пароль» и «Секрет»
поля. После ввода нажмите «Сохранить» .
2. Подключите VPN
Вы можете запустить VPN-соединение, используя созданный VPN.
настройка подключения в любое время.
Нажмите кнопку «ВЫКЛ.» , чтобы запустить VPN.
подключение.
Пока VPN установлен, вы можете видеть статус и
время подключения на экране состояния. Ваш частный IP-адрес
в VPN тоже отображается.IP-адрес «Подключиться к»
сообщает «1.0.0.1», но в этом нет ничего необычного.
3. Интернет через ретрансляцию VPN
Пока установлен VPN, все коммуникации к
Интернет будет ретранслироваться через VPN-сервер.
Вы можете посетить главную страницу VPN Gate, чтобы увидеть
ваш текущий глобальный IP-адрес. Вы можете увидеть свой источник
страна или регион были изменены на другие, если вы
подключение к серверу VPN, который находится за границей
страна.
iOS отображает индикатор «VPN» на
верхняя панель экрана, пока установлен VPN.
Наслаждайтесь YouTube, Facebook или Twitter, используя VPN
соединение установлено.
Facebook, Twitter и Gmail используют зашифрованный HTTPS (SSL)
протоколы связи. Независимо от VPN или не-VPN, нет
можно прослушивать эти зашифрованные сообщения.
VPN на Android: пошаговое руководство (Использование L2TP / IPsec VPN)
Вот инструкция, как подключиться к VPN Gate
Общедоступный сервер ретрансляции VPN с использованием VPN-клиента L2TP / IPsec, который
встроен в Android.
По этой инструкции сделаны все скриншоты
Android 4.x. Другие версии Android 4.x похожи на
настроен, однако пользовательский интерфейс может незначительно отличаться.
Некоторые сторонние производители настраивают экраны конфигурации
Android.
Эти скриншоты сделаны в английской версии Android iOS. Если
вы используете другой язык, вы все равно можете легко настроить его,
обращаясь к следующим инструкциям.
1. Начальные настройки (только один раз в первый раз)
Запустите приложение «Настройки» на
Android.
В категории «Беспроводная связь и сети» откройте
«Подробнее …» и нажмите «VPN» .
Нажмите кнопку «Добавить профиль VPN», чтобы создать новую VPN.
настройка подключения.
Появится новый экран редактирования настроек VPN-подключения.Введите строку в поле «Имя»
(например, «vpn») и выберите «L2TP / IPSec PSK»
в поле «Тип» .
На этом экране вы должны указать имя хоста или IP
адрес назначения VPN Gate Public VPN Relay Server.
Откройте список VPN-серверов
страницу и щелкните один сервер ретрансляции VPN, который вы хотите использовать.
Скопируйте имя хоста DDNS (идентификатор заканчивается на «.opengw.net »
) или IP-адрес (цифры как xxx.xxx.xxx.xxx) и вставьте его в
«Адрес сервера» поле на
экран конфигурации.
- Обычно имя хоста DDNS (идентификатор заканчивается на
«.opengw.net») рекомендуется указывать. DDNS
имя хоста можно продолжать использовать, даже если
соответствующий IP-адрес имени хоста DDNS будет
изменение в будущем. Однако в некоторых странах или регионах
возможно, вы не сможете использовать имя хоста DDNS.Если ты проиграешь
чтобы указать имя хоста DDNS, попробуйте IP-адрес (цифры как
xxx.xxx.xxx.xxx) вместо этого.
Прокрутите экран конфигурации вниз и коснитесь
При необходимости установите флажок «Показать дополнительные параметры» .
Укажите «vpn» (3 буквы) на
Поле «Общий ключ IPSec».
Укажите «0.0,0.0 / 0 « (9 букв) на
«Маршруты экспедирования» поле. Убедись в том, что
вы правильно ввели поле «Маршруты пересылки». Если не,
вы не можете общаться через VPN.
После того, как все введено, нажмите «Сохранить»
и сохраните настройку VPN-подключения.
2. Подключите VPN
Вы можете запустить VPN-соединение, используя созданный VPN.
настройка подключения в любое время.Откройте VPN-соединение
список настроек и коснитесь параметра, вы увидите следующее
экран.
При первом использовании необходимо ввести
«Имя пользователя» и «Пароль» полей.
Укажите «vpn» (3 буквы) на обоих
«Имя пользователя» и «Пароль» полей,
и отметьте «Сохранить информацию об учетной записи» .
Нажмите «Подключиться» , чтобы запустить VPN.
подключение.
