Вторая строчка скрипта сразу устанавливает соединение для созданного VPN подключения

Запускаем скрипт и получаем результат. Вариаций реализации данного решения множество и у каждого своя ситуация. Охватить одной статьей все ситуации невозможно, цель — описать общий механизм.

Заключение

Если в данной статье оказалось недостаточно информации, сообщите нам на почту [email protected] и мы постараемся внести дополнения.

Если статья оказалась вам интересна и полезна, помогите найти её другим пользователям — сделайте репост в социалных сетях, используя расположенные ниже кнопки.

Создание VPN соединения в Windows 7 [Руководство пользователя]

Справа внизу, в трее, щелкните по значку в виде монитора и выберите Центр управления сетями и общим доступом

В разделе Изменение сетевых параметров выберите Настройка нового подключения или сети

При выборе варианта подключения, выберите Подключение к рабочему месту. Нажмите Далее

Выберите Использовать мое подключение к Интернету (VPN)

Выберите Отложить настройку подключения к Интернету

Укажите Интернет-адрес (адрес VPN-сервера): pptp.nv-net.ru. Нажмите Далее

В поле Пользователь введите Ваш логин для доступа в Интернет, а в поле

Справа внизу, в трее, щелкните по значку в виде монитора. Затем щелкните правой кнопкой мыши по пункту VPN-подключения и нажмите Свойства

Откройте вкладку Безопасность. Укажите следующие параметры:

• Тип VPN: Туннельный протокол точка-точка (PPTP)

• Шифрование данных: не разрешено (отключаться, если требуется шифрование)

Нажмите ОК

Для того, чтобы запустить VPN-подключение, еще раз

Соединение подключено. (Для проверки: В списке подключений — статус VPN-подключения — подключено)

Настройка VPN-соединения в разных версиях Windows

В настоящее время, желая обеспечить связь между компьютерами в офисе, активно используется технология Virtual Private Network. Настройка VPN позволяет не только обеспечить надёжную связь между корпоративными ПК, но и сопроводить все единицы компьютерной техники лучшей криптографической защитой. По этой причине можно быть уверенным в безопасности передачи корпоративной информации, в полном исключении стороннего вторжения.

Настройка VPN-соединения в разных версиях OC Windows имеет различия.

Очень важно понимать, что настройка VPN обеспечивает создание новой выделенной зоны. Все технические устройства, включая сканеры, принтеры, будут видны каждому пользователю, который подключён к VPN. Каждая попытка постороннего лица проникнуть внутрь корпоративной сети будет сопровождаться абсолютным провалом.

Алгоритм подключения

Безусловно, просто так несведущему пользователю обеспечить подключение Windows 7, 8, 10 к VPN невозможно. Предварительно очень важно насытить себя, прежде всего, достаточной порцией теоретических знаний относительно особенностей различных операционных систем.

Если вы мало-мальски разбираетесь в компьютере, но активно стремитесь к тому, чтобы разобраться, как настроить VPN, мы рекомендуем ознакомиться с нашими рекомендациями, а затем, неукоснительно следуя им, последовательно выполнять каждый обозначенный нами шаг. В этом случае мы можем вам гарантировать положительный результат.

Общие рекомендации по созданию сети

Чтобы обеспечить подключение к VPN-сети, нажмите первоначально по ярлыку «Пуск», расположенному в нижней части справа. Когда откроется дополнительное меню, выберите параметр «Панель управления».

После этого вам важно перейти в сетевые настройки. Чтобы осуществить такой переход, отыщите нужный параметр. В этом случае всё зависит от того, какой вид отображения был вами предварительно выбран. Даже если вы сами не выбирали, значит, его выбрала самостоятельно операционная система или тот, кто устанавливал изначально на ваш компьютер Windows.

При желании можно легко переключить категории. Этот своеобразный переключатель расположен в верхней части окна с левой стороны.

Итак, если там выставлен параметр «Просмотр по категориям», отыщите строку «Сеть и интернет», кликните по ней. Если же выбран параметр «Отображение в классическом стиле», тогда важно найти строку «Центр управления сетями и общим доступом».

Итак, после совершения таких переходов вы сможете беспрепятственно визуализировать предложение «Настройка нового подключения или сети». Именно по нему кликните левой клавишей мышки, вы сразу перейдёте на новую страницу, на которой будет предложено создать новое подключение к сети.

Если вы приняли решение обеспечить соединение вашего ПК к сети VPN, тогда выберите предложение «Подключение к рабочему месту», находящееся чаще всего четвёртым в списке. Далее, вам остаётся неукоснительно следовать всем появляющимся советам, но и обязательно учитывать некоторые нюансы, возникающие вследствие установки разных версий операционной системы.

Настройка VPN

Подключение к виртуальной сети осуществляется только после установки своеобразного VPN-сервера, в качестве которого может прекрасно выступать и один из корпоративных компьютеров. Именно этот VPN-сервер будет управлять доступом всех остальных компьютеров, входящих в созданное вами корпоративное сетевое пространство.

Безусловно, сам Windows не сможет проделать «волшебные» манипуляции, обеспечивающие вам успешную корпоративную сеть. В этом случае обязательно потребуется ваше участие, предполагающее внесение определённых настроек.

СОВЕТ. Конечно, сложно самому разобраться, как настроить VPN, поэтому мы рекомендуем не прошибать лбом неприступную стену, а внимательно изучить наши рекомендации относительно того, как осуществляется подключение к VPN-серверу, если на ПК установлены разные варианты операционной системы. 

Настройки в Windows XP

Если на вашем компьютере установлен Windows XP, кликните по кнопке «Пуск», обнаружьте в открывшемся перечне «Панель управления», перейдите в неё. После выполнения таких несложных манипуляций откроется окно, с левой стороны которого будет расположен «Мастер новых подключений», активируйте его, для этого просто запустите. В новом открывшемся окне на второй по счёту позиции будет находиться тот параметр, которым нам нужно будет воспользоваться.

Кликните по строке «Подключить к сети на рабочем месте», а затем перейдите на строку «Подключение к виртуальной частной сети».

Теперь мастер подключений будет уверенно вас вести к желаемой цели, рекомендуя лишь вносить некоторые информационные сведения. В частности, первоначально он попросит придумать и внести название создаваемой вам корпоративной сети. Безусловно, никто не ограничивает полёт фантазии, поэтому название может быть любым. Далее, мастер подключений попросит прописать сервер. Если в качестве сервера было принято решение использовать один из компьютеров, тогда лучше в это поле ввести IP-адрес этого ПК.

На завершающем этапе мастер создаст автоматически ярлык созданного вами корпоративного сетевого пространства. Совсем не лишним будет внести некоторые дополнительные изменения, поэтому по появившемуся ярлыку кликните дважды, чтобы вызвать диалоговое окно, в котором осуществляются все необходимые настройки.

В этом диалоговом окне будут находиться четыре вкладки, перейдите на одну из них «Безопасность», выберите «Дополнительные (Выборочные параметры)». Дальше остаётся внимательно изучить все предложения и остановить свой выбор на приемлемых параметрах для вашей корпоративной сети.

Настройки в Windows 8

Если же на вашем ПК установлен Windows 8, тогда алгоритм действий будет не просто иным, а максимально автоматизированным. Конечно, если вы являетесь владельцем ПК с Windows 8, вы можете воспрянуть духом, что всё так просто будет осуществить, но это не обозначает, что вам можно игнорировать наши рекомендации. Один неверный шаг, и вы не сможете обеспечить успешное соединение между корпоративными компьютерами.

В нижней части экрана с правой стороны в той части, где располагаются часы, вы легко обнаружите значок сетевого состояния, внешне он напоминает монитор. Кликните по этому ярлыку правой кнопкой мышки. После этого откроется новое окно, в котором вы найдёте параметр «Центр управления сетями и общим доступом». После нажатия на этот параметр возникнет новый ярлык «Создание нового подключения или сети», кликните по нему и подтвердите, что на вашем ПК обеспечено прямое подключение к интернету.

Мастер подключения также попросит ввести название среды, а также предложит внести при необходимости изменения в различные опции. В этом случае можно внести дополнительные параметры обеспечения безопасности сети, включая:

• шифрование данных;
• протокол проверки пароля;
• параметры доступа.

Всё, что вы посчитаете нужным, вы можете вносить. На этом настройка VPN-сети в Windows 8 завершается.

Настройки в Windows 7

Если ваш компьютер сопровождается операционной системой Windows 7 или 10, значит, вам тоже в какой-то мере повезло. Даже если вы начинающий, но бесстрашный пользователь, который рискнул проследовать по описанному нами маршруту, чтобы установить VPN-сеть, можем вас обрадовать, что у вас всё непременно получится.

СОВЕТ. Подключение к сети VPN на ПК с Windows 7 или 10 осуществляется достаточно просто и быстро, необходимо следовать тем подсказкам, которые возникают на экране. После того как соединение установлено, нужно тоже внести некоторые полезные изменения. 

В Windows 7 и 10 возле часов располагается ярлык, указывающий состояние подключения к различным сетям. Если по этому ярлыку кликнуть левой клавишей мышки, сразу откроется список всех подключений, которые можно рассматривать в качестве возможного варианта, обеспечивающего связь с интернет или общей сетью.

Среди этого перечня можно найти название вашей VPN-сети, выделите её, сразу после этого возникнет кнопка «Подключение». Нажав на эту кнопку, у вас появится возможность внести некоторые изменения в параметры.

Внимательно ознакомьтесь с параметрами безопасности, входа, шифрования данных, которые предлагает в этом случае Windows 10, установите галочки в чекбоксах возле тех параметров, которые для вас максимально важны.

Итак, если вы задались целью обеспечить подключение нескольких компьютеров, на которых установлен Windows XP, 7, 8 и 10, к корпоративной сети, не сдерживайте таких своих технических порывов. Вы сможете всё осуществить, если только внимательно изучите рекомендации, а также будете без излишней поспешности вносить изменения в настройки, читая не один раз предложения мастера сетевой настройки, а даже 10 раз, чтобы осознать, для чего и какие конкретно нужно осуществлять действия.

Подключение и настройка VPN в Windows 7, пошаговая инструкция, как настроить соединение

Технология частной сети VPN даёт шанс пользователям скачивать файлы с ресурсов, недоступных в стране; скрывать свой адрес IP и «сёрфить» в сети как анонимное лицо; защищать свои данные от кражи за счёт шифрования. Чтобы приступить к использованию такой сети, сначала нужно создать подключение. Как это сделать на Windows 7 — в системном окне или в сторонней утилите?

Понятное руководство по созданию и настройке VPN в «семёрке»: несколько способов

Встроенное средство «Виндовс» подразумевает ручную настройку сети — ввод адреса сервера VPN в мастере создания, а также логина и пароля. Эти данные вы можете получить у своего провайдера (если он предоставляет такую услугу), а также на специальных сайтах, которые предлагают информацию по VPN — безвозмездно или за определённую плату. Пример бесплатного — Netherlands Free VPN.

Отыщите в сети данные какого-либо VPN-сервера

Сторонняя утилита с услугой VPN настраивает всё сама автоматически — ей гораздо удобнее пользоваться. В интерфейсе есть специальная кнопка, которая быстро включает или отключает сервис. Обычно даже в бесплатных приложениях можно в пару кликов сменить сервер VPN и страну.

При VPN ваш ПК подключается к серверу в интернете не напрямую, а через посредника

Используем вшитые средства «Виндовс»

Когда отыщите данные для создания VPN-подключения, сделайте следующее:

1. Разверните «Панель управления» — кликните по пункту в правом списке в «Пуске».

   В «Виндовс» 7 «Панель управления» находится в меню «Пуск» справа

2. Либо нажмите на «К» (русскую) и Windows, а затем пропишите команду control и щёлкните по ОК.

   Панель запускается через окно «Выполнить»

3. Выставьте в интерфейсе показ крупных значков и кликните по ссылке, ведущей в «Центр управления сетью».

