v16

Создание подключения в Windows 10

Перед настройкой VPN-подключения, перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Также установите корневой сертификат NGFW на устройство пользователя. Скачать сертификат можно одним из способов:

  • В личном кабинете, введя логин/пароль пользователя:

  • В разделе Сервисы -> Сертификаты:

Не рекомендуем использовать для VPN-подключений кириллические логины.

Создание VPN-подключения в Windows 10

1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

Для PPTP

  • Имя подключения - название создаваемого подключения;

  • Имя или адрес сервера - адрес VPN-сервера;

  • Тип VPN - протокол PPTP;

  • Тип данных для входа - имя пользователя и пароль;

  • Имя пользователя - имя пользователя, которому разрешено подключение по VPN;

  • Пароль - пароль пользователя.

При настройке подключения по VPN из сети интернет в свойствах VPN-подключения нужно указать следующие параметры:

  • Перейдите в Настройки параметров адаптера;

  • Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

  • Перейдите во вкладку Безопасность и установите:

    • Шифрование данных - обязательное (отключиться, если нет шифрования);

    • Протокол расширенной проверки подлинности (EAP) - Microsoft защищенный пароль (EAP MSCHAPV2).

Для L2TP/IPsec с общим ключом

Важно: L2TP IPsec клиенты, находящиеся за одним NAT'ом, могут испытывать проблемы подключения если их более одного. Решить проблему может помочь инструкция. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPsec.

  • Имя подключения - название создаваемого подключения;

  • Имя или адрес сервера - адрес VPN-сервера;

  • Тип VPN - протокол L2TP/IPsec с общим ключом;

  • Общий ключ - значение строки PSK в разделе Пользователи -> VPN-подключение -> Основное -> Подключение по L2TP/IPsec;

  • Тип данных для входа - имя пользователя и пароль;

  • Имя пользователя - имя пользователя, которому разрешено подключение по VPN;

  • Пароль - пароль пользователя.

При настройке подключения по VPN из сети интернет в свойствах VPN-подключения нужно указать следующие параметры:

  • Перейдите в Настройки параметров адаптера;

  • Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

  • Перейдите во вкладку Безопасность и установите:

    • Шифрование данных - обязательное (отключиться, если нет шифрования);

    • Протокол расширенной проверки подлинности (EAP) - Microsoft защищенный пароль (EAP MSCHAPV2).

Если создается VPN-подключение к NGFW через проброс портов, рекомендуем выполнить следующие действия:

  1. Откройте Редактор реестра;

  2. Перейдите в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent и создайте DWORD-параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

  3. Перезагрузите Windows.

Возможные неполадки

  1. Неправильно указан логин или пароль пользователя. Часто при повторном соединении предлагается указать домен. Старайтесь создавать для учетных записей цифро-буквенные пароли, желательно, на латинице. Если есть сомнения в этом пункте, то временно установите логин и пароль пользователю "user" и "123456".

  2. Чтобы пакеты пошли через VPN-туннель, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удаленной сети в разделе Настройка параметров адаптера -> Правой кнопкой мыши по подключению -> Свойства -> Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную.

  3. Подключение происходит через DNAT, т.е. внешний интерфейс Ideco NGFW не имеет "белого" IP-адреса, а необходимые для работы порты (500 и 4500) "проброшены" на внешний интерфейс устройства, расположенного перед Ideco NGFW и имеющего "белый" IP-адрес. В данном случае VPN-подключение либо вообще не будет устанавливаться, либо будут периодические обрывы. Решение - исключить устройство перед Ideco NGFW и указать на внешнем интерфейсе Ideco NGFW "белый" IP-адрес, к которому в итоге и будут осуществляться L2TP/IPsec-подключения. Либо используйте протокол SSTP - его проще опубликовать с помощью проброса портов.

  4. Если в OC Windows 10 повторно подключиться по L2TP, но при этом использовать невалидный ключ PSK (введя его в дополнительных параметрах), подключение все равно будет установлено успешно. Это связано с особенностями работы ОС.

Убедитесь, что локальная сеть (или адрес на сетевой карте) на удаленной машине не пересекается с локальной сетью организации. Если пересекается, то доступа к сети организации не будет (трафик по таблице маршрутизации пойдет в физический интерфейс, а не в VPN). Адресацию необходимо менять.

Для SSTP

  • Имя подключения - название создаваемого подключения;

  • Имя или адрес сервера - адрес VPN-сервера в формате адрес_VPN_сервера:порт;

  • Тип VPN - протокол SSTP;

  • Тип данных для входа - имя пользователя и пароль;

  • Имя пользователя - имя пользователя, которому разрешено подключение по VPN;

  • Пароль - пароль пользователя.

Для IKEv2

  • Имя подключения - название создаваемого подключения;

  • Имя или адрес сервера - адрес VPN-сервера;

  • Тип VPN - протокол IKEv2;

  • Тип данных для входа - имя пользователя и пароль;

  • Имя пользователя - имя пользователя, которому разрешено подключение по VPN;

  • Пароль - пароль пользователя.

При настройке подключения по VPN из сети интернет в свойствах VPN-подключения нужно указать следующие параметры:

  • Перейдите в Настройки параметров адаптера;

  • Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

  • Перейдите во вкладку Безопасность и установите:

    • Шифрование данных - обязательное (отключиться, если нет шифрования);

    • Протокол расширенной проверки подлинности (EAP) - Microsoft защищенный пароль (EAP MSCHAPV2).

4. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

5. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить:

Ошибки работы VPN-подключений

Если VPN-подключение по протоколам IPSeс в Windows автоматически разрывается через 7 часов 45 минут и при подключении по IKEv2 возникает "Ошибка сопоставления групповой политики" или ошибка с кодом "13868"

Для восстановления связи подойдут следующие действия:

1. Переподключите соединение. Оно восстановится, но через 7 часов 45 минут вновь будет автоматически разорвано. Если требуется, чтобы подключение не разрывалось автоматически, то выполните действия из следующего пункта.

2. Внесите изменения в реестр:

  • Откройте Редактор реестра;

  • Перейдите по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters;

  • Нажмите правой кнопкой мыши по параметру с именем NegotiateDH2048_AES256 и нажмите Изменить;

  • В строке Значение укажите значение 1:

  • Нажмите OK;

  • Перезагрузите Windows.

    Если параметра с именем NegotiateDH2048_AES256 нет, то создайте его. Для этого:

  • Нажмите правой кнопкой мыши по свободному месту реестра в Parameters и выберите Создать -> DWORD:

  • Задайте имя NegotiateDH2048_AES256;

  • Нажмите правой кнопкой мыши по созданному файлу и выберите Изменить:

  • В строке Значение укажите значение 1:

  • Нажмите OK.

3. Перезагрузите Windows.

Если не хотите, чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco NGFW, то в свойствах VPN-подключения Сеть/Протокол интернета TCP/IP версии 4/Дополнительно уберите галочку Использовать основной шлюз в удаленной сети. Далее, чтобы получить доступ к компьютерам за Ideco NGFW, вручную пропишите маршруты.

PreviousАвтоматическое создание подключенийNextСоздание подключения в Windows 7

Last updated