После того, как VPN-соединение будет установлено,
укажите строку «Подключено» будет
отображается рядом с настройкой VPN-подключения, а статус
область индикации Android покажет «VPN активирован»
сообщение. Вы можете нажать на сообщение, чтобы увидеть текущий статус
VPN-соединения.
3.Наслаждайтесь Интернетом через ретрансляцию VPN
Пока установлен VPN, все коммуникации к
Интернет будет ретранслироваться через VPN-сервер.
Вы можете посетить главную страницу VPN Gate, чтобы увидеть
ваш текущий глобальный IP-адрес. Вы можете увидеть свой источник
страна или регион были изменены на другие, если вы
подключение к серверу VPN, который находится за границей
страна.
Наслаждайтесь YouTube, Facebook или Twitter, используя VPN
соединение установлено.
Facebook, Twitter и Gmail используют зашифрованный HTTPS (SSL)
протоколы связи. Независимо от VPN или не-VPN, нет
можно прослушивать эти зашифрованные сообщения.
Есть ли ошибки при использовании L2TP / IPsec VPN?
- Имя пользователя, пароль и общий ключ — все «vpn»
(3 буквы). В частности, убедитесь, что вы ввели
предварительный общий ключ правильно. - Mac OS X и Android требуют специальных настроек для
сделать так, чтобы сервер VPN ретранслировал весь трафик.Подтвердите
выше инструкции еще раз. - Убедитесь, что имя хоста назначения или IP
адрес правильный, просматриваю VPN
Страница списка серверов. - В некоторых странах или регионах с указанием DDNS
Имя хоста (.opengw.net) может не работать. В таком
среды, укажите IP-адрес напрямую вместо
Имя хоста DDNS. - Ваш локальный брандмауэр может фильтровать любой L2TP / IPsec
пакеты.В такой сети нельзя использовать L2TP. если ты
используйте Windows, попробуйте использовать
SoftEther VPN-клиент. Mac, iOS или Android, попробуйте
Используя OpenVPN.
.
Настройка VPN-сервера L2TP / IPsec на SoftEther VPN-сервере
По умолчанию функция IPsec VPN-сервера отключена. Вы можете легко включить его, выполнив следующие действия.
Руководство по настройке
Конфигурация VPN-сервера очень проста.
Запустить диспетчер сервера VPN
Запустите SoftEther VPN Server Manager (который работает в Windows, но может подключаться к удаленному SoftEther VPN-серверу, работающему в Linux, Mac OS X или другой UNIX). В диспетчере серверов вы можете увидеть кнопку «Настройка L2TP / IPsec».Щелкните по нему.
Главное окно диспетчера серверов VPN
Появится следующий экран. На этом экране можно включить / выключить каждую функцию сервера IPsec.
Экран настроек IPsec / L2TP / EtherIP / L2TPv3
Значения каждой опции следующие:
- Функция сервера L2TP (L2TP через IPsec)
Эта функция предназначена для приема VPN-подключений от iPhone, iPad, Android и других смартфонов, а также встроенного VPN-клиента L2TP / IPsec в Windows или Mac OS X.Включите его, если вы хотите поддерживать одно из этих устройств в качестве VPN-клиента. - Функция сервера L2TP (Raw L2TP без шифрования)
Некоторые специально настроенные маршрутизаторы или клиентские устройства VPN имеют только протокол L2TP без шифрования IPsec. Чтобы поддерживать такое странное устройство, вы должны его включить. - EtherIP / L2TPv3 через IPsec Функция сервера
Если вы хотите создать VPN-соединение типа «сеть-сеть» (удаленный мост Ethernet уровня 2), включите EtherIP / L2TPv3 через IPsec.Вы должны добавить определение устройства на стороне края в список. - Общий ключ IPsec
Общий ключ IPsec иногда называют «PSK» или «Секретным». По умолчанию это строка «vpn». Однако рекомендуется его изменить. Вы должны сообщить последний ключ всем пользователям VPN.
Как включить и настроить IPsec с помощью vpncmd
Если вы не можете использовать графический интерфейс VPN Server Manager для Windows, вы также можете использовать vpncmd для активации и настройки функции IPsec VPN-сервера с помощью команды IPSecEnable. Чтобы узнать, как это сделать в vpncmd, запустите «IPsecEnable?» в командной строке vpncmd.
Каким образом пользователь L2TP / IPsec VPN должен указывать свое имя пользователя для входа в систему? (со стандартным паролем)
Основная сумма; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN-сервером с помощью функции IPsec / L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.
Например, предположим, что SoftEther VPN-сервер имеет два виртуальных концентратора: «HUB1» и «HUB2» .И есть пользователь «yas» в «HUB1» и «jiro» в «HUB2» .