   На панели щёлкаем по ссылке «Центр управления сетями и общим доступом»

4. Ещё один метод запуска центра — через дополнительное меню иконки сети справа на нижней панели рядом с часами (вызывается кликом правой клавишей мышки).
5. Откройте ссылку для создания новой сети.

   Перейдите по ссылке «Создание и настройка нового подключения»

6. Выделите присоединение к рабочему столу и щёлкните по «Далее».

   Выберите подключение к рабочему столу

7. Кликните по первой ссылке, чтобы использовалось ваше подключение.

   Выберите своё текущее подключение в окне

8. Отложите пока что настройку соединения в следующем окне.

   Дайте системе знать, что вы хотите настроить своё подключение потом

9. Вбейте интернет-адрес и имя местоназначения.

   Введите адрес VPN-сервера

10. Поставьте галочку рядом с пунктом, который запрещает подключаться в данный момент. Если хотите, чтобы все пользователи вашего устройства имели доступ к этому подключению, отметьте также и второй пункт. Кликните по «Далее».

    Вы можете выполнить только установку сейчас, а подключение к сети оставить на потом

11. Напечатайте логин и ключ безопасности — данные, которые вам предоставил провайдер или которые вы нашли сами. Щёлкните по «Создать».

    Нажмите на «Создать» в правом нижнем углу

12. Вы должны увидеть в окошке уведомление о том, что соединение создано и готово к использованию.

    Мастер сообщит вам об успешном создании соединения

13. Вернитесь в центр и кликните по второй ссылке слева для адаптеров.

    Перейдите по ссылке «Изменение параметров адаптера»

14. Выберите только что созданную сеть правой клавишей мышки — кликните по «Свойства».

    Зайдите в свойства подключения

15. В третьей вкладке с параметрами безопасности установите вид VPN PPTP. Установите параметр для необязательного шифрования информации и удалите галочку с пункта о Microsoft CHAP.

    В разделе «Безопасность» установите туннельный протокол точка-точка

16. В следующем разделе уберите отметки с двух последних пунктов в списке.

    Отключите пункты для клиента сетей «Майкрософт» и службы доступа к файлам

17. Во второй вкладке деактивируем строчку «Включать домен входа в «Виндовс».

    Деактивируйте ввод домена для входа

18. Кликните по кнопке «Параметры PPP». Снимите галочки со всех строк в дополнительном окне.

    Уберите все отметки в окошке

19. Щёлкните по ОК, чтобы сохраниться. Подтвердите, что хотите выключить шифрование. Теперь можно подключаться к сети VPN и использовать её.

    Сохраните все изменения

Видео: как создать соединение VPN в Windows без дополнительного софта

Создаём точку через «Командную строку»

Если вы уже уверенный юзер ПК, используйте консоль, чтобы создать подключение:

1. Открываем консоль «Командная строка» от имени администратора через меню «Пуск».

   Откройте консоль с правами администратора

2. Также можете использовать окно «Выполнить»: код cmd выполняется через горячее сочетание Ctrl + Shift + Enter.

   Выполните команду cmd в окне

3. В консоли вводим команду по типу: rasdial [Имя_VPN_подключения] [имя_пользователя] [пароль]. Если название подключения или имя пользователя содержит пробел, служебные или русские символы, возьмите его в кавычки. Жмём на Enter.
4. В строке должна появиться фраза Command completed successfully, что означает успешное выполнение команды.

Скачиваем и ставим стороннюю программу

Бесплатный и при этом качественный сервис VPN — утилита Windscribe от одноимённого разработчика. Здесь предоставляется 2 ГБ трафика, но можно увеличить его до 10 ГБ, если просто зарегистрировать в сервисе свою электронную почту. Безлимитное использование трафика доступно уже только за определённую плату.

Откуда скачать, как установить и использовать утилиту, расскажем:

1. Переходим на официальный ресурс Windscribe. Жмём на вторую зелёную кнопку Windows.

   Скачайте инсталлятор с официального сайта

2. Открываем инсталлятор и запускаем установку «Экспресс».

   Выполните экспресс-установку программы

3. Ждём, когда она завершится — времени займёт немного.

   Подождите — инсталлятору нужно некоторое время, чтобы поставить утилиту на ПК

4. Ставим галочку и щёлкаем по «Завершить», чтобы немедленно открыть интерфейс утилиты.

   Закройте окно и откройте программу

5. В первом окошке вас тут же спросят, есть ли у вас аккаунт. Скорее всего, нет, поэтому жмём на вторую кнопку, чтобы тут же создать «учётку».

   Кликните по «Нет», если у вас нет учётной записи

6. В обозревателе, который у вас стоит в системе по умолчанию, раскроется сайт приложения — страница для регистрации аккаунта. Заполните анкету: придумайте имя (Username) и пароль (Password). Если логин будет неуникальным, кликните по значку справа в поле, чтобы система сама его создала для вас. В третьей строчке вбейте пароль ещё раз.

   Введите данные: придуманный логин, пароль и действующую электронную почту

7. Если хотите использовать 10 ГБ, напишите адрес «мыла». Кликните по Create Free Account.

   Нажмите на зелёную кнопку внизу анкеты

8. Через письмо, которое пришло к вам на электронную почту, активируйте профиль.

   Подтвердите свою почту, чтобы получить дополнительные 8 ГБ трафика

9. В утилите «Виндскрайб» вбейте те данные для авторизации, которые только что придумали.

   Войдите в свою учётную запись

10. Чтобы включить сервис, щёлкните по клавише в виде кнопки питания справа.

    Нажмите на кнопку справа

11. Через несколько секунд интерфейс станет голубым — активируется режим On.

    Если на кнопке засветилось слово ON, значит, VPN включился

12. Изначально приложение выбирает для юзера лучшее местоположение. Если вы хотите сменить страну сервера VPN, раскройте меню.

    Откройте выпадающее меню для локаций

13. Выберите в списке государство, которое вас интересует, среди тех, что не отмечены звёздами (они доступны тем, кто оплатил подписку).

    Выберите нужную страну в списке

14. Выделите город в стране, которую выбрали.

    Кликните по необходимому населённому пункту

15. Приложение само переподключит вас.

    Локация тут же поменяется

Советы по работе с VPN

Вы можете управлять подключением к сети VPN самостоятельно (активировать или выключать её в системном окне) либо настроить автосоединение.

Как вручную подключиться к VPN

Самостоятельно контролировать активность сети можно следующим образом:

1. Переходим в то же системное окно «Сетевые подключения» через центр. Выбираем ПКМ плитку с VPN и жмём на «Подключить».

   Кликните по «Подключить» в контекстном меню

2. В окошке для входа пишем ключ безопасности и имя юзера. Можете поставить сохранение данных от «учётки». Запускаем соединение.

   Введите все данные для авторизации и нажмите на «Подключение»

3. На панели с типами сети выделаем общественную.

   Выберите общественную сеть в окне

4. Чтобы не заходить каждый раз на панель с сетевыми подключениями, в контекстном меню выбираем «Создать ярлык».

   Создайте ярлык подключения на «Рабочем столе»

5. Соглашаемся с созданием иконки.

   Кликните по «Да», чтобы поместить ярлык сети на стол

6. На «Рабочем столе» отображается значок вашего соединения — двойной клик по нему запускает окошко для авторизации.

   Ярлык с названием вашего подключения появился на «Рабочем столе»

Как настроить автоподключение при загрузке Windows 7

Если вы хотите автоматизировать вход в сеть VPN, чтобы не выполнять лишних действий при загрузке «операционки», сделайте следующее:

1. Жмём на «Вин» и «К» для запуска окошка для выполнения команд — вставляем и запускаем код taskschd.msc, чтобы открылся «Планировщик заданий».

   Выполните команду taskschd.msc

2. На панели со списком действий кликаем по пункту для создания простой задачи.

   Щёлкните по «Создать простую задачу»

3. Пишем любое имя и описание.

   Введите имя задачи и её описание для неё

4. Выделяем предпоследний пункт «При входе в «Виндовс».

   Выберите запуск задачи «При входе в Windows»

5. Оставляем отмеченным первую строчку для запуска утилиты.

   Во вкладке «Действие» выберите запуск программы

6. Кликаем по «Обзор» и указываем в «Проводнике» директорию C:\Windows\system32\rasdial.exe.

   В «Проводнике» выберите исполняемый файл rasdial.exe

7. В аргументах печатаем через пробел данные: название подключения VPN, логин и ключ безопасности.

   В списке активных задач должна появиться ваша

8. Кликаем по «Далее» и завершаем создание задачи. В перечне активных заданий вы увидите только что созданный пункт.

Автозапуск через «Редактор реестра»

В реестр помещена специальная ветка — в списке этого раздела находятся утилиты, которые «Виндовс» автоматически открывает при полной загрузке:

1. Сперва переименуйте название своего подключения VPN — дайте ему английское имя. Выберите его в «Сетевых подключениях» правой клавишей мышки и кликните по опции.

   Переименуйте своё подключение через контекстное меню

2. Например, назовите сеть vpn_office.

   Дайте английское название подключению

3. В окошке для выполнения команд запустите код regedit.

   Вставьте regedit и нажмите на Enter

4. Перейдите в третью основную ветку HKEY_LOCAL_MACHINE, а затем в папку Software.

   В третьей ветке откройте Software

5. Переключайтесь последовательно на такие каталоги: Microsoft — Windows — CurrentVersion — Run.

   Конечной папкой должен быть каталог Run

6. В последнем разделе с перечнем автозагрузок через контекстное меню создайте новый строковый параметр.

   Выберите в меню «Строковый параметр»

7. Дайте название записи — vpnConnect.

   Назовите параметр vpnConnect

8. Дважды щёлкните по этому пункту — в значении укажите rasdial vpn_office [адрес VPN] [пароль]. Закройте все утилиты, в том числе и редактор.

   Поставьте значение для записи с параметрами входа в сеть

9. Перезагрузитесь, чтобы все изменения в реестр были внесены.
10. Если вы хотите, чтобы сеть включалась при входе «Виндовс» только для вашего пользователя, а для других нет, сделайте всё то же самое только в ветке HKEY_CURRENT_USER.

Как отключить или удалить VPN в Windows 7

Если вам не нужно больше находиться в сети через VPN (временно или совсем), деактивируйте и вовсе удалите подключение:

1. В перечне сетевых подключений кликните ПКМ по сети — выделите «Удалить».
2. Подтвердите действие в дополнительном окошке.

   Согласитесь на удаление в окошке

3. Если хотите деактивировать, щёлкните по первой строчке «Подключить/Отключить».

   Кликните по первому пункту, чтобы отключить самому сеть VPN

4. Опция выключения доступна также на сетевой панели в правом нижнем углу (открывается она кликом по иконке интернета на «Панели задач»).

   Деактивировать сеть можно на панели со списком подключений

Таблица: основные ошибки VPN-подключения и способы их устранения в Windows 7

Фотогалерея: коды ошибок при подключении к VPN

Ошибка с текстом 400 Bad Request появляется при попытке открыть какой-либо сайт в браузере

Ошибка с кодом 800 возникает из-за сбоя использованных VPN-туннелей

В тексте ошибки 738 указывается, что серверу не удалось назначить адрес

В ошибке 789 сообщается, что произошёл сбой на уровне безопасности во время согласований с удалённым компьютером

Создать соединение VPN несложно: если вы совсем новичок, используйте специальные утилиты, а если вы более продвинутый пользователь — выберите встроенные средства Windows. В последнем случае вы сможете настроить автоподключение к сети через планировщик либо вынести подключение ярлыком на «Рабочий стол», чтобы иметь быстрый доступ к окну для входа.

