Поделиться через

Использование L2TP, SSTP и IKEv2 для настройки VPN средствами RRAS

  • Статья

Хотя в настоящее время для настройки VPN туннелей применяются аппаратные или специализированные программные средства, тем не менее ко мне часто обращаются с вопросами по настройке VPN средствами RRAS, что и привело меня к идее написать статью по реализации данного решения с помощью протоколов L2TP, SSTP и IKEv2.

1.Настройка L2TP:

 

Для работы решения необходимо наличие актуальных сертификатов для удостоверения подлинности сервера и клиента удаленного доступа.

На стороне VPN сервера или, если используется, сервера RADIUS с помощью мастера создаем политику подключения. Для аутентификации в поле EAP добавим EAP-MSCHAP v2 и Smart Card or other certificate.

 

Переходим к настройке клиента. Создаем VPN соединение, после чего заходим в его свойства. На вкладке Security в поле Type of VPN выберем Layer 2 Tunneling Protocol with IPSec. В поле Data encryption: Maximum strength encryption (disconnect if server decline) и укажем тип аутентификации в поле Authentication, в списке Use Extensible Authentication Protocol выберем Microsoft Secured password (EAP-MSCHAP v2).

 

2.Настройка SSTP:

Здесь также необходимо наличие актуального сертификата для удостоверения подлинности сервера. В консоли Routing and Remote Access Service в контекстном меню узла с именем сервера откройте вкладку Security. В пространстве SSL Certificate Binding, в поле Certificate выберите из выпадающего списка сертификат для удостоверения сервера VPN.

 

На стороне клиента необходимо обеспечить возможность проверки сертификата относительно списка отозванных сертификатов, который обычно публикуется на веб-сервере. Для тестовой среды можно отключить данное требование в реестре клиента, через создание и включение параметра NoCertRevocationCheck. Для этого можно воспользоваться скриптом, написав в текстовом документе нижеследующие строки:

 

Set k = WScript.CreateObject("WScript.Shell")

** **

k.RegWrite "HKLM\System\CurrentControlSet\Services\Sstpsvc\parameters\NoCertRevocationCheck", 1, "REG_DWORD"

 

Сохранить и поменять расширение файла на .vbs

 Далее, изменяем свойства VPN подключения клиента. Здесь, вместо адреса сервера указываем его имя, ибо необходимо, чтобы имя сервера, указанное в выданном ему сертификате совпадало с именем указанном в свойствах клиентского подключения.

 

На вкладке Security в поле Type of VPN выберем Layer 2 Tunneling Protocol with IPSec. В поле Data encryption: Maximum strength encryption (disconnect if server decline) и укажем тип аутентификации в поле Authentication, в списке Use Extensible Authentication Protocol выберем Microsoft Secured password (EAP-MSCHAP v2).

 

3.Настройка IKEv2:

Сводится к настройке подключения на клиенте. Выбираем в выпадающем списке тип подключения IKEv2. В поле Data encryption выберем Maximum strength encryption (disconnect if server decline) и укажем в поле Authentication тип аутентификации соответствующий политике удаленного доступа, в списке Use Extensible Authentication Protocol выберем Microsoft Secured password (EAP-MSCHAP v2).

 

Теоретические аспекты рассмотренных в этой статье технологий достаточно хорошо описаны и с ними можно ознакомиться в соответствующей документации. Здесь же я ставил задачу рассмотреть практическую реализацию, в помощь тем, кому актуально.