Настройка туннелей VPN-устройств в клиенте Windows
AlwaysOn VPN позволяет создать выделенный профиль VPN для устройства или компьютера. VPN-подключения AlwaysOn включают два типа туннелей:
- Туннель устройств подключается к указанным VPN-серверам перед входом пользователей на устройство. Сценарии подключения перед входом и управление устройствами используют туннель устройств.
- Пользовательский туннель подключается только после входа пользователя на устройство. Пользовательский туннель позволяет пользователям получать доступ к ресурсам организации через VPN-серверы.
В отличие от туннеля пользователя, который подключается только после входа пользователя на устройство или компьютер, туннель устройств позволяет VPN установить подключение до входа пользователя. Туннель устройств и пользовательский туннель работают независимо друг от друга с профилями VPN, могут быть подключены одновременно и могут использовать различные методы проверки подлинности и другие параметры конфигурации VPN в соответствии с соответствующими параметрами. Пользовательский туннель поддерживает SSTP и IKEv2, а туннель устройств поддерживает IKEv2 только без поддержки резервного размещения SSTP.
Пользовательский туннель поддерживается на присоединенных к домену устройствах, не присоединенных к домену (рабочей группе) или присоединенных к домену устройствах с идентификатором Microsoft Entra, которые позволяют использовать сценарии корпоративного и BYOD. Она доступна во всех выпусках Windows, а функции платформы доступны сторонним сторонам посредством поддержки VPN-подключаемого модуля UWP.
Туннель устройств можно настроить только на присоединенных к домену устройствах с Windows 10 Корпоративная или education версии 1709 или более поздней. Нет поддержки стороннего управления туннельом устройств. Если в системе используется только туннель устройств, можно настроить таблицу политики разрешения имен (NRPT). Если в системе используется пользовательский туннель и туннель устройства, можно использовать таблицу политики разрешения имен (NRPT) только в пользовательском туннелье.
Туннель устройств не поддерживает принудительное туннелирование. Его необходимо настроить как разделенный туннель. |
Необходимые компоненты
Необходимо включить проверку подлинности сертификата компьютера для VPN-подключений и определить корневой центр сертификации для проверки подлинности входящих VPN-подключений.
$VPNRootCertAuthority = "Common Name of trusted root certification authority" $RootCACert = (Get-ChildItem -Path cert:LocalMachine\root | Where-Object ) Set-VpnAuthProtocol -UserAuthProtocolAccepted Certificate, EAP -RootCertificateNameToAccept $RootCACert -PassThru 
Конфигурация туннеля VPN-устройств
В приведенном ниже примере XML профиля приведены рекомендации по сценариям, в которых требуются только инициированные клиентом вытягивание через туннель устройства. Фильтры трафика используются для ограничения туннеля устройства только для управления трафиком. Эта конфигурация хорошо подходит для Обновл. Windows, типичных сценариев групповой политики (GP) и обновлений Microsoft Endpoint Configuration Manager, а также vpn-подключения для первого входа без кэшированных учетных данных или сценариев сброса пароля.
Для сценариев отправки, инициированных сервером, таких как удаленное управление Windows (WinRM), удаленный GPUpdate и сценарии удаленного обновления Configuration Manager, необходимо разрешить входящий трафик в туннель устройства, поэтому фильтры трафика нельзя использовать. Если в профиле туннеля устройства включен фильтр трафика, то туннель устройств запрещает входящий трафик. Это ограничение будет удалено в будущих выпусках.
Пример профиля VPNXML
Ниже приведен пример профиля VPNXML.
vpn.contoso.com IKEv2 Certificate SplitTunnel true 10.10.0.2 32 10.10.0.3 32 10.10.0.2, 10.10.0.3 true true true В зависимости от потребностей каждого конкретного сценария развертывания другой компонент VPN, который можно настроить с помощью туннеля устройства, — это обнаружение доверенной сети.
corp.contoso.com
Развертывание и тестирование
Рекомендации по развертыванию устройства (.\Device) и профиля пользователя (.\User) см. в статье «Использование сценариев PowerShell» с поставщиком моста WMI.