Создание VPN-соединения на компьютере или ноутбуке

В материале рассмотрено пошаговое создание соединений PPPoE, L2TP и PPTP для двенадцати провайдеров Москвы и Московской области

Создание VPN-подключения требуется для настройки интернета у некоторых провайдеров

Настройка компьютера для подключения к интернету напрямую по кабелю может также потребовать установка определённого MAC-адреса для сетевого адаптера и настройку статического IP-адреса

Дополнительные инструкции и варианты решения проблем, связанных с плохо работающим интернетом, вы можете получить из раздела Компьютерная помощь 

Содержание

Есть два основных типа подключения интернета по медному кабелю

В первом случае провайдер предоставляет абоненту выделенную линию и проводит в квартиру «витую пару» — кабель Ethernet. Если вы хотите подключить только один компьютер, то вставьте этот кабель в LAN-порт вашего компьютера или ноутбука

При типе подключения по выделенной линии может быть несколько вариантов настройки компьютера

 — создание VPN-соединения (PPTP или L2TP)

 — установка определённого MAC-адреса в настройках сетевого адаптера

 — установка статического IP-адреса IPv4

Внимание! Провайдер может потребовать один, два или все три типа настройки, например, создание соединения VPN и изменение MAC-адреса сетевой карты, или установка статического IP-адреса и установка определённого MAC-адреса

Во втором случае интернет подключается по обычному телефонному кабелю. Это делают такие провайдеры, как  МГТС,  Ростелеком и  Стрим. У клиента дома есть ADSL-модем (например, D-Link DSL-2500U), к которому подключен телефонный кабель, а от модема уже к компьютеру идёт кабель Ethernet

Для этих провайдеров создаётся соединение PPPoE на компьютере или в настройках модема

Создание VPN-соединения

Для создания соединения PPPoE, L2TP или PPTP кликните правой кнопкой мыши по значку соединения   в системном лотке

В контекстном меню выберите пункт «Центр управления сетями и общим доступом«

В окне «Центр управления» кликните пункт «Настройка нового подключения или сети«

Найдите вашего провайдера в таблице и кликните по типу соединения

При варианте «Динамический IP» компьютер получает IP-адрес автоматически, и настройка не требуется

Создание соединения L2TP (PPTP)

В окне «Установка подключения или сети» выберите «Подключение к рабочему месту» и нажмите кнопку Далее

В следующем окне выберите «Использовать мое подключение к интернету (VPN)»

В окне «Подключение к рабочему месту» заполните поле «Интернет-адрес»

Параметр «Имя местоназначения» может быть любым

После заполнения нажмите кнопку Далее

В окне «Подключение к рабочему столу» заполните поля «Пользователь» и «Пароль» и установите флажок «Запомнить этот пароль», после чего нажмите Подключить

В следующем окне нажмите кнопку Пропустить

В окне «Подключение к рабочему месту» нажмите кнопку «Закрыть»

Теперь кликните в системном лотке значок сетевого подключения, правой кнопкой мышки нажмите по строке созданного соединения и выберите в контекстном меню пункт «Свойства»

В окне «VPN-подключение» на вкладке «Параметры» снимите флажок «Включать домен входа в Windows»

На вкладке «Безопасность» в выпадающих меню «Тип VPN» выберите требуемые значения (затребуйте их у техподдержки вашего провайдера)

То же самое сделайте для выпадающего меню «Шифрование данных» и нажмите ОК

Нажмите на значок подключения в системном лотке, затем кликните по строке созданного соединения и нажмите кнопку «Подключение»

В следующем окне уточните ещё раз корректность Имени Пользователя и Пароля, затем нажмите кнопку «Подключение» и дождитесь установки соединения

Создание соединения PPPoE

В окне «Установка подключения или сети» выберите пункт «Подключение к интернету» и нажмите кнопку «Далее»

В следующем окне (если оно появится) выберите «Все равное создать подключение»

В окне «Подключение к интернету» нажмите кнопку «Высокоскоростное (с PPPoE)»

Заполните поля «Имя пользователя», «Пароль» и «Имя подключения», установите флажок «Запомнить этот пароль» и затем нажмите кнопку «Подключить»

В следующем окне нажмите кнопку «Пропустить»

Нажмите кнопку «Закрыть»

Нажмите на значок подключения в системном лотке, затем кликните правой кнопкой мыши по строке созданного соединения и нажмите кнопку «Свойства»

В окне «Высокоскоростное подключение» на вкладке «Параметры» снимите флажок «Включать домен входа в Windows»

На вкладке «Безопасность» выберите требуемое значение в выпадающем меню «Шифрование данных», затем установите требуемые протоколы (уточните позиции в техподдержке вашего провайдера) и нажмите ОК

Кликните по значку подключения, затем выберите строку созданного соединения и нажмите кнопку «Подключение»

В следующем окне заполните поля Пользователь и Пароль, после чего нажмите кнопку «Подключение» и дождитесь соединения

Изменение MAC-адреса сетевого адаптера

Для провайдеров  Горком,  Цифра 1,  Старлинк и  НетБайНет требуется внести в настройки сетевого адаптера определённый MAC-адрес — это число формата XXX-XXX-XXX-XXX, уточните его у вашего провайдера или найдите в договоре. Для этого нажмите Win + R, введите ‘devmgmt.msc’ без кавычек, откройте раздел «Сетевые адаптеры», кликните дважды по строке с названием адаптера, затем в окне «Свойства» выберите вкладку «Дополнительно». В списке «Свойство» кликните по строке «Network Address» (Сетевой адрес) и внесите MAC-адрес в поле «Значение», затем нажмите кнопку «ОК»

Настройка статического IP-адреса

Настройка статического IP-адреса требуется у провайдеров  Цифра 1 (2-й вариант),  Старлинк (5-й вариант),  Горком (1-й вариант),  НетБайНет (третий вариант)

Для настройки сетевой карты компьютера или ноутбука в режим статического IP-адреса кликните правой кнопкой мыши по значку сетевого соединения в системном лотке   , затем в выпавшем меню выберите «Центр управления сетями и общим доступом«

В окне «Центра управления сетями выберите раздел «Изменение параметров адаптеров» 1 , затем в окне «Сетевые подключения» два раза кликните по значку «Подключение по локальной сети» 2

В появившемся окне «Подключение по локальной сети» в разделе «Отмеченные компоненты…» дважды кликните строку «Протокол интернета версии 4 (TCP/IPv4)» 3

Выберите радио-кнопки «Использовать следующий IP-адрес» 4 и «Использовать следующие адреса DNS-серверов» 5 , после чего заполните поля IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер и Альтернативный DNS-сервер

Затем нажмите кнопку ОК и снова ОК

Создание VPN-подключения. ( Windows 7 )

Создание VPN-подключения. ( Windows 7 )

1. Для начала откроем окно «Центр управления сетями и общим доступом» и запустим мастер нового подключения (Рис.1) Пуск → Панель управления → Центр управления сетями и общим доступом → Настройка нового подключения к сети

Рис. 1

2. → Подключение к рабочему месту → Далее →

Рис. 2

3. → Использовать мое подключение к Интернету (VPN) →

Рис. 3

4. Окно «Подключение к рабочему месту»:

a. Интернет адрес – адрес VPN-сервера (который вы уже получили).

b. Имя местоназначения – любое имя (на подключение это не влияет).

c. Ставим «птичку» напротив «не подключаться сейчас» → Далее →

Рис. 4

5. Вводим логин/пароль VPN-подключения и домен для удобства работы в удаленной сети. → Создать. →

Рис. 5

6. Нажимаем «Закрыть» →

Рис. 6

7. В окне из п.1 «Центр управления сетями и общим доступом» выбрать «Изменение параметров адаптера» →

Рис. 7

8. В окне «Сетевые подключения» кликаем правой кнопкой мыши на только что созданном подключении

a. Создаем ярлык и помещаем его на рабочий стол (это для дальнейшего удобства). →

b. Выбираем «Свойства» подключения. →

Рис. 8

9. Окно «Свойства» на вкладке «Безопасность» выбрать тип VPN: «Туннельный протокол точка-точка (PPTP)», это в дальнейшем позволит ускорить подключение. →

Рис. 9

10. Окно «Свойства» на вкладке «Сеть» отключить «Протокол Интернета версии 6 (TCP/IPv6)», выделить «Протокол Интернета версии 4 (TCP/IPv4)» и выбрать «Свойства». →

Рис. 10

11. В окне «Свойства: Протокол Интернета версии 4 (TCP/IPv4)» выбрать «Дополнительно». →

Рис. 11

12. В окне «Дополнительные параметры TCP/IP» отключить «Использовать основной шлюз в удаленной сети». Этот параметр предотвращает хождение всего интернет трафика через VPN-сервер, что негативно сказывается на качестве интернет связи. →

Рис. 12

13. На вкладке «DNS» вписать DNS-суффикс подключения, что позволит вам использовать короткие имена. Пример SERVER вместо SERVER.MICROSOFT.LOCAL ( не обязательно).

Рис. 13

14. Далее «Ок» → «Ок» → «Ок» → Все, подключение создано и полностью настроено.

Рис. 14

How To Guide: Set Up & Configure OpenVPN Client / server VPN

OpenVPN — это полнофункциональный SSL VPN, который реализует безопасное сетевое расширение OSI уровня 2 или 3 с использованием стандартного протокола SSL / TLS, поддерживает гибкие методы аутентификации клиента на основе сертификаты, смарт-карты и / или учетные данные имени пользователя и пароля, а также позволяет применять политики управления доступом для конкретных пользователей или групп с помощью правил брандмауэра, применяемых к виртуальному интерфейсу VPN. OpenVPN не является прокси-сервером веб-приложения и не работает через веб-браузер.

OpenVPN 2.0 расширяет возможности OpenVPN 1.x, предлагая масштабируемый режим клиент / сервер, позволяющий нескольким клиентам подключаться к одному процессу сервера OpenVPN через один порт TCP или UDP. OpenVPN 2.3 включает в себя большое количество улучшений, включая полную поддержку IPv6 и поддержку PolarSSL.

Этот документ предоставляет пошаговые инструкции по настройке OpenVPN 2.x клиент / сервер VPN, в том числе:

Этот HOWTO предполагает, что читатели обладают предварительным пониманием основных сетевых концепций, таких как IP-адреса, имена DNS, маски сети и т. Д. подсети, IP-маршрутизация, маршрутизаторы, сетевые интерфейсы, локальные сети, шлюзы и правила брандмауэра.

Оригинальный OpenVPN 1.x HOWTO по-прежнему доступен и остается актуальным для конфигураций точка-точка или статических ключей.

Хотя этот HOWTO поможет вам настроить масштабируемую клиент-серверную VPN с использованием X509 PKI (инфраструктура открытого ключа с использованием сертификатов и закрытых ключей), это может быть излишним, если вы ищете только простую настройку VPN с сервером, который может справиться с одним клиентом.

Если вы хотите быстро запустить VPN с минимальной конфигурацией, вы можете проверить Static Key Mini-HOWTO.

Исходный код OpenVPN и установщики Windows можно скачать здесь. Последние выпуски (2.2 и новее) также доступны в виде пакетов Debian и RPM; подробности см. в вики OpenVPN.

Исполняемый файл OpenVPN должен быть установлен как на сервере, так и на клиентском компьютере, поскольку один исполняемый файл обеспечивает как клиентские, так и серверные функции.

Если вы используете дистрибутив Linux, который поддерживает пакеты RPM (SuSE, Fedora, Redhat и т. Д.), Лучше всего установить с помощью этого механизма.Самый простой способ — найти существующий двоичный файл RPM для вашего дистрибутива. Вы также можете создать свой собственный двоичный файл RPM:

Кроме того, если вы создаете свой собственный двоичный пакет RPM, существует несколько дополнительных зависимостей:

Дополнительные примечания по созданию пакета RPM для Red Hat Linux см. В файле openvpn.spec. 9 или здание с уменьшенными зависимостями.

Если вы используете Debian, Gentoo или дистрибутив Linux, не основанный на RPM, используйте специфичный для вашего дистрибутива механизм упаковки, такой как apt-get в Debian или emerge в Gentoo.

