Создание подключения в Windows
Инструкция актуальна для Windows 10.
Last updated
Инструкция актуальна для Windows 10.
Last updated
Перед настройкой VPN-подключения перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Для корректной передачи маршрутов клиенту убедитесь, что опция Использовать основной шлюз удаленной сети выключена. Для отключения опции перейдите в Панель управления -> Cеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> Cвойства. После этого перейдите на вкладку Cеть -> IP версии 4 (TCP/IPv4) -> Дополнительно.
Настройка Ideco NGFW:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное и установите флаг Подключение по PPTP:
Создание подключения в Windows:
1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:
2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:
3. Заполните соответствующие поля и нажмите Сохранить:
Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера;
Тип VPN - протокол PPTP;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.
4. Перейдите в Настройки параметров адаптера, нажмите на созданное подключение правой кнопкой мыши и выберите Свойства.
5. Перейдите на вкладку Безопасность и установите:
Шифрование данных - обязательное (отключиться, если нет шифрования);
Разрешить следующие протоколы - протокол Microsoft CHAP версии 2 (MS-CHAP v2).
6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:
7. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить.
Важно: L2TP IPsec клиенты, находящиеся за одним NAT, могут испытывать проблемы подключения, если их более одного. В решении проблемы поможет инструкция. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPsec.
Настройка Ideco NGFW:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.
2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:
Создание подключения в Windows:
1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:
2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:
3. Заполните соответствующие поля и нажмите Сохранить:
Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера;
Тип VPN - протокол L2TP/IPsec с общим ключом;
Общий ключ - значение строки PSK в разделе Пользователи -> VPN-подключения -> Основное -> Подключение по L2TP/IPsec;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.
4. Перейдите в Настройки параметров адаптера, нажмите на созданное подключение правой кнопкой мыши и выберите Свойства.
5. Перейдите на вкладку Безопасность и установите:
Шифрование данных - обязательное (отключиться, если нет шифрования);
Разрешить следующие протоколы - протокол Microsoft CHAP версии 2 (MS-CHAP v2).
6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:
7. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить.
Если создается VPN-подключение к NGFW через проброс портов:
1. Откройте Редактор реестра.
2. Перейдите в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent и создайте DWORD-параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.
3. Перезагрузите Windows.
Возможные неполадки
1. Неправильно указан логин или пароль пользователя. Часто при повторном соединении предлагается указать домен. Старайтесь создавать для учетных записей цифро-буквенные пароли, желательно на латинице. Если есть сомнения в этом пункте, то временно установите логин и пароль пользователю user и 123456.
2. Чтобы пакеты пошли через VPN-туннель, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удаленной сети в разделе Настройка параметров адаптера -> Правой кнопкой мыши по подключению -> Свойства -> Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо прописать вручную.
3. Подключение происходит через DNAT, т.е. внешний интерфейс Ideco NGFW не имеет "белого" IP-адреса, а необходимые для работы порты (500 и 4500) "проброшены" на внешний интерфейс устройства, расположенного перед Ideco NGFW и имеющего "белый" IP-адрес. В данном случае VPN-подключение либо вообще не будет устанавливаться, либо будут периодические обрывы. Решение - исключить устройство перед Ideco NGFW и указать на внешнем интерфейсе Ideco NGFW "белый" IP-адрес, к которому в итоге и будут осуществляться L2TP/IPsec-подключения. Либо используйте протокол SSTP - его проще опубликовать с помощью проброса портов.
4. Если в OC Windows 10 повторно подключиться по L2TP, но при этом использовать невалидный ключ PSK (введя его в дополнительных параметрах), подключение все равно будет установлено успешно. Это связано с особенностями работы ОС.
Убедитесь, что локальная сеть (или адрес на сетевой карте) на удаленной машине не пересекается с локальной сетью организации. Если пересекается, то доступа к сети организации не будет (трафик по таблице маршрутизации пойдет в физический интерфейс, а не в VPN). Адресацию необходимо менять.
