IPsec
IPSec: Настройка TING для IKEv2 EAP-MSCHAPv2
Данный режим IPsec предполагает использование ISAKMP/IKEv2 для установления ассоциаций безопасности (security association).
На фазе IKE_SA_INIT, IKEv2 использует X.509 PKI и сертификаты для нужд аутентификации сервера. Следовательно, нам потребуется подготовить нужные X.509 сертификаты.
Аутентификация VPN-клиентов проводится с использованием EAP-MSCHAPv2.
Безопасность трафика обеспечивается за счет протокола ESP (Encapsulating Security Payload) в туннельном режиме.
В операционной системе Windows данный тип VPN называется IKEv2.
В нашем примере VPN-клиент подключается к устройству TING со стороны WAN-адаптера, который имеет IP-адрес 192.168.13.240.
В VPN-туннеле будет использована IP-сеть 172.16.0.0/24.
Операции с сертификатами
Создание серверного сертификата
Зайдите в раздел Система -> Доверенные сертификаты -> Сертификаты и нажмите на кнопку Добавить или импортировать сертификат.
Заполните следующие поля:
Метод |
Создать внутренний сертификат |
Описательное имя |
IKEv2 certificate |
Центр сертификации |
TING CA |
Тип |
Сертификат сервера |
Длина ключа (бит) |
2048 |
Алгоритм дайджеста |
SHA256 |
Время существования (д) |
365 |
В поле Стандартное имя указываем либо полное DNS-имя нашего устройства TING (которое резолвится в IP-адрес, присвоенный WAN-адаптеру устройства TING), либо IP-адрес WAN-адаптера устройства TING.
При необходимости добавляем поле/поля Альтернативные Имена со значениями IP-адрес или DNS-имя. Эти значения могут использоваться у VPN-клиента в поле Имя компьютера или IP-адрес назначения в свойствах VPN-подключения.
Остальные поля могут быть заполнены как прочерк.
Нажимаем кнопку Сохранить.
Примечание
Позднее мы используем данный серверный сертификат в настройках IPSec на устройстве TING.
Экспорт сертификата издательства
Зайдите в раздел Система -> Доверенные сертификаты -> Полномочия.
В строке TING CA нажмите на иконку экспорта сертификата. Нажимаем Сохранить как и сохраняем файл ting-ca.crt к себе на компьютер.
Примечание
Позднее мы импортируем издательский сертификат ting-ca.crt на VPN-клиенте.
Настройка IPSeс на сервере
Зайдите в раздел VPN -> IPsec -> Мобильные клиенты.
Установите флаг напротив настройки Включен.
В поле Аутентификация пользователей выберите Локальная база.
В поле Пул виртуальных адресов установите флаг Предоставление виртуальных IP-адресов клиентам.
Укажите сеть, IP-адреса которой будут выдаваться VPN-клиентам, например 172.16.0.0/24.
Нажимаем кнопку Сохранить.
После этого вверху страницы появится кнопка Создайте Phase1, на которую нужно кликнуть.
Настройки Phase1-записи
Мы оказываемся в разделе VPN -> IPsec -> Настройки туннеля, где должны задать следующие настройки:
Общая информация
Метод подключения |
по умолчанию |
Версия Обмена ключами |
V2 |
Протокол Интернета |
IPv4 |
Интерфейс |
WAN |
Предложения Phase 1 (Аутентификация)
Метод аутентификации |
EAP-MSCHAPV2 |
Мой идентификатор |
Уникальное имя, 192.168.13.240 |
Мой Сертификат |
IKEv2 certificate |
В текстбоксе под полем Мой идентификатор, пропишите имя, соответствующее стандартному имени, указанному при генерации серверного сертификата (DNS-имя или IP-адрес). В нашем случае это IP-адрес 192.168.13.240.
В поле Мой Сертификат, выберите ранее сгенерированный серверный сертификат, в нашем примере IKEv2 certificate.
Предложения Phase 1 (Алгоритмы)
Алгоритмы шифрования |
AES, 256 |
Алгоритм хеша |
SHA256 |
Группа ключей DH |
2 (2014 bit) |
Время существования |
28800 |
Нажмите кнопку Сохранить.
Настройки Phase2-записи
Кликните на кнопку Показать Phase2-записи 0, далее кликните на иконку плюс, ближайшую к надписи PFS.