Выполните следующую команду Windows PowerShell, чтобы убедиться, что вы успешно развернули профиль устройства:
Get-VpnConnection -AllUserConnection В выходных данных отображается список профилей VPN на уровне устройства, развернутых на устройстве.
Пример скрипта Windows PowerShell
Чтобы создать собственный скрипт для создания профиля, можно использовать следующий скрипт Windows PowerShell.
Param( [string]$xmlFilePath, [string]$ProfileName ) $a = Test-Path $xmlFilePath echo $a $ProfileXML = Get-Content $xmlFilePath echo $XML $ProfileNameEscaped = $ProfileName -replace ' ', '%20' $Version = 201606090004 $ProfileXML = $ProfileXML -replace '', '>' $ProfileXML = $ProfileXML -replace '"', '"' $nodeCSPURI = './Vendor/MSFT/VPNv2' $namespaceName = "root\cimv2\mdm\dmmap" $className = "MDM_VPNv2_01" $session = New-CimSession try < $newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key') $newInstance.CimInstanceProperties.Add($property) $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key') $newInstance.CimInstanceProperties.Add($property) $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property') $newInstance.CimInstanceProperties.Add($property) $session.CreateInstance($namespaceName, $newInstance) $Message = "Created $ProfileName profile." Write-Host "$Message" >catch [Exception] < $Message = "Unable to create $ProfileName profile: $_" Write-Host "$Message" exit >$Message = "Complete." Write-Host "$Message" Дополнительные ресурсы
Ниже приведены дополнительные ресурсы для поддержки развертывания VPN.
Ресурсы конфигурации VPN-клиента
Ниже приведены ресурсы конфигурации VPN-клиента.
- Создание профилей VPN в Configuration Manager
- Настройка подключений Always On VPN в клиенте Windows 10
- Параметры профиля VPN
Ресурсы шлюза сервера удаленного доступа
Ниже приведены ресурсы шлюза сервера удаленного доступа (RAS).
- Настройка RRAS с помощью сертификата проверки подлинности компьютера
- Устранение неполадок Подключение VPN IKEv2
- Настройка удаленного доступа на основе IKEv2
При использовании туннеля устройств с шлюзом Microsoft RAS необходимо настроить сервер RRAS для поддержки проверки подлинности сертификата компьютера IKEv2, включив проверку подлинности сертификата компьютера для метода проверки подлинности IKEv2 , как описано здесь. После включения этого параметра настоятельно рекомендуется использовать командлет Set-VpnAuthProtocol PowerShell вместе с необязательным параметром RootCertificateNameToAccept, чтобы убедиться, что подключения RRAS IKEv2 разрешены только для сертификатов VPN-клиента, которые цепочки с явно определенным внутренним или частным корневым центром сертификации. Кроме того, следует изменить хранилище доверенных корневых центров сертификации на сервере RRAS, чтобы убедиться, что он не содержит общедоступных центров сертификации, как описано здесь. Аналогичные методы также могут быть рассмотрены для других VPN-шлюзов.
Создание vpn туннеля
Организовать защищённый канал между сетями с возможностью обращаться напрямую на компьютеры обоих сетей, расширив таким образом локальную сеть.
Две отдельных сети с доступом в интернет:
- Центральный офис: сеть 10.0.0.0/24,
- 10.0.0.2 — сервер, подключенный к интернет, также шлюз локальной сети. В нашей связке будет выступать в роли сервера.
- 81.81.81.1 — внешний адрес того же сервера.
- teo.mynetwork.ru — внешнее dns имя этого сервера
- 10.9.0.2 — сервер, подключенный к интернет, также шлюз локальной сети. В нашей связке будет выступать в роли клиента.
- 82.82.82.2 — внешний адрес того же сервера.
- astra.mynetwork.ru — внешнее dns имя этого сервера. Это имя, как и внешний ip адрес, указаны для определённости и в настройках роли не играют.
