IPsec

IPSec: Настройка TING для IKEv2 EAP-MSCHAPv2

Данный режим IPsec предполагает использование ISAKMP/IKEv2 для установления ассоциаций безопасности (security association).

На фазе IKE_SA_INIT, IKEv2 использует X.509 PKI и сертификаты для нужд аутентификации сервера. Следовательно, нам потребуется подготовить нужные X.509 сертификаты.

Аутентификация VPN-клиентов проводится с использованием EAP-MSCHAPv2.

Безопасность трафика обеспечивается за счет протокола ESP (Encapsulating Security Payload) в туннельном режиме.

В операционной системе Windows данный тип VPN называется IKEv2.

В нашем примере VPN-клиент подключается к устройству TING со стороны WAN-адаптера, который имеет IP-адрес 192.168.13.240.

В VPN-туннеле будет использована IP-сеть 172.16.0.0/24.

Операции с сертификатами

Создание серверного сертификата

Зайдите в раздел Система ‣ Доверенные сертификаты ‣ Сертификаты и нажмите на кнопку Добавить или импортировать сертификат.

Заполните следующие поля:

Метод

Создать внутренний сертификат

Описательное имя

IKEv2 certificate

Центр сертификации

TING CA

Тип

Сертификат сервера

Длина ключа (бит)

2048

Алгоритм дайджеста

SHA256

Время существования (д)

365

В поле Стандартное имя указываем либо полное DNS-имя нашего устройства TING (которое резолвится в IP-адрес, присвоенный WAN-адаптеру устройства TING), либо IP-адрес WAN-адаптера устройства TING.

При необходимости добавляем поле/поля Альтернативные Имена со значениями IP-адрес или DNS-имя. Эти значения могут использоваться у VPN-клиента в поле Имя компьютера или IP-адрес назначения в свойствах VPN-подключения.

Остальные поля могут быть заполнены как прочерк.

Нажимаем кнопку Сохранить.

Примечание

Позднее мы используем данный серверный сертификат в настройках IPSec на устройстве TING.

Экспорт сертификата издательства

Зайдите в раздел Система ‣ Доверенные сертификаты ‣ Полномочия.

В строке TING CA нажмите на иконку экспорта сертификата. Нажимаем Сохранить как и сохраняем файл ting-ca.crt к себе на компьютер.

Примечание

Позднее мы импортируем издательский сертификат ting-ca.crt на VPN-клиенте.

Настройка IPSeс на сервере

Зайдите в раздел VPN ‣ IPsec ‣ Мобильные клиенты.

Установите флаг напротив настройки Включен.

В поле Аутентификация пользователей выберите Локальная база.

В поле Пул виртуальных адресов установите флаг Предоставление виртуальных IP-адресов клиентам.

Укажите сеть, IP-адреса которой будут выдаваться VPN-клиентам, например 172.16.0.0/24.

Нажимаем кнопку Сохранить.

После этого вверху страницы появится кнопка Создайте Phase1, на которую нужно кликнуть.

Настройки Phase1-записи

Мы оказываемся в разделе VPN ‣ IPsec ‣ Настройки туннеля, где должны задать следующие настройки:

Общая информация

Метод подключения

по умолчанию

Версия Обмена ключами

V2

Протокол Интернета

IPv4

Интерфейс

WAN
Предложения Phase 1 (Аутентификация)

Метод аутентификации

EAP-MSCHAPV2

Мой идентификатор

Уникальное имя, 192.168.13.240

Мой Сертификат

IKEv2 certificate

В текстбоксе под полем Мой идентификатор, пропишите имя, соответствующее стандартному имени, указанному при генерации серверного сертификата (DNS-имя или IP-адрес). В нашем случае это IP-адрес 192.168.13.240.

В поле Мой Сертификат, выберите ранее сгенерированный серверный сертификат, в нашем примере IKEv2 certificate.

Предложения Phase 1 (Алгоритмы)

Алгоритмы шифрования

AES, 256

Алгоритм хеша

SHA256

Группа ключей DH

2 (2014 bit)

Время существования

28800

Нажмите Сохранить.

Настройки Phase2-записи

Кликните на кнопку Показать Phase2-записи 0, далее кликните на иконку +, ближайшую к надписи PFS.

Общая информация

Режим

Tunnel IPv4
Локальная Сеть

Тип

Подсеть LAN
Предложение Phase 2 (Обмен SA/Ключами)

Протокол

ESP

Алгоритмы шифрования

AES, автоматически

Алгоритмы хеша

SHA1

Группа ключей PFS

off

Время существования

3600

Нажмите Сохранить.