Также можно установить OpenVPN в Linux, используя универсальный метод ./configure . Сначала разверните файл .tar.gz:

OpenVPN для Windows можно установить из самоустанавливающегося exe-файла на странице загрузки OpenVPN. Помните, что OpenVPN будет работать только в Windows XP или более поздней версии. Также обратите внимание, что OpenVPN должен быть установлен и запущен пользователем с правами администратора (это ограничение налагается Windows, а не OpenVPN). Ограничение можно обойти, запустив OpenVPN в фоновом режиме в качестве службы, и в этом случае даже пользователи без прав администратора смогут получить доступ к VPN после ее установки.Дополнительное обсуждение проблем с привилегиями OpenVPN + Windows.

Официальные установщики OpenVPN для Windows включают OpenVPN-GUI, который позволяет управлять подключениями OpenVPN из апплета на панели задач. Также доступны другие приложения с графическим интерфейсом.

После запуска установщика Windows OpenVPN готов к использованию и будет ассоциироваться с файлами с расширением .ovpn . Чтобы запустить OpenVPN, вы можете:

Некоторые примечания доступны в файле INSTALL для определенных ОС. В общем, можно использовать метод

, или вы можете искать порт или пакет OpenVPN, специфичный для вашей ОС / дистрибутива.

Обзор маршрутизации по сравнению с мостом Ethernet см. В разделе часто задаваемых вопросов. См. Также страницу OpenVPN Ethernet Bridging для получения дополнительных примечаний и деталей по мосту.

В целом, маршрутизация, вероятно, является лучшим выбором для большинства людей, поскольку она более эффективна и проще в настройке (в том, что касается самой конфигурации OpenVPN), чем мост. Маршрутизация также обеспечивает большую возможность выборочного управления правами доступа для конкретного клиента.

Я бы порекомендовал использовать маршрутизацию, если вам не нужна особая функция, требующая моста, например:

Настройка VPN часто влечет за собой соединение частных подсетей из разных мест.

Internet Assigned Numbers Authority (IANA) зарезервировал следующие три блока пространства IP-адресов для частных сетей (кодифицированных в RFC 1918):

Хотя адреса из этих сетевых блоков обычно должны использоваться в конфигурациях VPN, важно выбрать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей. Типы конфликтов, которых следует избегать:

Например, предположим, что вы используете популярную подсеть 192.168.0.0/24 в качестве частной подсети LAN.Теперь вы пытаетесь подключиться к VPN из интернет-кафе, которое использует ту же подсеть для своей локальной сети Wi-Fi. У вас будет конфликт маршрутизации, потому что ваш компьютер не будет знать, относится ли 192.168.0.1 к локальному шлюзу WiFi или к тому же адресу в VPN.

В качестве другого примера предположим, что вы хотите связать вместе несколько сайтов с помощью VPN, но каждый сайт использует 192.168.0.0/24 в качестве своей подсети LAN. Это не будет работать без добавления усложняющего уровня преобразования NAT, потому что VPN не будет знать, как маршрутизировать пакеты между несколькими сайтами, если эти сайты не используют подсеть, которая их однозначно идентифицирует.

Лучшее решение — избегать использования 10.0.0.0/24 или 192.168.0.0/24 в качестве адресов частной сети LAN. Вместо этого используйте то, что с меньшей вероятностью будет использоваться в Wi-Fi-кафе, аэропорту или отеле, откуда вы можете рассчитывать на удаленное подключение. Лучшими кандидатами являются подсети в центре огромного сетевого блока 10.0.0.0/8 (например, 10.66.77.0/24).

И чтобы избежать конфликтов IP-нумерации между сайтами, всегда используйте уникальную нумерацию для своих подсетей LAN.

Первый шаг в создании OpenVPN 2.x заключается в создании PKI (инфраструктуры открытого ключа). PKI состоит из:

OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента до установления взаимного доверия.

И сервер, и клиент будут аутентифицировать друг друга, сначала проверив, что представленный сертификат был подписан главным центром сертификации (ЦС), а затем проверив информацию в заголовке теперь аутентифицированного сертификата, такую ​​как общее имя сертификата или тип сертификата. (клиент или сервер).

Обратите внимание, что часы сервера и клиента должны быть примерно синхронизированы, иначе сертификаты могут работать некорректно.

В этом разделе мы сгенерируем главный сертификат / ключ CA, сертификат / ключ сервера и сертификаты / ключи для 3 отдельных клиентов.

Для управления PKI мы будем использовать easy-rsa 2 , набор скриптов, который включен в OpenVPN 2.2.x и ранее. Если вы используете OpenVPN 2.3.x, вам необходимо загрузить easy-rsa 2 отдельно отсюда.

Для управления PKI мы будем использовать easy-rsa 2, набор скриптов, который входит в состав OpenVPN 2.2.x и ранее. Если вы используете OpenVPN 2.3.x, вам может потребоваться загрузить easy-rsa 2 отдельно от страницы проекта easy-rsa-old. На платформах * NIX вам следует рассмотреть возможность использования easy-rsa 3; обратитесь к его собственной документации для получения подробной информации.

Если вы используете Linux, BSD или unix-подобную ОС, откройте оболочку и cd в подкаталог easy-rsa . Если вы установили OpenVPN из файла RPM или DEB, каталог easy-rsa обычно можно найти в / usr / share / doc / packages / openvpn или / usr / share / doc / openvpn (лучше всего скопировать это каталог в другое место, например / etc / openvpn , перед любыми изменениями, чтобы будущие обновления пакета OpenVPN не перезаписали ваши изменения).Если вы установили из файла .tar.gz, каталог easy-rsa будет находиться в каталоге верхнего уровня расширенного дерева исходных текстов.

Если вы используете Windows, откройте окно командной строки и перейдите по адресу \ Program Files \ OpenVPN \ easy-rsa . Запустите следующий командный файл, чтобы скопировать файлы конфигурации на место (это перезапишет все существующие файлы vars.bat и openssl.cnf):

Теперь отредактируйте файл vars (в Windows он называется vars.bat ) и установите KEY_COUNTRY , Параметры KEY_PROVINCE, KEY_CITY, KEY_ORG и KEY_EMAIL.Не оставляйте ни один из этих параметров пустым.

Затем инициализируйте PKI. В Linux / BSD / Unix:

Последняя команда ( build-ca ) создаст сертификат и ключ центра сертификации (CA) путем вызова интерактивной команды openssl :

Обратите внимание, что в приведенной выше последовательности наиболее запрашиваемые для параметров по умолчанию были установлены значения, установленные в файлах vars или vars.bat . Единственный параметр, который необходимо ввести явно, — это общее имя .В приведенном выше примере я использовал «OpenVPN-CA».

Далее мы сгенерируем сертификат и закрытый ключ для сервера. В Linux / BSD / Unix:

Как и в предыдущем шаге, для большинства параметров можно установить значения по умолчанию. Когда запрашивается общее имя , введите «сервер». Два других запроса требуют положительных ответов: «Подписать сертификат? [Y / n]» и «1 из 1 запросов на сертификат сертифицирован, зафиксировать? [Y / n]».

Создание клиентских сертификатов очень похоже на предыдущий шаг.В Linux / BSD / Unix:

Если вы хотите защитить паролем ключи клиента, замените сценарий build-key-pass .

Помните, что для каждого клиента обязательно введите соответствующее Common Name при появлении запроса, то есть «client1», «client2» или «client3». Всегда используйте уникальное общее имя для каждого клиента.

Параметры Диффи Хеллмана должны быть сгенерированы для сервера OpenVPN. В Linux / BSD / Unix:

Теперь мы найдем наши вновь сгенерированные ключи и сертификаты в подкаталоге keys .Вот объяснение соответствующих файлов:

Последним шагом в процессе генерации ключа является копирование всех файлов на машины, которые в них нуждаются, заботясь о копировании секретных файлов по защищенному каналу.

А теперь подождите, скажете вы. Разве нельзя установить PKI без уже существующего безопасного канала?

Якобы да. В приведенном выше примере для краткости мы сгенерировали все закрытые ключи в одном месте. Приложив немного больше усилий, мы могли бы сделать это иначе.Например, вместо генерации клиентского сертификата и ключей на сервере мы могли бы заставить клиент генерировать свой собственный закрытый ключ локально, а затем отправить запрос на подпись сертификата (CSR) на машину для подписи ключей. В свою очередь, машина для подписания ключей могла обработать CSR и вернуть подписанный сертификат клиенту. Это можно было сделать, даже не требуя, чтобы секретный файл .key покинул жесткий диск машины, на которой он был создан.

Лучше всего использовать образцы файлов конфигурации OpenVPN в качестве отправной точки для вашей собственной конфигурации.Эти файлы также можно найти в

. Обратите внимание, что в Linux, BSD или unix-подобных операционных системах образцы файлов конфигурации называются server.conf и client.conf . В Windows они называются server.ovpn и client.ovpn .

Пример файла конфигурации сервера — идеальная отправная точка для конфигурации сервера OpenVPN. Он создаст VPN с использованием виртуального сетевого интерфейса TUN (для маршрутизации), будет прослушивать клиентские подключения на UDP-порту 1194 (официальный номер порта OpenVPN) и распределять виртуальные адреса для подключенных клиентов с 10.8.0.0 / 24 подсеть .

Перед тем, как использовать образец файла конфигурации, необходимо сначала отредактировать параметры ca , cert , key и dh , чтобы они указывали на файлы, созданные в разделе PKI выше.

На этом этапе файл конфигурации сервера можно использовать, однако вы все равно можете захотеть его дополнительно настроить:

Если вы хотите запустить несколько экземпляров OpenVPN на одном компьютере, каждый из которых использует другой файл конфигурации, это возможно, если вы :

Пример файла конфигурации клиента ( client.conf в Linux / BSD / Unix или client.ovpn в Windows) отражает директивы по умолчанию, установленные в примере файла конфигурации сервера.

Сначала убедитесь, что сервер OpenVPN доступен из Интернета. Это означает:

Чтобы упростить устранение неполадок, лучше сначала запустить сервер OpenVPN из командной строки (или щелкнуть правой кнопкой мыши файл .ovpn в Windows), а не запускать его как демон или службу:

A нормальный запуск сервера должен выглядеть так (вывод будет зависеть от платформы):

Запуск клиента

Как и в конфигурации сервера, лучше всего изначально запустить сервер OpenVPN из командной строки (или в Windows, щелкнув правой кнопкой мыши на клиенте .ovpn ), а не запускать его как демон или службу:

  openvpn [файл конфигурации клиента]  

Обычный запуск клиента в Windows будет похож на вывод сервера выше и должен заканчиваться сообщением Initialization Sequence Completed .

Теперь попробуйте выполнить эхо-запрос через VPN от клиента. Если вы используете маршрутизацию (например, dev tun в файле конфигурации сервера), попробуйте:

  пинг 10.8.0,1  

Если вы используете мост (т. Е. dev, нажмите в файле конфигурации сервера), попробуйте проверить связь с IP-адресом машины в подсети Ethernet сервера.

Если пинг прошел успешно, поздравляем! Теперь у вас есть работающая VPN.