В этом случае укажите имя виртуального концентратора назначения после имени пользователя с добавлением символа ‘@’ , например «yas @ HUB1» или «jiro @ HUB2» . Обратите внимание, что и имя пользователя, и имя хаба не чувствительны к регистру.
Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настройки IPsec. Если имя целевого виртуального концентратора в имени пользователя для попытки входа в систему опущено, то предполагается, что виртуальный концентратор по умолчанию назначен пользователем.
Например, если виртуальный концентратор по умолчанию — «HUB2» , пользователь «jiro» на HUB2 может войти в систему только с помощью «jiro» . «@ HUB2» можно не указывать.
Каким образом пользователь L2TP / IPsec VPN должен указывать свое имя пользователя для входа в систему? (с аутентификацией домена RADIUS ИЛИ NT)
Основная сумма; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN-сервером с помощью функции IPsec / L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.
Например, предположим, что SoftEther VPN-сервер имеет два виртуальных концентратора: «HUB1» и «HUB2» . И есть пользователь «yas» в «HUB1» и «jiro» в «HUB2» .
В этом случае укажите имя виртуального концентратора назначения перед именем пользователя с добавлением символа ‘\’ , например «HUB1 \ yas» или «HUB2 \ jiro » . Обратите внимание, что и имя пользователя, и имя хаба не чувствительны к регистру.
Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настройки IPsec. Если имя целевого виртуального концентратора в имени пользователя для попытки входа в систему опущено, то предполагается, что виртуальный концентратор по умолчанию назначен пользователем.
Например, если виртуальный концентратор по умолчанию — «HUB2» , пользователь «jiro» на HUB2 может войти в систему только с помощью «jiro» . «HUB2 \» можно не указывать.
Аутентификация пользователя с функцией L2TP / IPsec VPN
Вы должны создать пользовательский объект до того, как пользователь попытается подключиться к VPN-соединению с помощью функции L2TP / IPsec.Вы не можете использовать проверку подлинности сертификата для функции L2TP / IPsec VPN на текущей версии SoftEther VPN Server.
Конфигурация для EtherIP / L2TPv3
EtherIP и L2TPv3 предназначены для приема маршрутизаторов VPN для создания сетей VPN типа «сеть-сеть». Вы можете нажать кнопку «Подробные настройки EtherIP / L2TPv3» на экране конфигурации, чтобы добавить запись клиент-устройство в список. В записи клиентского устройства в списке строка идентификатора ISAKMP (IKE) Phase 1 и соответствующие учетные данные (имя пользователя и пароль для пользователя, который был зарегистрирован в целевом виртуальном концентраторе.)
Вы можете указать звездочку (‘*’) в качестве символа подстановки в имени пользователя в записи. Такая запись будет применяться для любых попыток входа в систему через маршрутизатор клиента VPN с удаленной стороны.
Подробные настройки сервера EtherIP / L2TPv3
Примечание
Отключите любую функцию IPsec / L2TP на сервере, которая может конфликтовать с функцией IPsec / L2TP сервера SoftEther VPN. Если порты UDP (500, 4500 и 1701) конфликтуют с другими программами, связь IPsec не будет работать должным образом.
Например, отключите службу «Маршрутизация и удаленный доступ» в Windows Server.
Если вы включите функцию IPsec / L2TP на SoftEther VPN Server, функция IPsec / L2TP в Windows будет временно отключена.
Назначение IP-адресов для пользователей L2TP, вошедших в систему
В функции L2TP IP-адрес VPN-клиента должен автоматически назначаться DHCP-сервером в сегменте виртуального концентратора назначения.
Следовательно, у вас должен быть хотя бы один работающий DHCP-сервер в целевом сегменте L2, к которому L2TP-клиент пытается войти.
IP-адрес будет арендован у DHCP-сервера, а IP-адрес будет назначен в сеансе L2TP-клиента VPN. Шлюз по умолчанию, маска подсети, DNS-адрес и WINS-адрес также будут применены к L2TP-клиенту VPN. Так что, если DHCP-сервера нет, вход в систему не будет успешным.
Вы можете использовать любой DHCP-сервер, который уже существует в вашей локальной сети. Вы можете использовать функцию виртуального DHCP-сервера SecureNAT, которая реализована на SoftEther VPN-сервере, если у вас нет DHCP-серверов в локальной сети.
Как пройти через NAT / брандмауэр?
Если ваш SoftEther VPN-сервер находится за NAT или брандмауэром, вы должны открыть UDP-порт 500 и 4500 . На NAT нужно передать UDP 500 и 4500 на VPN-сервер. Если существуют какие-либо фильтры пакетов или брандмауэры, откройте порты UDP 500 и 4500 .
.