Такой канал можно получить настроив VPN (Virtual Private Networks) туннель. Для этого существует несколько решений. Мы рассмотрим два метода создания VPN в Linux:
- VPN с помощью OpenVPN
- VPN с помощью PPP и SSH
Первый предпочтительней, так как являясь более молодым, он в то же время более надёжен и реализован для разных ОС, включая Windows.
Как создать vpn туннель
Инструкция по настройке соединения между двумя подсетями через маршрутизаторы EDR-810-VPN-2GSFP.
Для организации защищенного канала связи между двумя удаленными подсетями необходимо настроить VPN-туннель. В данной инструкции рассматривается пример построения IPsec VPN-туннеля между двумя маршрутизаторами EDR-810-VPN-2GSFP.
Рисунок 1 «Схема сети»
В таблице 1 указана адресация всей системы, согласно которой будем настраивать оборудование.
Таблица 1 «Адресация сети»
xxx.xxx.xxx.xxx – основной шлюз WAN сети зависит от построения системы или выдается провайдером связи. В примере на рисунке 1 – соединение между маршрутизатором сети А и В прямое, поэтому шлюз указывать не нужно.
Все настройки маршрутизаторов осуществляются через web-интерфейс.
По умолчанию маршрутизаторы EDR-810-VPN-2GSFP имеют следующие параметры:
IP-адрес: 192.168.127.254
Логин: admin
Пароль: moxa
В целях безопасности рекомендуется изменить данные для входа.
После внесения любых изменений в настройки маршрутизатора необходимо нажимать кнопку Apply для сохранения изменений.
1. Настройка Маршрутизатора А
1.1. Настройка LAN-интерфейса
IP-адрес и маска подсети (согласно Таблице 1) задаются в разделе Network – Interface — LAN
1.2. Настройка WAN-интерфейса
Маршрутизатор EDR-810 имеет 10 портов, каждый из которых можно назначить LAN или WAN-интерфейсом. Поэтому прежде, чем задавать адресацию на WAN-интерфейсе, нужно установить порты, которые будут относиться к WAN. Для этого необходимо поместить их в отдельную VLAN.
VLAN настройки осуществляются в разделе Layer 2 Functions — Virtual LAN — VLAN Settings.
Порты 7 и 8 маршрутизатора будут относиться к WAN-интерфейсу. На этих портах указываем VLAN ID 2.
Когда отдельная VLAN для WAN-портов создана, можно перейти к назначению адресации.
- Адресация WAN-интерфейса
В разделе Network – Interface – WAN назначается IP-адрес, маска сети и шлюз по умолчанию согласно Таблице 1.
1.3. Настройка NAT
Для того чтобы маршрутизатор подменял адреса локальной сети на внешний адрес при передаче во внешнюю сеть, необходимо настроить NAT в разделе NAT — NAT Setting
1.4. Настройка даты и времени
Для выполнения корректного соединения между VPN-сервером и VPN-клиентом необходимо, чтобы маршрутизаторы были синхронизированы в настройках даты и времени.
Настройка системного времени осуществляется в разделе System — Date and Time.
Можно осуществить синхронизацию локальную или по протоколу SNTP.
2. Настройка Маршрутизатора В
Для настройки Маршрутизатора В необходимо повторить шаги 1.1 – 1.4, указывая параметры в соответствии с Таблицей 1.
3. Настройка VPN-туннеля
3.1. Активация VPN-соединения
На каждом маршрутизаторе нужно активировать VPN-туннель в разделе VPN – IPSec — Global Setting.
Также в этом разделе включается NAT для данных, передаваемых в туннеле и логирование системной информации об установлении туннеля (может понадобиться для отладки VPN-соединения)
3.2. Предустановка сертификатов безопасности
Аутентификация при установке IPSec VPN-туннеля может осуществляться с помощью ключа безопасности (пароля), но это не самый безопасный вариант. Рекомендуем использовать сертификаты безопасности для аутентификации.
Сгенерировать сертификаты безопасности можно с помощью различных программ, а также можно создать их на самом маршрутизаторе.