Устранение неполадок

Если проверка связи не удалась или инициализация клиента OpenVPN не была завершена, вот контрольный список общих симптомов и их решений:

• Появляется сообщение об ошибке: Ошибка TLS: не удалось выполнить согласование ключа TLS в течение 60 секунд (проверьте подключение к сети) .Эта ошибка указывает на то, что клиенту не удалось установить сетевое соединение с сервером. Решения :
  • Убедитесь, что клиент использует правильное имя хоста / IP-адрес и номер порта, которые позволят ему подключиться к серверу OpenVPN.
  • Если сервер OpenVPN представляет собой блок с одним сетевым адаптером внутри защищенной локальной сети, убедитесь, что вы используете правильное правило переадресации портов на межсетевом экране шлюза сервера. Например, предположим, что ваш OpenVPN-сервер находится по адресу 192.168.4.4 внутри брандмауэра и прослушивает клиентские подключения на UDP-порту 1194.Шлюз NAT, обслуживающий подсеть 192.168.4.x, должен иметь правило переадресации портов, согласно которому перенаправляет UDP-порт 1194 с моего общедоступного IP-адреса на 192.168.4.4 .
  • Откройте брандмауэр сервера, чтобы разрешить входящие подключения к порту UDP 1194 (или к любому другому порту TCP / UDP, который вы настроили в файле конфигурации сервера).
• Вы получаете сообщение об ошибке: Последовательность инициализации завершена с ошибками — Эта ошибка может возникнуть в Windows, если (а) у вас не запущена служба клиента DHCP или (б) вы используете определенные сторонние персональные брандмауэры на XP SP2. Решение : Запустите сервер DHCP-клиента и убедитесь, что вы используете персональный брандмауэр, который, как известно, правильно работает на XP SP2.
• Вы получаете сообщение Initialization Sequence Completed , но тест ping не проходит. Обычно это означает, что брандмауэр на сервере или клиенте блокирует сетевой трафик VPN путем фильтрации на интерфейсе TUN / TAP. Решение : Отключите брандмауэр клиента (если он существует) от фильтрации интерфейса TUN / TAP на клиенте.Например, в Windows XP SP2 это можно сделать, перейдя в Центр безопасности Windows -> Брандмауэр Windows -> Расширенный и сняв флажок, соответствующий адаптеру TAP-Windows (отключение клиентского брандмауэра от фильтрации адаптера TUN / TAP обычно разумно с точки зрения безопасности, поскольку вы, по сути, говорите брандмауэру не блокировать аутентифицированный трафик VPN). Также убедитесь, что интерфейс TUN / TAP на сервере не фильтруется брандмауэром (при этом обратите внимание, что выборочный брандмауэр интерфейса TUN / TAP на стороне сервера может дать определенные преимущества безопасности.См. Раздел политики доступа ниже).
• Подключение останавливается при запуске при использовании конфигурации proto udp , файл журнала сервера показывает эту строку:
  

   TLS: начальный пакет от x.x.x.x: x, sid = xxxxxxxx xxxxxxxx 

  , однако в журнале клиента нет эквивалентной строки.

  Решение : У вас одностороннее соединение от клиента к серверу. Направление от сервера к клиенту блокируется брандмауэром, обычно на стороне клиента.Брандмауэр может быть (а) персональным программным брандмауэром, работающим на клиенте, или (б) шлюзом маршрутизатора NAT для клиента. Измените брандмауэр, чтобы разрешить возвращающим UDP-пакетам с сервера достичь клиента.

Дополнительные сведения об устранении неполадок см. В разделе часто задаваемых вопросов.

Настройка OpenVPN для автоматического запуска при запуске системы

Отсутствие стандартов в этой области означает, что большинство операционных систем имеют другой способ настройки демонов / служб для автозапуска при загрузке.Лучший способ настроить эту функцию по умолчанию — это установить OpenVPN в виде пакета, например, через RPM в Linux или с помощью установщика Windows.

Linux

Если вы устанавливаете OpenVPN через пакет RPM или DEB в Linux, установщик установит исходный скрипт . При выполнении сценарий инициализации будет сканировать файлы конфигурации .conf в / etc / openvpn и, если он будет найден, запустит отдельный демон OpenVPN для каждого файла.

Окна

Программа установки Windows настроит служебную оболочку, но оставит ее отключенной по умолчанию.Чтобы активировать его, перейдите в Панель управления / Администрирование / Службы, выберите службу OpenVPN, щелкните правой кнопкой мыши свойства и установите для параметра Тип запуска значение Автоматический. Это настроит службу для автоматического запуска при следующей перезагрузке.

При запуске служебная оболочка OpenVPN просканирует папку \ Program Files \ OpenVPN \ config на наличие файлов конфигурации .ovpn , запустив отдельный процесс OpenVPN для каждого файла.

Управление запущенным процессом OpenVPN

Работает в Linux / BSD / Unix

OpenVPN принимает несколько сигналов:

• SIGUSR1 — Условный перезапуск, предназначенный для перезапуска без привилегий root
• SIGHUP — Жесткий перезапуск
• SIGUSR2 — Вывод статистики подключений в файл журнала или системный журнал
• SIGTERM , SIGINT — Выход

Используйте директиву writepid для записи PID демона OpenVPN в файл, чтобы вы знали, куда отправить сигнал (если вы запускаете openvpn с исходным скриптом , сценарий может уже передавать —writepid в командной строке openvpn ).

Запуск в Windows как графический интерфейс

См. Страницу с графическим интерфейсом OpenVPN.

Запуск в окне командной строки Windows

В Windows вы можете запустить OpenVPN, щелкнув правой кнопкой мыши файл конфигурации OpenVPN (файл .ovpn, ) и выбрав «Запустить OpenVPN в этом файле конфигурации».

После запуска в этом режиме доступны несколько клавиатурных команд:

• F1 — Условный перезапуск (не закрывает / не открывает повторно адаптер TAP)
• F2 — Показать статистику подключений
• F3 — Жесткий перезапуск
• F4 — Выход

Запуск в качестве службы Windows

Когда OpenVPN запускается как служба в Windows, единственный способ управлять им — это:

• Через диспетчер управления службами (Панель управления / Администрирование / Службы), который обеспечивает управление запуском / остановкой.
• Через интерфейс управления (см. Ниже).

Изменение конфигурации действующего сервера

Хотя для большинства изменений конфигурации требуется перезапуск сервера, в частности, есть две директивы, которые относятся к файлам, которые можно динамически обновлять на лету, и которые немедленно вступят в силу на сервере без необходимости перезапуска серверного процесса.

client-config-dir — Эта директива устанавливает каталог конфигурации клиента, который сервер OpenVPN будет сканировать при каждом входящем соединении в поисках файла конфигурации, специфичного для клиента (дополнительную информацию см. На странице руководства).Файлы в этом каталоге можно обновлять «на лету» без перезапуска сервера. Обратите внимание, что изменения в этом каталоге вступят в силу только для новых подключений, но не для существующих. Если вы хотите, чтобы изменение файла конфигурации для конкретного клиента немедленно вступило в силу для подключенного в данный момент клиента (или того, который отключился, но у которого сервер не истек тайм-аут для своего объекта экземпляра), уничтожьте объект экземпляра клиента, используя команду управления интерфейс (описан ниже). Это заставит клиента повторно подключиться и использовать новый файл client-config-dir .

crl-verify — Эта директива именует файл со списком отзыва сертификатов , описанный ниже в разделе «Отзыв сертификатов». Файл CRL можно изменять «на лету», и изменения вступят в силу немедленно для новых подключений или существующих подключений, которые повторно согласовывают свой канал SSL / TLS (по умолчанию происходит один раз в час). Если вы хотите убить подключенного в данный момент клиента, чей сертификат только что был добавлен в CRL, используйте интерфейс управления (описанный ниже).

Файл состояния

В файле server.conf по умолчанию есть строка

  статус openvpn-status.log  

, который будет выводить список текущих клиентских подключений в файл openvpn-status.log один раз в минуту.

Использование интерфейса управления

Интерфейс управления OpenVPN позволяет в значительной степени контролировать запущенный процесс OpenVPN. Вы можете использовать интерфейс управления напрямую, подключившись через Telnet к порту интерфейса управления, или косвенно, используя графический интерфейс OpenVPN, который сам подключается к интерфейсу управления.

Чтобы включить интерфейс управления на сервере или клиенте OpenVPN, добавьте это в файл конфигурации:

  управление localhost 7505  

Это указывает OpenVPN прослушивать TCP-порт 7505 для клиентов интерфейса управления (порт 7505 — произвольный выбор — вы можете использовать любой свободный порт).

После запуска OpenVPN вы можете подключиться к интерфейсу управления с помощью клиента telnet . Например:

 ai: ~ # telnet localhost 7505
Пробуем 127.] '.
> ИНФОРМАЦИЯ: Версия 1 интерфейса управления OpenVPN - введите help для получения дополнительной информации
помощь
Интерфейс управления для OpenVPN 2.0_rc14 i686-suse-linux [SSL] [LZO] [EPOLL] построен 15 февраля 2005 г.
Команды:
echo [on | off] [N | all]: Аналогично журналу, но отображаются только сообщения в буфере эха.
exit | quit: закрыть сеанс управления.
help: распечатать это сообщение.
hold [on | off | release]: установить / показать флаг удержания в состояние включения / выключения, или
                         отпустить текущую задержку и начать туннель.kill cn: убить клиентские экземпляры с общим именем cn.
kill IP: port: убить экземпляр клиента, подключающийся с IP: port.
log [on | off] [N | all]: включить / выключить отображение журнала в реальном времени.
                         + показать последние N строк или «все» для всей истории.
mute [n]: установить уровень отключения звука журнала на n или показать уровень, если n отсутствует.
net: (только для Windows) Показать информацию о сети и таблицу маршрутизации.
тип пароля p: введите пароль p для запрашиваемого пароля OpenVPN.signal s: отправить сигнал s демону,
                         s = SIGHUP | SIGTERM | SIGUSR1 | SIGUSR2.
state [on | off] [N | all]: как журнал, но показывает историю состояний.
status [n]: показать информацию о текущем статусе демона в формате #n.
test n: вывести n строк вывода для тестирования / отладки.
username type u: введите имя пользователя u для запрашиваемого имени пользователя OpenVPN.
verb [n]: установить уровень детализации журнала на n или показать, если n отсутствует.версия: показать номер текущей версии.
КОНЕЦ
выход
Соединение прервано внешним хостом.
ai: ~ # 

Для получения дополнительной информации см. Документацию по интерфейсу управления OpenVPN.

Расширение области VPN за счет включения дополнительных машин в подсети клиента или сервера.

Включение нескольких машин на стороне сервера при использовании маршрутизируемой VPN (dev tun)

После того, как VPN будет работать в режиме «точка-точка» между клиентом и сервером, может быть желательно расширить область действия VPN, чтобы клиенты могли подключаться к нескольким машинам в сети сервера, а не только к самому серверу.

Для целей этого примера мы предположим, что локальная сеть на стороне сервера использует подсеть 10.66.0.0/24 , а пул IP-адресов VPN использует 10.8.0.0/24 , как указано в директиве server . в файле конфигурации сервера OpenVPN.

Во-первых, вы должны объявить подсеть 10.66.0.0/24 клиентам VPN как доступную через VPN. Это легко сделать с помощью следующей директивы файла конфигурации на стороне сервера:

  push "маршрут 10.66.0.0 255.255.255.0 " 

Затем вы должны настроить маршрут на серверном шлюзе LAN для маршрутизации подсети VPN-клиента ( 10.8.0.0/24 ) на сервер OpenVPN (это необходимо только в том случае, если сервер OpenVPN и шлюз LAN отличаются машины).

Убедитесь, что вы включили пересылку IP и TUN / TAP на сервере OpenVPN.

Включение нескольких машин на стороне сервера при использовании мостовой VPN (dev tap)

Одним из преимуществ использования моста Ethernet является то, что вы получаете его бесплатно без какой-либо дополнительной настройки.

Включение нескольких машин на стороне клиента при использовании маршрутизируемой VPN (dev tun)

В типичном сценарии «дорожный воин» или удаленного доступа клиентский компьютер подключается к VPN как единый компьютер. Но предположим, что клиентская машина является шлюзом для локальной LAN (например, домашнего офиса), и вы хотите, чтобы каждая машина в клиентской LAN могла маршрутизировать через VPN.

В этом примере мы предположим, что клиентская LAN использует подсеть 192.168.4.0/24 , а VPN-клиент использует сертификат с общим именем client2 .Наша цель — настроить VPN таким образом, чтобы любой компьютер в клиентской локальной сети мог связываться с любым компьютером в серверной локальной сети через VPN.

Перед настройкой необходимо выполнить несколько основных условий:

• Клиентская подсеть LAN (192.168.4.0/24 в нашем примере) не должна экспортироваться в VPN сервером или любыми другими клиентскими сайтами, которые используют ту же подсеть. Каждая подсеть, подключенная к VPN через маршрутизацию, должна быть уникальной.
• У клиента должно быть уникальное общее имя в своем сертификате («client2» в нашем примере), и флаг duplicate-cn не должен использоваться в файле конфигурации сервера OpenVPN.

