Сколько сейчас развелось туннелирующих протоколов для VPN: OpenVPN, L2TP, SSTP, PPTP, IPSec. Все по своему интересны. Чаще всего используются PPtP и L2TP+IPSec из-за того что они встроены в операционную систему Windows. Статья пишется в продолжение настройки сервера L2TP+IPSec и PPtP на MikroTik . Напомним что это настройка связки PPtP и L2TP+IPSec сервера. В отличие от Apple Microsoft не стала выпиливать PPtP из Windows 10 и других систем и с нашим сервером можно будет использовать оба протокола.
Заходим в центр управления сетями и общим доступом:
Это можно сделать как нажав левой/правой клавишей мыши по значку сети в трее так и через панель управления.
Нажимаем настройка нового подключения или сети:
Выбираем подключение к рабочему месту:
Выбираем: Использовать моё подключение к интернету (VPN)
Введём имя пользователя и пароль в поля. Можно также две галочки поставить.
После нажатия кнопки подключить начинается перебор протоколов для подключения к нашему серверу:
Подключение по умолчанию настроится с использованием PPtP:
Возвращаемся в центр управления сетями и общим доступом и щёлкаем VPN подключение:
Нажимаем свойства:
Идём на вкладку безопасность и меняем протокол на L2TP IPsec VPN:
Нажимаем кнопку дополнительные параметры и вводим предварительный ключ (IPsec secret).
Используется с давних времён, штука очень стабильная - поставил и работает, но есть масса недостатков, которые перечеркивают его достоинства и применение особенно в новых проектах.
Достоинства
Основное достоинство - есть нативные клиенты, наверное, под все ОС причем штатно. Ничего не надо устанавливать дополнительно. Однако на этом достоинства и заканчиваются.
Недостатки
- Самое главное это слабая криптография - по современным меркам никакая. Компьютер с несколькими видеокартами (GPU) сможет взломать в приемлемое время ключ шифрования.
- Нельзя делать гибких конфигураций, например, если надо чтобы часть трафика шла через VPN, а часть напрямую, то это надо настраивать вручную с помощью команды route со всеми вытекающими.
- Использование специфического протокола GRE, который не всегда открыт и очень чувствителен к NAT и прочему.
OpenVPN
Существуют две разновидности под одним названием: коммерческий OpenVPN Access Server (AS) - не путать с OpenVPN! Второй продукт - GPL т.е. свободно распространяемый.
Если квалификация системного администратора не очень высока, а надо красиво и «из коробки», то OpenVPN AS вполне применим. Там все настраивается полуавтоматически. Можно настраивать гибкие конфигурации для клиента, стойкое шифрование. Есть ещё некоторые преимущества по сравнению со свободной версией, но, на мой взгляд, не существенные.
Пользование требует оплаты, но 2 аккаунта предоставляются бесплатно:) Дома я использовал его - мне 2 подключений за глаза и настраивается легко. Для не бедной организации может и имеет смысл (увеличение стоимости владения, выход на IPO, невысокие требования к администраторам и т.д. и т.п.).
В организации я использую OpenVPN и PPTP, который оставлен для старых пользователей, тем более 2 VPN-сервиса прекрасно уживаются на одном сервере и не мешают друг другу. Настройка конечно сложнее коммерческого собрата, но один раз настроив можно только скриптом генерировать сертификаты и радоваться жизни.
Клиенты нужно качать - в ОС они не входят. Ну, наверное, в Linux входит только с помощью APT:) Для остальных ОС надо качать дополнительно. Клиенты есть родные и альтернативные (исходный код-то открытый).
Под Windows пробовал и родной и сторонний от какого-то коммерческого софта (сам клиент был свободным, кстати). Всё зависит о задачи. Родной клиент требует прав администратора для установки соединения или установки как сервиса, что кстати удобно для неподготовленного пользователя - мы так и используем. Сторонний же софт позволял поднимать соединение из-под простого юзера.
Под MacOS есть шикарный клиент tunnelblick - все очень удобно и просто. Не требует права администратора для установки соединения. Под iOS нужно ставить клиент из AppStore (бесплатный). Встраивается очень органично - появляется просто вкладочка в системных настройках VPN. Сам программа используется один раз для установки сертификата. Под Android тоже наверняка есть, но бог миловал, не настраивал.
SoftEther
И наконец самый перспективный и вроде как крутой VPN-сервер. Свободный при этом. Сайт проекта - www.softether.org
Что в нём хорошего?
Поддержка немыслимого числа протоколов в одном сервере в том числе и OpenVPN и прочих. Т.е. не надо держать зоопарк серверов для различных систем. И, как говорят, скорость работы туннелей на SoftEther существенно выше чем у других серверов.
Почему не используем?
Когда внедряли OpenVPN про него не знали. А когда узнали, то решили, что незачем ломать то, что работает. Для будущих проектов скорее всего будем использовать SoftEther.
Александр Злобин
При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт сайт обязательна!
Столкнулся с проблемой установки Cisco VPN Client на Windows 7 да еще к тому же x64,
если на Windows 7 x86 с шаманским бубном можно запустить, то на x64 все попытки будут тщетны(Cisco почти принципиально не хочет делать x64 Vpn Client).
Отправляюсь в поисковики… и видим следующие выходы из ситуации:
1. Установка AnyConnect VPN Client, который работает на x64 но в нем нет IPSec (не подходит).
2. Создать виртуальную машину Windows x86 и установить Cisco VPN Client.
3. Установить один из кучи альтернативных платных клиентов (к слову не один из них не заработал)
4. Установка Windows x86 (и возможность получить BSOD на Win7 после установки Cisco Client) :)
Все вышеперечисленные методы мягко говоря непрактичные:)
5. Установка бесплатного OpenSource клиента Shrew (к слову он не только для Windows, но и для nix систем)
Идем по пути 5:)
Приведу пример как настроить туннелирование с групповой авторизацией («Group Authentication»):
1)
Создадим новый профиль соединения (кнопка Add)
и во вкладке General в поле «Host Name or IP address» укажем адрес шлюза IPSec и порт
2)
Перейдем к вкладке «Client»
выберем force-rfc в пункте NAT traversal (всё остальное оставляем по умолчанию)
3) Перейдем к вкладке «Name Resolution» (тут все можно оставить по умолчанию, в большенстве случаев при грамотной настройке Cisco VPN Server сам вернет необходимые адреса)
4)
Перейдем к вкладке «Authentication»
Установим «Authentication method» в Mutual PSK+Xauth (используеться если метод аутентификации по IPSec Group ID или по разделенному ключу)
4.1)
Перейдем в подпункт «Local Identity», установим «Identification Type» = «Key Identifier»
и впишем IPSec group ID в поле «Key ID String»
4.2) Перейдем в подпункт «Remote Identity» установим «Identification Type» = «Any»
4.3)
Перейдем в подпункт «Credentials» и впишем наш групповой пароль (IPSec Group Password) в поле
«Pre Shared Key»
5) Вкладки: Phase 1, Phase 2 и Policy не нуждаються в настройках, оставим всё по умолчанию
6) Сохраняем настройки соединения.
7)
Нажимаем кнопку Connect
вводим свои учетные данные
Если всё хорошо в логе увидим заветную фразу «tunnel enabled»
Надеюсь моё описание пригодиться в облегчении создания туннелей на Windows x64.