- Создание сертификата безопасности
В разделе Certificate Management — CA Server — Certificate Create нужно выполнить несколько шагов:
‒ Заполнить таблицу Certificate Request, нажать кнопку Apply
‒ Заполнить таблицу Certificate Setting, нажать кнопку Add и затем Apply
‒ Сгенерировать и выгрузить сертификат с помощью кнопки PKCS#12 Export (необходимо время на создание файла с сертификатом, затем нужно будет повторно нажать кнопку PKCS#12 Export)
Нужно создать сертификаты на каждом маршрутизаторе в соответствии с таблицей 2.
Таблица 2 «Сертификаты безопасности»
- Загрузка сертификаты на маршрутизатор
Оба сертификата нужно загрузить на каждый маршрутизатор в раздел Certificate Management — Local Certificate
3.3. Настройка параметров VPN-соединения
В разделе VPN – IPSec — IPSec Setting нужно осуществить расширенные настройки (Advanced Setting).
- Маршрутизатор А – VPN-клиент.
Маршрутизатор А будет инициировать VPN-соединение. То есть режим работы устанавливается как Start in initial.
Даже если аутентификация осуществляется с помощью сертификатов безопасности, нужно сначала установить пароль для предустановленного ключа (Pre—shared Key).
Затем нужно выбрать режим аутентификации Х.509 и два загруженных сертификата.
На маршрутизаторе А локальным сертификатом будет сертификат СА-1, а удаленным – СА-2
- Маршрутизатор В – VPN-сервер.
VPN-сервером будет Маршрутизатор В, поэтому он будет ожидать подключения. Устанавливается режим работы Wait connecting.
На маршрутизаторе B локальным сертификатом будет сертификат СА-2, а удаленным – СА-1
3.4. Настройка устройств в локальных сетях
На устройствах в локальных сетях необходимо указать основной шлюз – LAN адрес маршрутизатора в соответствии с Таблицей 1.
Для локальной сети А: 192.168.127.1
Для локальной сети В: 172.16.126.1
3.5. Диагностика VPN-соединения
После выполнения вышеуказанных настроек на двух маршрутизаторах будет установлено VPN-соединение. В разделе VPN – IPSec — IPSec Status появится запись об установленном VPN-туннеле.
Кроме того, при успешном установлении VPN-туннеля на маршрутизаторе загорится индикатор VPN.
Если соединение не устанавливается, то необходимо проверить корректность установки в разделе Monitor — Event Log
Как сделать свой VPN дешево и быстро
В этой инструкции мы покажем, как самостоятельно развернуть свой VPN-сервер, чтобы раз и навсегда перестать беспокоиться о собственной безопасности в сети и получить доступ к заблокированным ресурсам.
Блокировками в России сегодня уже никого не удивить. С пугающей частотой Роскомнадзор добавляет в список заблокированных ресурсов сайты и сервисы, которые распространяют фейковые новости, а многие зарубежные сайты сами покидают рунет или собираются прекратить свою деятельность в России в самое ближайшее время. Простым пользователям остается привыкать к текущим реалиям или искать пути обхода, которые, как правило, сводятся к трем основным способам:
- Создание собственного VPN
- Подключение к коммерческому VPN-сервису
- Подключение к бесплатным VPN-сервисам
Однако наиболее целесообразным из них является только первый пункт, так как практически любые сторонние VPN-серверы имеют ряд существенных недостатков. В случае большой загруженности они могут снижать скорость соединения, а также имеют ограничения по количеству подключаемых устройств.
Кроме того, в теории такие сервисы могут хранить логи ваших действий в сети и передавать их по запросу третьим лицам, например, властям. Пожалуй, единственный плюс платных VPN — возможность быстрого переключения между серверами в разных локациях.
Стоит ли упоминать про бесплатные VPN, с которыми дела обстоят еще хуже? Главное, что необходимо понимать о работе бесплатных VPN сервисов: если вы не платите за VPN, значит, за него платит кто-то еще. Естественно, взамен этот «кто-то» должен получать что-то ценное, например, ваши конфиденциальные данные.