Сначала убедитесь, что на клиентском компьютере включена пересылка IP и TUN / TAP.

Далее мы займемся необходимыми изменениями конфигурации на стороне сервера. Если файл конфигурации сервера в настоящее время не ссылается на каталог конфигурации клиента, добавьте его сейчас:

  каталог конфигурации клиента ccd  

В приведенной выше директиве ccd должно быть именем каталога, который был предварительно создан в каталоге по умолчанию, в котором запускается демон сервера OpenVPN.В Linux это обычно / etc / openvpn , а в Windows — обычно \ Program Files \ OpenVPN \ config . Когда новый клиент подключается к серверу OpenVPN, демон проверяет этот каталог на наличие файла, который соответствует общему имени подключающегося клиента. Если соответствующий файл найден, он будет прочитан и обработан для применения дополнительных директив файла конфигурации к указанному клиенту.

Следующим шагом является создание файла с именем client2 в каталоге ccd .Этот файл должен содержать строку:

  iroute 192.168.4.0 255.255.255.0  

Это сообщит серверу OpenVPN, что подсеть 192.168.4.0/24 должна быть маршрутизирована на client2 .

Затем добавьте следующую строку в файл конфигурации основного сервера (не файл ccd / client2 ):

  маршрут 192.168.4.0 255.255.255.0  

Почему используются избыточные операторы route и iroute , спросите вы? Причина в том, что route управляет маршрутизацией от ядра к серверу OpenVPN (через интерфейс TUN), а iroute управляет маршрутизацией от сервера OpenVPN к удаленным клиентам.Оба необходимы.

Затем спросите себя, хотите ли вы разрешить сетевой трафик между подсетью client2 (192.168.4.0/24) и другими клиентами сервера OpenVPN. Если да, добавьте в файл конфигурации сервера следующее.

  от клиента к клиенту
нажмите "маршрут 192.168.4.0 255.255.255.0"  

Это приведет к тому, что сервер OpenVPN объявит подсеть client2 другим подключающимся клиентам.

Последний шаг, о котором часто забывают, — это добавить маршрут к шлюзу локальной сети сервера, который направляет 192.168.4.0 / 24 в ящик сервера OpenVPN (он вам не понадобится, если ящик сервера OpenVPN является шлюзом для локальной сети сервера). Предположим, вы пропустили этот шаг и пытались пропинговать машину (не сам сервер OpenVPN) в локальной сети сервера с адреса 192.168.4.8? Исходящий пинг, вероятно, достигнет машины, но тогда он не будет знать, как маршрутизировать ответ, потому что не будет знать, как достичь 192.168.4.0/24. Эмпирическое правило, которое следует использовать, заключается в том, что при маршрутизации всей локальной сети через VPN (когда VPN-сервер не является той же машиной, что и шлюз локальной сети), убедитесь, что шлюз для локальной сети направляет все подсети VPN на машину VPN-сервера.

Аналогично, если клиентский компьютер, на котором запущен OpenVPN, не является также шлюзом для клиентской локальной сети, то шлюз для клиентской локальной сети должен иметь маршрут, который направляет все подсети, которые должны быть доступны через VPN, на клиентский компьютер OpenVPN.

Включение нескольких машин на стороне клиента при использовании мостовой VPN (подключение для разработчиков)

Это требует более сложной настройки (возможно, не более сложной на практике, но более сложной для подробного объяснения):

• Вы должны соединить клиентский TAP-интерфейс с сетевым адаптером, подключенным к локальной сети, на клиенте.
• Необходимо вручную установить IP / маску сети TAP-интерфейса на клиенте.
• Вы должны настроить клиентские машины для использования IP / сетевой маски, которая находится внутри мостовой подсети, возможно, запросив DHCP-сервер на стороне сервера OpenVPN VPN.

Передача параметров DHCP клиентам

Сервер OpenVPN может передавать клиентам такие параметры DHCP, как адреса серверов DNS и WINS (о некоторых предостережениях следует помнить). Клиенты Windows могут принимать проталкиваемые параметры DHCP изначально, в то время как клиенты, отличные от Windows, могут принимать их с помощью клиентского сценария — , который анализирует список переменных среды foreign_option_ n .См. Справочную страницу для документации и примеров сценариев, отличных от Windows foreign_option_ n .

Например, предположим, что вы хотите подключать клиентов для использования внутреннего DNS-сервера 10.66.0.4 или 10.66.0.5 и WINS-сервера 10.66.0.8. Добавьте это в конфигурацию сервера OpenVPN:

  push "dhcp-option DNS 10.66.0.4"
нажмите "dhcp-option DNS 10.66.0.5"
нажмите "dhcp-option WINS 10.66.0.8"  

Чтобы протестировать эту функцию в Windows, запустите следующее из окна командной строки после того, как машина подключится к серверу OpenVPN:

  ipconfig / все  

Запись для адаптера TAP-Windows должна отображать параметры DHCP, которые были переданы сервером.

Настройка правил и политик доступа для конкретного клиента

Предположим, мы настраиваем корпоративную VPN и хотим установить отдельные политики доступа для 3 разных классов пользователей:

• Системные администраторы — полный доступ ко всем машинам в сети
• Сотрудники — доступ только к Samba / почтовому серверу
• Контрагенты — доступ только к специальному серверу

Основной подход, который мы выберем, будет (а) выделить каждый класс пользователей в свой собственный диапазон виртуальных IP-адресов и (б) контролировать доступ к машинам, установив правила брандмауэра, которые отключают виртуальный IP-адрес клиента.

В нашем примере предположим, что у нас есть переменное количество сотрудников, но только один системный администратор и два подрядчика. Наш подход к распределению IP-адресов будет заключаться в том, чтобы поместить всех сотрудников в пул IP-адресов, а затем выделить фиксированные IP-адреса для системного администратора и подрядчиков.

Обратите внимание, что одним из предварительных условий этого примера является наличие программного брандмауэра, работающего на сервере OpenVPN, который дает вам возможность определять определенные правила брандмауэра.В нашем примере мы предположим, что это брандмауэр Linux iptables .

Во-первых, давайте создадим карту виртуальных IP-адресов в соответствии с классом пользователя:

Теперь давайте переведем эту карту в конфигурацию сервера OpenVPN. Прежде всего, убедитесь, что вы выполнили описанные выше шаги, чтобы сделать подсеть 10.66.4.0/24 доступной для всех клиентов (пока мы настроим маршрутизацию, чтобы разрешить клиентский доступ ко всем 10.66.4.0 / 24, мы наложим ограничения доступа с помощью правил брандмауэра для реализации приведенной выше таблицы политик).

Сначала определите статический номер устройства для нашего интерфейса tun , чтобы мы могли ссылаться на него позже в наших правилах брандмауэра:

  dev tun0  

В файле конфигурации сервера определите пул IP-адресов сотрудников:

  сервер 10.8.0.0 255.255.255.0  

Добавьте маршруты для диапазонов IP-адресов системного администратора и подрядчика:

  маршрут 10.8.1.0 255.255.255.0
маршрут 10.8.2.0 255.255.255.0  

Поскольку мы будем назначать фиксированные IP-адреса для конкретных системных администраторов и подрядчиков, мы будем использовать каталог конфигурации клиента:

  каталог конфигурации клиента ccd  

Теперь поместите специальные файлы конфигурации в подкаталог ccd , чтобы определить фиксированный IP-адрес для каждого VPN-клиента, не являющегося сотрудником.

ccd / sysadmin1

  ifconfig-push 10.8.1.1 10.8.1.2  

ccd / подрядчик1

  ifconfig-push 10.8.2.1 10.8.2.2  

ccd / подрядчик2

  ifconfig-push 10.8.2.5 10.8.2.6  

Каждая пара адресов ifconfig-push представляет конечные IP-точки виртуального клиента и сервера. Они должны быть взяты из последовательных подсетей / 30 для совместимости с клиентами Windows и драйвером TAP-Windows. В частности, последний октет IP-адреса каждой пары конечных точек должен быть взят из этого набора:

 [1, 2] [5, 6] [9, 10] [13, 14] [17, 18]
[21, 22] [25, 26] [29, 30] [33, 34] [37, 38]
[41, 42] [45, 46] [49, 50] [53, 54] [57, 58]
[61, 62] [65, 66] [69, 70] [73, 74] [77, 78]
[81, 82] [85, 86] [89, 90] [93, 94] [97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141 142] [145 146] [149 150] [153 154] [157 158]
[161 162] [165 166] [169 170] [173 174] [177 178]
[181 182] [185 186] [189 190] [193 194] [197 198]
[201 202] [205 206] [209 210] [213 214] [217 218]
[221 222] [225 226] [229 230] [233 234] [237 238]
[241 242] [245 246] [249 250] [253 254] 

На этом настройка OpenVPN завершена.Последний шаг — добавить правила брандмауэра для завершения политики доступа. В этом примере мы будем использовать правила брандмауэра в синтаксисе Linux iptables :

  # Правило сотрудников
iptables -A ВПЕРЕД -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ПРИНЯТЬ

# Правило системного администратора
iptables -A ВПЕРЕД -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ПРИНЯТЬ

# Правило подрядчика
iptables -A ВПЕРЕД -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ПРИНЯТЬ  

Использование альтернативных методов аутентификации

OpenVPN 2.0 и более поздних версий включают функцию, которая позволяет серверу OpenVPN безопасно получать имя пользователя и пароль от подключающегося клиента и использовать эту информацию в качестве основы для аутентификации клиента.

Чтобы использовать этот метод аутентификации, сначала добавьте в конфигурацию клиента директиву auth-user-pass . Он направит клиент OpenVPN запросить у пользователя имя пользователя / пароль, передав его на сервер по безопасному каналу TLS.

Затем настройте сервер на использование подключаемого модуля проверки подлинности, который может быть сценарием, общим объектом или DLL.Сервер OpenVPN будет вызывать плагин каждый раз, когда VPN-клиент пытается подключиться, передавая ему имя пользователя / пароль, введенные на клиенте. Плагин аутентификации может контролировать, разрешает ли сервер OpenVPN клиенту подключаться, возвращая значение ошибки (1) или успеха (0).

Использование подключаемых модулей сценариев

Script можно использовать, добавив директиву auth-user-pass-verify в файл конфигурации на стороне сервера. Например:

  auth-user-pass-verify auth-pam.pl через-файл  

будет использовать Perl-скрипт auth-pam.pl для аутентификации имени пользователя и пароля подключающихся клиентов. См. Описание auth-user-pass-verify на странице руководства для получения дополнительной информации.

Сценарий auth-pam.pl включен в дистрибутив исходного файла OpenVPN в подкаталог sample-scripts . Он будет аутентифицировать пользователей на сервере Linux с помощью модуля аутентификации PAM, который, в свою очередь, может реализовать теневой пароль, аутентификацию RADIUS или LDAP. auth-pam.pl в первую очередь предназначен для демонстрационных целей. Для реальной аутентификации PAM используйте плагин общего объекта openvpn-auth-pam , описанный ниже.

Использование общих объектов или подключаемых модулей DLL

Плагины общих объектов или DLL обычно представляют собой скомпилированные модули C, которые загружаются сервером OpenVPN во время выполнения. Например, если вы используете пакет OpenVPN на основе RPM в Linux, плагин openvpn-auth-pam должен быть уже собран. Чтобы использовать его, добавьте это в файл конфигурации на стороне сервера:

  плагин / usr / share / openvpn / plugin / lib / openvpn-auth-pam.так что войдите  

Это укажет серверу OpenVPN проверить имя пользователя / пароль, введенные клиентами с использованием модуля входа PAM.