Общая информация
Режим |
Tunnel IPv4 |
Локальная Сеть
Тип |
Подсеть LAN |
Предложение Phase 2 (Обмен SA/Ключами)
Протокол |
ESP |
Алгоритмы шифрования |
AES, автоматически |
Алгоритмы хеша |
SHA1 |
Группа ключей PFS |
off |
Время существования |
3600 |
Нажмите кнопку Сохранить.
Установите флаг Включить IPsec и нажмите на кнопку Сохранить.
Зайдите в раздел VPN -> IPsec -> Предварительно выданные ключи.
Кликните на иконку плюс.
В появившемся окне введите логин и пароль пользователя:
Идентификатор |
user |
Предварительно выданный ключ |
123 |
Тип |
EAP |
Нажимаем Сохранить.
После осуществления всех манипуляций, настройки IPSec выглядят следующим образом:
Настройка межсетевого экрана
Зайдите в раздел Межсетевой экран -> Правила и создайте три правила:
Правило на WAN-интерфейсе, разрешающее протокол ISAKMP/IKE (UDP-порт 500)
Правило на WAN-интерфейсе, разрешающее протокол ESP (ID 50)
Правило на IPSEC-интерфейсе, разрешающее любой трафик
Правило на WAN-интерфейсе, разрешающее протокол ISAKMP/IKE (UDP-порт 500)
Действие |
разрешение |
Интерфейс |
WAN |
Версии TCP/IP |
IPv4 |
Протокол |
UDP |
Диапазон портов назначения |
ISAKMP |
Отправитель |
любой |
Получатель |
любой |
Нажмите Сохранить.
Правило на WAN-интерфейсе, разрешающее протокол ESP (ID 50)
Действие |
разрешение |
Интерфейс |
WAN |
Версии TCP/IP |
IPv4 |
Протокол |
ESP |
Отправитель |
любой |
Получатель |
любой |
Нажмите Сохранить.
Правило на IPSEC-интерфейсе, разрешающее любой трафик
Действие |
разрешение |
Интерфейс |
WAN |
Версии TCP/IP |
IPv4 |
Протокол |
любой |
Отправитель |
любой |
Получатель |
любой |
Нажмите Сохранить.
Нажмите Применить изменения.
Настройка Windows-клиента
Установка оснастки для работы с сертификатами
На VPN-клиенте создайте оснастку для работы с сертификатами. Для этого, в меню Выполнить (вызывается по нажатию Win+R) наберите mmc и нажмите Enter.
В консоли MMC, выберите Файл -> Добавить или удалить оснастку…. Из столбца Доступные оснастки выбираем Сертификаты и нажимаем кнопку Добавить, в появившемся окне Оснастка диспетчера сертификатов выбираем Учетной записи компьютера, нажимаем Далее, Далее, ОК. Присвойте сохраняемому файлу консоли MMC имя certmgr.
Установка сертификата издательства
Откройте ранее добавленную остаску certmgr.
Пройдите в Сертификаты (локальный компьютер)\Доверенные корневые центры сертификации\Сертификаты.
Через меню Действие\Все задачи\Импорт, либо через контекстное меню Все задачи\Импорт, импортируйте сертификат издательства ting-ca.crt, который мы ранее экспортировали из устройства TING в пункте Экспорт сертификата издательства.
Настройка VPN-соединения
Зайдите в Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом.
Нажмите Настройка нового подключения или сети, выберете Подключение к рабочему месту, выберете Использовать мое подключение к Интернету (VPN).
В поле Интернет-адрес введите доменное имя или IP-адрес WAN-адаптера устройства TING, в нашем примере IP-адрес 192.168.13.240.
Примечание
Доменное имя или IP-адрес должны совпадать с тем, что мы указывали в сгенерированном серверном сертификате в пункте Создание серверного сертификата.
В поле Имя местоназначения введите произвольное имя создаваемого VPN-соединения, например IPSec VPN Сonnection. Установите флаг Не подключаться сейчас, ….
Зайдите в Панель управления\Сеть и Интернет\Сетевые подключения. Удостоверьтесь, что в свойствах соединения IPSec VPN Сonnection указаны настройки, аналогичные тем, что продемонстрированы на скриншотах:
Вкладка Общие
Вкладка Параметры
Вкладка Безопасность
Вкладка Сеть
Вкладка Доступ
При установке подключения к VPN-серверу через соединение IPSec VPN Сonnection укажите:
Имя пользователя |
user |
Пароль |
123 |