Настройка Ideco NGFW:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.
2. Установите флаг Подключение по SSTP и заполните поля Домен и Порт:
3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.
Корневой сертификат потребуется для настройки подключения рабочей станции пользователя, если не был получен корневой сертификат через Let`s Encrypt. При необходимости перенесите файл сертификата на рабочую станцию. Если для VPN-подключения используется сертификат, выданный Let`s Encrypt, то установка корневого сертификата на устройство не требуется.
4. Импортируйте сертификат Ideco NGFW в Windows. Для этого выполните действия:
Откройте скачанный сертификат и нажмите Установить сертификат:
Для корректной настройки выберите расположение хранилища Локальный компьютер:
Установите сертификат в Доверенные корневые центры сертификации:
Создание подключения в Windows:
1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:
2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:
3. Заполните соответствующие поля и нажмите Сохранить:
Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера в формате адрес_VPN_сервера:порт;
Тип VPN - протокол SSTP;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.
4. Перейдите в Настройки параметров адаптера, нажмите на созданное подключение правой кнопкой мыши и выберите Свойства.
5. Перейдите на вкладку Безопасность и установите:
Шифрование данных - обязательное (отключиться, если нет шифрования);
Разрешить следующие протоколы - протокол Microsoft CHAP версии 2 (MS-CHAP v2).
6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:
7. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить.
Настройка Ideco NGFW:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.
2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:
3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.
Корневой сертификат потребуется для настройки подключения рабочей станции пользователя, если не был получен корневой сертификат через Let`s Encrypt. При необходимости перенесите файл сертификата на рабочую станцию. Если для VPN-подключения используется сертификат, выданный Let`s Encrypt, то установка корневого сертификата на устройство не требуется.
4. Импортируйте сертификат Ideco NGFW в Windows. Для этого выполните действия:
Откройте скачанный сертификат и нажмите Установить сертификат:
Для корректной настройки выберите расположение хранилища Локальный компьютер:
Установите сертификат в Доверенные корневые центры сертификации:
Создание подключения в Windows:
1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:
2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:
3. Заполните соответствующие поля и нажмите Сохранить:
Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера;
Тип VPN - протокол IKEv2;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.
4. Перейдите в Настройки параметров адаптера, нажмите на созданное подключение правой кнопкой мыши и выберите Свойства.
5. Перейдите на вкладку Безопасность и установите:
Шифрование данных - обязательное (отключиться, если нет шифрования);
Протокол расширенной проверки подлинности (EAP) - Microsoft защищенный пароль (EAP MSCHAPV2).
6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:
7. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить.
Если VPN-подключение по протоколам IPSeс в Windows автоматически разрывается через 7 часов 45 минут, для восстановления связи подойдут следующие действия:
1. Переподключите соединение. Оно восстановится, но через 7 часов 45 минут вновь будет автоматически разорвано. Если требуется, чтобы подключение не разрывалось автоматически, то выполните действия из следующего пункта.
2. Внесите изменения в реестр:
Откройте Редактор реестра;
Перейдите по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters;
Нажмите правой кнопкой мыши по параметру с именем NegotiateDH2048_AES256 и нажмите Изменить;
В строке Значение укажите значение 1:
Нажмите OK;
Перезагрузите Windows.
Если параметра с именем NegotiateDH2048_AES256 нет, то создайте его. Для этого:
Нажмите правой кнопкой мыши по свободному месту реестра в Parameters и выберите Создать -> DWORD:
Задайте имя NegotiateDH2048_AES256;
Нажмите правой кнопкой мыши по созданному файлу и выберите Изменить:
В строке Значение укажите значение 1:
Нажмите OK.
3. Перезагрузите Windows.
В Ideco NGFW также есть возможность загрузить с сервера готовые скрипты для создания VPN-подключения в ОС Windows версий 8.1 и 10. Для загрузки и запуска скриптов воспользуйтесь инструкцией.