Для реального производственного использования лучше использовать плагин openvpn-auth-pam , потому что он имеет несколько преимуществ перед скриптом auth-pam.pl :

• Общий объект openvpn-auth-pam плагин использует модель выполнения с разделенными привилегиями для повышения безопасности. Это означает, что сервер OpenVPN может работать с ограниченными привилегиями, используя директивы user nobody , group nobody и chroot , и по-прежнему сможет аутентифицироваться в файле теневых паролей, доступном только для чтения root.
• OpenVPN может передавать имя пользователя / пароль плагину через виртуальную память, а не через файл или среду, что лучше для локальной безопасности на сервере.
• Скомпилированные модули подключаемых модулей обычно работают быстрее, чем сценарии.

Если вам нужна дополнительная информация о разработке собственных плагинов для использования с OpenVPN, см. Файлы README в подкаталоге plugin исходного дистрибутива OpenVPN.

Чтобы собрать подключаемый модуль openvpn-auth-pam в Linux, перейдите в каталог plugin / auth-pam в исходном дистрибутиве OpenVPN и запустите make .

Использование аутентификации по имени пользователя и паролю как единственная форма аутентификации клиента

По умолчанию использование auth-user-pass-verify или подключаемого модуля проверки имени пользователя / пароля на сервере включит двойную аутентификацию, требуя, чтобы аутентификация как по сертификату клиента, так и по имени пользователя / паролю была успешной, чтобы клиент мог быть аутентифицированным.

Хотя это не рекомендуется с точки зрения безопасности, также можно отключить использование клиентских сертификатов и принудительно использовать только аутентификацию по имени пользователя и паролю.На сервере:

  клиент-сертификат не требуется  

В таких конфигурациях обычно следует также установить:

  имя пользователя как общее имя  

, который сообщает серверу использовать имя пользователя для целей индексации, поскольку он будет использовать общее имя клиента, который аутентифицировался с помощью сертификата клиента.

Обратите внимание, что client-cert-not-required не устраняет необходимость в сертификате сервера, поэтому клиент, подключающийся к серверу, который использует client-cert-not-required , может удалить cert и ключ директивы из файла конфигурации клиента, но не директивы ca , потому что клиенту необходимо проверить сертификат сервера.

Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием клиентских смарт-карт

О двухфакторной аутентификации

Двухфакторная аутентификация — это метод аутентификации, который сочетает в себе два элемента: то, что у вас есть, и то, что вы знаете.

Что-то у вас должно быть устройством, которое нельзя дублировать; таким устройством может быть криптографический токен, содержащий закрытый секретный ключ. Этот закрытый ключ создается внутри устройства и никогда не покидает его.Если пользователь, владеющий этим токеном, пытается получить доступ к защищенным службам в удаленной сети, процесс авторизации, который предоставляет или запрещает доступ к сети, может с высокой степенью уверенности установить, что пользователь, ищущий доступ, физически владеет известным сертифицированным токеном. .

Что-то, что вы знаете, может быть паролем, представленным криптографическому устройству. Без правильного пароля вы не сможете получить доступ к закрытому секретному ключу. Еще одна особенность криптографических устройств — запретить использование закрытого секретного ключа, если неправильный пароль был представлен более разрешенного количества раз.Такое поведение гарантирует, что если пользователь потеряет свое устройство, то его использование другим человеком будет невозможным.

Криптографические устройства обычно называются «смарт-картами» или «токенами» и используются вместе с PKI (инфраструктурой открытых ключей). Сервер VPN может проверить сертификат X.509 и убедиться, что пользователь владеет соответствующим секретным секретным ключом. Поскольку устройство не может быть дублировано и требует действующего пароля, сервер может аутентифицировать пользователя с высокой степенью уверенности.

Двухфакторная аутентификация намного надежнее аутентификации на основе пароля, поскольку в худшем случае только один человек может одновременно использовать криптографический токен. Пароли можно угадывать и открывать другим пользователям, поэтому в худшем случае бесконечное количество людей может попытаться получить несанкционированный доступ, когда ресурсы защищены с использованием аутентификации только по паролю.

Если вы храните секретный закрытый ключ в файле, ключ обычно зашифровывается паролем.Проблема с этим подходом заключается в том, что зашифрованный ключ подвергается атакам дешифрования или шпионскому / вредоносному ПО, запущенному на клиентском компьютере. В отличие от использования криптографического устройства, файл не может стереть себя автоматически после нескольких неудачных попыток дешифрования.

Что такое PKCS # 11?

Этот стандарт определяет API, называемый Cryptoki, для устройств, которые хранят криптографическую информацию и выполняют криптографические функции. Cryptoki, произносится как «криптографический ключ» и сокращенно от интерфейса криптографического токена, следует простому объектно-ориентированному подходу, решая задачи технологической независимости (любого типа устройства) и совместного использования ресурсов (несколько приложений, обращающихся к нескольким устройствам), предоставляя приложениям общее логическое представление устройства, называемое криптографическим токеном.

Источник: RSA Security Inc. https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm.

Подводя итог, PKCS # 11 — это стандарт, который может использоваться прикладным программным обеспечением для доступа к криптографическим токенам, таким как смарт-карты и другие устройства. Большинство производителей устройств предоставляют библиотеку, реализующую интерфейс поставщика PKCS # 11 — эта библиотека может использоваться приложениями для доступа к этим устройствам. PKCS # 11 — это кроссплатформенный бесплатный стандарт, не зависящий от производителя.

Поиск библиотеки поставщика PKCS # 11

Первое, что вам нужно сделать, это найти библиотеку провайдера, она должна быть установлена ​​вместе с драйверами устройств. У каждого поставщика есть своя библиотека. Например, поставщик OpenSC PKCS # 11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Как настроить криптографический токен

Вы должны следовать процедуре регистрации:

• Инициализировать токен PKCS # 11.
• Сгенерировать пару ключей RSA на токене PKCS # 11.
• Создайте запрос сертификата на основе пары ключей, для этого вы можете использовать OpenSC и OpenSSL.
• Отправьте запрос сертификата в центр сертификации и получите сертификат.
• Загрузите сертификат в маркер, отмечая при этом, что атрибуты id и label сертификата должны совпадать с атрибутами закрытого ключа.

Настроенный маркер — это маркер, который имеет объект закрытого ключа и объект сертификата, причем оба имеют одинаковые атрибуты id и label.

Простая утилита регистрации — Easy-RSA 2.0, которая является частью серии OpenVPN 2.1. Следуйте инструкциям, указанным в файле README, а затем используйте pkitool для регистрации.

Инициализируйте токен с помощью следующей команды:

 $ ./pkitool --pkcs11-slots / usr / lib / pkcs11 /
$ ./pkitool --pkcs11-init / usr / lib / pkcs11 /
 

Зарегистрируйте сертификат, используя следующую команду:

 $ ./pkitool --pkcs11 / usr / lib / pkcs11 / client1
 

Как изменить конфигурацию OpenVPN для использования криптографических токенов

У вас должен быть OpenVPN 2.1 или выше, чтобы использовать функции PKCS # 11.

Определить правильный объект

Каждый провайдер PKCS # 11 может поддерживать несколько устройств. Для просмотра списка доступных объектов вы можете использовать следующую команду:

 $ openvpn --show-pkcs11-ids / usr / lib / pkcs11 /

Следующие объекты доступны для использования.
Каждый объект, показанный ниже, может использоваться как параметр для
--pkcs11-id, пожалуйста, не забудьте использовать одинарные кавычки.

Сертификат
       DN: / CN = Пользователь1
       Серийный номер: 490B82C4000000000075
       Серийный идентификатор: aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600 

Каждая пара сертификат / закрытый ключ имеет уникальную строку «Сериализованный идентификатор».Строка сериализованного идентификатора запрошенного сертификата должна быть указана для параметра pkcs11-id с использованием одинарных кавычек.

  pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Использование OpenVPN с PKCS # 11

Типичный набор опций OpenVPN для PKCS # 11

  pkcs11-провайдеры / usr / lib / pkcs11 /
pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Будет выбран объект, соответствующий строке pkcs11-id.

Расширенные параметры OpenVPN для PKCS # 11

  pkcs11-провайдеров /usr/lib/pkcs11/provider1.so /usr/lib/pkcs11/provider2.so
pkcs11-id 'aaaa / bbb / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
pkcs11-контактный кэш 300
демон
auth-retry nointeract
удержание управления
сигнал управления
управление 127.0.0.1 8888
управление-запрос-пароли
  

Это загрузит двух провайдеров в OpenVPN, будет использовать сертификат, указанный в опции pkcs11-id , и использовать интерфейс управления для запроса паролей.Демон вернется в состояние удержания при наступлении события, когда к токену будет невозможно получить доступ. Токен будет использоваться в течение 300 секунд, после чего пароль будет повторно запрошен, сеанс будет отключен, если сеанс управления отключится.

Рекомендации по реализации PKCS # 11

Многие поставщики PKCS # 11 используют потоки, чтобы избежать проблем, вызванных реализацией LinuxThreads (setuid, chroot), настоятельно рекомендуется обновить glibc до Native POSIX Thread Library (NPTL), если вы собираетесь использовать PKCS #. 11.

OpenSC PKCS # 11 провайдер

Поставщик OpenSC PKCS # 11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Разница между PKCS # 11 и Microsoft Cryptographic API (CryptoAPI)

PKCS # 11 — это бесплатный кроссплатформенный стандарт, независимый от поставщиков. CryptoAPI — это специальный API Microsoft. Большинство поставщиков смарт-карт обеспечивают поддержку обоих интерфейсов. В среде Windows пользователь должен выбрать, какой интерфейс использовать.

Текущая реализация OpenVPN, использующая MS CryptoAPI (опция cryptoapicert ), работает хорошо, пока вы не запускаете OpenVPN как службу. Если вы хотите запустить OpenVPN в административной среде с помощью службы, реализация не будет работать с большинством смарт-карт по следующим причинам:

• Большинство поставщиков смарт-карт не загружают сертификаты в хранилище локального компьютера, поэтому реализация не сможет получить доступ к сертификату пользователя.
• Если клиент OpenVPN работает как служба без прямого взаимодействия с конечным пользователем, служба не может запросить у пользователя пароль для смарт-карты, что приведет к сбою процесса проверки пароля на смарт-карте.

Используя интерфейс PKCS # 11, вы можете использовать смарт-карты с OpenVPN в любой реализации, поскольку PKCS # 11 не имеет доступа к магазинам Microsoft и не обязательно требует прямого взаимодействия с конечным пользователем.

Маршрутизация всего клиентского трафика (включая веб-трафик) через VPN

Обзор

По умолчанию, когда клиент OpenVPN активен, через VPN будет проходить только сетевой трафик к и от сайта сервера OpenVPN.Например, общий просмотр веб-страниц будет осуществляться с помощью прямых подключений в обход VPN.

В некоторых случаях такое поведение может быть нежелательным — вы можете захотеть, чтобы VPN-клиент туннелировал весь сетевой трафик через VPN, включая общий просмотр веб-страниц в Интернете. Хотя этот тип конфигурации VPN приведет к снижению производительности клиента, он дает администратору VPN больший контроль над политиками безопасности, когда клиент одновременно подключен как к общедоступному Интернету, так и к VPN.

Реализация

Добавьте следующую директиву в файл конфигурации сервера:

  push "redirect-gateway def1"  

Если ваша настройка VPN осуществляется в беспроводной сети, где все клиенты и сервер находятся в одной беспроводной подсети, добавьте локальный флаг :

  push "локальный def1 шлюз перенаправления"  

Передача клиентам опции redirect-gateway приведет к тому, что весь сетевой трафик IP, исходящий на клиентских машинах, будет проходить через сервер OpenVPN.Сервер необходимо настроить так, чтобы он каким-то образом обрабатывал этот трафик, например, путем преобразования его в Интернет с помощью NAT или маршрутизации через HTTP-прокси серверного сайта.

В Linux вы можете использовать такую ​​команду для NAT трафика клиента VPN в Интернет:

  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE  

Эта команда предполагает, что подсеть VPN — это 10.8.0.0/24 (взято из директивы server в конфигурации сервера OpenVPN) и что локальный интерфейс Ethernet — eth0 .