С собственным VPN сервером вы забудете про любые ограничения. Вы сможете раздать интернет своим друзьям и вместе наслаждаться свободным интернетом, так как даже самый дешевый сервер за 3$ в месяц справится с такой нагрузкой, а ваше соединение всегда будет оставаться под надежной защитой.
Итак, думаю выбор очевиден. Нам нужен собственный VPN-сервер. Многие пользователи полагают, что создание собственного VPN — это непосильная задача, для реализации которой необходимы навыки программирования или, как минимум, базовые знания управления консолью Linux и многочасовые манипуляции с компьютером.
Спешим вас обрадовать. Запустить собственный VPN-сервер сможет каждый, а мы покажем как сделать это с минимальными усилиями и научим вас подключать к нему любые свои устройства без каких-либо ограничений.
Вот несколько этапов, которые потребуются для создания собственного VPN-сервера:
- Выбор хостинг-провайдера.
- Аренда виртуального сервера.
- Удаленное подключение к серверу.
- Развертывание VPN сервера с помощью терминала командной строки.
- Подключение и настройка интернет-соединения.
Поиск и выбор хостинг-провайдера
Для того чтобы создать свой VPN, первый, и, пожалуй, самый сложный этап — это поиск и аренда виртуального сервера.
Критерии при выборе очень просты:
- Арендуемый сервер не должен находиться в России.
- Услуги провайдера можно оплатить без «танцев с бубнами».
Но если найти провайдера с широкой географией расположения серверов сегодня не представляет особого труда, то со вторым пунктом действительно могут возникнуть проблемы — в связи с последними событиями на политической арене многие популярные зарубежные провайдеры просто позакрывали свои «двери» для клиентов из России. Остальные же теперь физически не могут принимать оплату по картам Visa и Mastercard, что делает ситуацию тупиковой.
Выход один — искать провайдера среди российских компаний с дата-центрами за границей. Среди них мы нашли несколько: RuVDS, PQHosting и FirstByte. У каждого из этих провайдеров имеются серверы в ряде европейских стран и большой выбор методов оплаты.
Мы остановили свой выбор на провайдере FirstByte, но вы можете выбрать любой из вышеперечисленных или какой-то свой. Все действия по развертыванию VPN у любого хостинг-провайдера будут аналогичными.
Арендуем сервер
После того, как мы определились с выбором провайдера, необходимо зарегистрироваться на сервисе. Здесь все просто, поэтому расписывать все шаги не имеет смысла. Главное, указать свой действующий адрес e-mail и телефон, так как они могут понадобиться для активации аккаунта.
После регистрации переходим к процедуре аренды виртуального сервера. Для этого идем в раздел «Товары/услуги»→ Виртуальные серверы и жмем «Заказать».
На странице заказа меняем локацию дата-центра с России на любую другую страну в списке. Расстояние может косвенно повлиять на будущую скорость интернет-соединения, поэтому лучше отдать свое предпочтение ближайшим к России европейским странам. И, само собой, ориентируемся на стоимость, которая прежде всего зависит от производительности сервера. Для наших задач подойдет машина с минимальными требованиями и каналом в 100 MB/s. Аренда такого сервера обойдется в 222 рубля в месяц.
В следующем окне указываем произвольное доменное имя, которое должно состоять из любых двух слов на латинице, отделенных друг от друга точкой.
В строке «Операционная система» выбираем последнюю версию Ubuntu и добавляем товар в корзину.
После этого оплачиваем услугу любым удобным способом и ждем пока сервер зарегистрируют. Эта процедура может занять от нескольких минут до 1 часа.
После того как сервер будет подготовлен, на почту, указанную при регистрации, должно прийти письмо с уведомлением об активации и данными для подключения к серверу.
Информацию о сервере вы также можете посмотреть в списке на странице ваших выделенных серверов. Для этого выберите сервер из списка мышкой и нажмите на кнопку «Инструкция».
Эти данные пригодятся нам в дальнейшем, поэтому лучше всего сохранить их в отдельном текстовом файле на рабочем столе.