Установите флаг Включить IPsec и нажмите на кнопку Сохранить.

Зайдите в раздел VPN ‣ IPsec ‣ Предварительно выданные ключи.

Кликните на иконку +.

В появившемся окне введите логин и пароль пользователя:

Идентификатор

user

Предварительно выданный ключ

123

Тип

EAP

Нажмите Сохранить.

После осуществления всех манипуляций, настройки IPSec выглядят следующим образом:

../_images/ipsec_settings.png

Настройка межсетевого экрана

Зайдите в раздел Межсетевой экран ‣ Правила и создайте три правила:

  • Правило на WAN-интерфейсе, разрешающее протокол ISAKMP/IKE (UDP-порт 500)

  • Правило на WAN-интерфейсе, разрешающее протокол ESP (ID 50)

  • Правило на IPSEC-интерфейсе, разрешающее любой трафик

Правило на WAN-интерфейсе, разрешающее протокол ISAKMP/IKE (UDP-порт 500)

Действие

разрешение

Интерфейс

WAN

Версии TCP/IP

IPv4

Протокол

UDP

Диапазон портов назначения

ISAKMP

Отправитель

любой

Получатель

любой

Нажмите Сохранить.

Правило на WAN-интерфейсе, разрешающее протокол ESP (ID 50)

Действие

разрешение

Интерфейс

WAN

Версии TCP/IP

IPv4

Протокол

ESP

Отправитель

любой

Получатель

любой

Нажмите Сохранить.

Правило на IPSEC-интерфейсе, разрешающее любой трафик

Действие

разрешение

Интерфейс

WAN

Версии TCP/IP

IPv4

Протокол

любой

Отправитель

любой

Получатель

любой

Нажмите Сохранить.

Нажмите Применить изменения.

Настройка Windows-клиента

Установка оснастки для работы с сертификатами

На VPN-клиенте создайте оснастку для работы с сертификатами. Для этого, в меню Выполнить (вызывается по нажатию Win+R) наберите mmc и нажмите Enter.

В консоли MMC, выберите Файл ‣ Добавить или удалить оснастку…. Из столбца Доступные оснастки выбираем Сертификаты и нажимаем кнопку Добавить, в появившемся окне Оснастка диспетчера сертификатов выбираем Учетной записи компьютера, нажимаем Далее, Далее, ОК. Сохраните файл консоли MMC под именем certmgr.msc.

../_images/vpn_cert_snapin.png

Установка сертификата издательства

Откройте ранее добавленную оснастку certmgr.msc.

Пройдите в Сертификаты (локальный компьютер) ‣ Доверенные корневые центры сертификации ‣ Сертификаты.

Через меню Действие ‣ Все задачи ‣ Импорт, либо через контекстное меню Все задачи ‣ Импорт, импортируйте сертификат издательства ting-ca.crt, который мы ранее экспортировали из устройства TING в пункте Экспорт сертификата издательства.

Настройка VPN-соединения

Зайдите в Панель управления\\Все элементы панели управления\\Центр управления сетями и общим доступом.

Нажмите Настройка нового подключения или сети, выберите Подключение к рабочему месту, выберите Использовать мое подключение к Интернету (VPN).

В поле Интернет-адрес введите доменное имя или IP-адрес WAN-адаптера устройства TING, в нашем примере IP-адрес 192.168.13.240.

Примечание

Доменное имя или IP-адрес должны совпадать с тем, что мы указывали в сгенерированном серверном сертификате в пункте Создание серверного сертификата.

В поле Имя местоназначения введите произвольное имя создаваемого VPN-соединения, например IPSec VPN Сonnection. Установите флаг Не подключаться сейчас, ….

Зайдите в Панель управления ‣ Сеть и Интернет ‣ Сетевые подключения. Удостоверьтесь, что в свойствах соединения IPSec VPN Сonnection указаны настройки, аналогичные тем, что продемонстрированы на скриншотах:

Вкладка Общие

../_images/vpn_conn_general.png

Вкладка Параметры

../_images/vpn_conn_parameters.png

Вкладка Безопасность

../_images/vpn_conn_security.png

Вкладка Сеть

../_images/vpn_conn_network.png

Вкладка Доступ

../_images/vpn_conn_access.png

При установке подключения к VPN-серверу через соединение IPSec VPN Сonnection укажите:

Имя пользователя

user

Пароль

123

L2TP поверх IPSec

IPsec IKEv2 в туннельном режиме

IPsec: несколько подсетей в туннеле

ГОСТ-VPN