Когда используется шлюз перенаправления , клиенты OpenVPN будут маршрутизировать DNS-запросы через VPN, и VPN-серверу потребуется их обрабатывать. Этого можно добиться, отправив адрес DNS-сервера подключающимся клиентам, который заменит их обычные настройки DNS-сервера во время активности VPN. Например:

  push "dhcp-option DNS 10.8.0.1"  

настроит клиентов Windows (или клиентов, отличных от Windows с некоторыми дополнительными сценариями на стороне сервера) для использования 10.8.0.1 в качестве их DNS-сервера. Любой адрес, доступный для клиентов, может использоваться в качестве адреса DNS-сервера.

Предупреждения

Перенаправление всего сетевого трафика через VPN не совсем без проблем. Вот несколько типичных ошибок, о которых следует знать:

• Многие клиентские машины OpenVPN, подключенные к Интернету, будут периодически взаимодействовать с DHCP-сервером, чтобы продлить аренду своих IP-адресов. Параметр redirect-gateway может помешать клиенту достичь локального DHCP-сервера (поскольку сообщения DHCP будут маршрутизироваться через VPN), что приведет к потере аренды IP-адреса.
• Существуют проблемы с отправкой DNS-адресов клиентам Windows.
• Скорость просмотра веб-страниц на клиенте будет заметно ниже.

Для получения дополнительной информации о механизме директивы redirect-gateway см. Страницу руководства.

Запуск сервера OpenVPN на динамическом IP-адресе

Хотя клиенты OpenVPN могут легко получить доступ к серверу через динамический IP-адрес без какой-либо специальной настройки, все становится более интересным, когда сам сервер находится на динамическом адресе.Хотя у OpenVPN нет проблем с обработкой ситуации с динамическим сервером, требуется некоторая дополнительная настройка.

Первый шаг — получить динамический DNS-адрес, который можно настроить так, чтобы он «следил» за сервером каждый раз, когда IP-адрес сервера изменяется. Доступно несколько поставщиков услуг динамического DNS, например dyndns.org.

Следующим шагом является настройка механизма, при котором каждый раз при изменении IP-адреса сервера динамическое DNS-имя будет быстро обновляться с новым IP-адресом, позволяя клиентам находить сервер по его новому IP-адресу.Для этого есть два основных способа:

• Используйте устройство NAT-маршрутизатора с поддержкой динамического DNS (например, Linksys BEFSR41 ). Большинство недорогих устройств NAT-маршрутизатора, которые широко доступны, имеют возможность обновлять динамическое DNS-имя каждый раз, когда от ISP получена новая аренда DHCP. Эта установка идеальна, когда сервер OpenVPN представляет собой машину с одним сетевым адаптером внутри брандмауэра.
• Используйте клиентское приложение динамического DNS, такое как ddclient, для обновления динамического адреса DNS при изменении IP-адреса сервера.Эта установка идеальна, когда машина, на которой запущен OpenVPN, имеет несколько сетевых адаптеров и действует как межсетевой экран / шлюз на уровне всего сайта. Чтобы реализовать эту настройку, вам необходимо настроить сценарий, который будет запускаться вашим программным обеспечением DHCP-клиента каждый раз, когда происходит изменение IP-адреса. Этот сценарий должен (а) запустить ddclient , чтобы уведомить вашего поставщика динамических DNS о вашем новом IP-адресе, и (б) перезапустить демон сервера OpenVPN.

Клиент OpenVPN по умолчанию распознает изменение IP-адреса сервера, если в конфигурации клиента используется удаленная директива , которая ссылается на динамическое DNS-имя.Обычная цепочка событий состоит в том, что (а) клиент OpenVPN не может своевременно получать сообщения поддержки активности от старого IP-адреса сервера, вызывая перезапуск, и (б) перезапуск вызывает повторное изменение имени DNS в директиве remote . разрешено, что позволяет клиенту повторно подключиться к серверу по его новому IP-адресу.

Более подробную информацию можно найти в FAQ.

Подключение к серверу OpenVPN через прокси-сервер HTTP.

OpenVPN поддерживает соединения через HTTP-прокси со следующими режимами аутентификации:

• Без аутентификации прокси
• Базовая проверка подлинности прокси-сервера
• Проверка подлинности прокси NTLM

Прежде всего, использование прокси-сервера HTTP требует, чтобы вы использовали TCP в качестве протокола передачи туннеля.Поэтому добавьте следующее в конфигурацию клиента и сервера:

  протокол протокола TCP  

Убедитесь, что все строки proto udp в файлах конфигурации удалены.

Затем добавьте директиву http-proxy в файл конфигурации клиента (полное описание этой директивы см. На странице руководства).

Например, предположим, что у вас есть прокси-сервер HTTP в клиентской локальной сети по адресу 192.168.4.1 , который прослушивает соединения на порту 1080 .Добавьте это в конфигурацию клиента:

  http-прокси 192.168.4.1 1080  

Предположим, прокси-сервер HTTP требует базовой проверки подлинности:

  http-прокси 192.168.4.1 1080 stdin базовый  

Предположим, прокси-сервер HTTP требует проверки подлинности NTLM:

  http-прокси 192.168.4.1 1080 stdin ntlm  

Два приведенных выше примера аутентификации заставят OpenVPN запрашивать имя пользователя / пароль из стандартного ввода.Если вместо этого вы хотите поместить эти учетные данные в файл, замените stdin именем файла и поместите имя пользователя в строку 1 этого файла и пароль в строку 2.

Подключение к общему ресурсу Samba через OpenVPN

Этот пример предназначен для демонстрации того, как клиенты OpenVPN могут подключаться к общему ресурсу Samba через маршрутизируемый туннель dev tun . Если вы используете мост Ethernet ( dev tap ), вам, вероятно, не нужно следовать этим инструкциям, поскольку клиенты OpenVPN должны видеть серверные машины в своем сетевом окружении.

В этом примере мы предположим, что:

• серверная LAN использует подсеть 10.66.0.0/24 ,
• пул IP-адресов VPN использует 10.8.0.0/24 (как указано в директиве server в файле конфигурации сервера OpenVPN),
• , сервер Samba имеет IP-адрес 10.66.0.4 и
• , сервер Samba уже настроен и доступен из локальной сети.

Если серверы Samba и OpenVPN работают на разных машинах, убедитесь, что вы следовали разделу о расширении возможностей VPN за счет включения дополнительных машин.

Затем отредактируйте файл конфигурации Samba ( smb.conf ). Убедитесь, что директива hosts разрешает разрешает подключение клиентов OpenVPN из подсети 10.8.0.0/24 . Например:

  хостов allow = 10.66.0.0/24 10.8.0.0/24 127.0.0.1  

Если вы используете серверы Samba и OpenVPN на одном компьютере, вам может потребоваться отредактировать директиву interfaces в файле smb.conf , чтобы также прослушивать подсеть интерфейса TUN 10.8.0.0 / 24 :

  интерфейсов = 10.66.0.0/24 10.8.0.0/24  

Если вы используете серверы Samba и OpenVPN на одном компьютере, подключитесь с клиента OpenVPN к общему ресурсу Samba, используя имя папки:

  \ 10.8.0.1 \ sharename  

Если серверы Samba и OpenVPN находятся на разных машинах, используйте имя папки:

  \ 10.66.0.4 \ имя пользователя  

Например, из окна командной строки:

  чистое использование z: \ 10.66.0.4 \ sharename / ПОЛЬЗОВАТЕЛЬ: myusername  

Реализация конфигурации балансировки нагрузки / аварийного переключения

Клиент

Конфигурация клиента OpenVPN может ссылаться на несколько серверов для балансировки нагрузки и переключения при отказе. Например:

  удаленный server1.mydomain
удаленный server2.mydomain
удаленный server3.mydomain  

укажет клиенту OpenVPN попытаться установить соединение с server1, server2 и server3 в указанном порядке.Если существующее соединение разорвано, клиент OpenVPN повторит попытку последнего подключенного сервера и, если это не удастся, перейдет к следующему серверу в списке. Вы также можете указать клиенту OpenVPN случайным образом распределить список серверов при запуске, чтобы клиентская нагрузка была вероятностно распределена по пулу серверов.

  удаленно-случайное  

Если вы также хотите, чтобы из-за сбоев разрешения DNS клиент OpenVPN перешел на следующий сервер в списке, добавьте следующее:

  resolv-retry 60  

Параметр 60 сообщает клиенту OpenVPN попробовать разрешить каждое удаленное DNS-имя в течение 60 секунд, прежде чем перейти к следующему серверу в списке.

Список серверов также может относиться к нескольким демонам сервера OpenVPN, запущенным на одном компьютере, каждый из которых прослушивает соединения на другом порту, например:

  удаленный smp-server1.mydomain 8000
удаленный smp-server1.mydomain 8001
удаленный smp-server2.mydomain 8000
удаленный smp-server2.mydomain 8001  

Если ваши серверы являются многопроцессорными машинами, запуск нескольких демонов OpenVPN на каждом сервере может быть выгодным с точки зрения производительности.

OpenVPN также поддерживает удаленную директиву , относящуюся к DNS-имени, которое имеет несколько записей A в конфигурации зоны для домена. В этом случае клиент OpenVPN будет случайным образом выбирать одну из записей A каждый раз при разрешении домена.

Сервер

Самый простой подход к конфигурации балансировки нагрузки / переключения при отказе на сервере заключается в использовании эквивалентных файлов конфигурации на каждом сервере в кластере, за исключением использования разных пулов виртуальных IP-адресов для каждого сервера.Например:

сервер1

  сервер 10.8.0.0 255.255.255.0  

сервер2

  сервер 10.8.1.0 255.255.255.0  

сервер3

  сервер 10.8.2.0 255.255.255.0  

Повышение безопасности OpenVPN

Один из часто повторяемых принципов сетевой безопасности состоит в том, что нельзя доверять одному компоненту безопасности настолько, чтобы его отказ стал причиной катастрофического нарушения безопасности.OpenVPN предоставляет несколько механизмов для добавления дополнительных уровней безопасности для защиты от такого исхода.

tls-auth

Директива tls-auth добавляет дополнительную подпись HMAC ко всем пакетам подтверждения SSL / TLS для проверки целостности. Любой пакет UDP, не содержащий правильной подписи HMAC, может быть отброшен без дальнейшей обработки. Подпись tls-auth HMAC обеспечивает дополнительный уровень безопасности, превышающий уровень, обеспечиваемый SSL / TLS. Может защитить от:

• DoS-атаки или наводнение порта на UDP-порту OpenVPN.
• Сканирование портов для определения того, какие UDP-порты сервера находятся в состоянии прослушивания.
• Уязвимости переполнения буфера в реализации SSL / TLS.
• инициирований установления связи SSL / TLS с неавторизованных машин (хотя такие рукопожатия в конечном итоге не будут проходить аутентификацию, tls-auth может отключить их на гораздо более раннем этапе).

Использование tls-auth требует, чтобы вы сгенерировали общий секретный ключ, который используется в дополнение к стандартному сертификату / ключу RSA:

  openvpn --genkey --secret ta.ключ  

Эта команда сгенерирует статический ключ OpenVPN и запишет его в файл ta.key . Этот ключ следует скопировать по уже существующему защищенному каналу на сервер и все клиентские машины. Его можно разместить в том же каталоге, что и файлы RSA .key и .crt .

В конфигурации сервера добавить:

  tls-auth ta.key 0  

В конфигурации клиента добавить:

  tls-auth ta.ключ 1  

прото udp

Хотя OpenVPN позволяет использовать протокол TCP или UDP в качестве VPN-соединения, протокол UDP обеспечивает лучшую защиту от DoS-атак и сканирования портов, чем TCP:

  протокол протокола udp  

пользователь / группа (только не для Windows)

OpenVPN был очень тщательно разработан, чтобы позволить отбрасывать привилегии root после инициализации, и эту функцию всегда следует использовать в Linux / BSD / Solaris.Без привилегий root запущенный демон сервера OpenVPN предоставляет злоумышленнику гораздо менее заманчивую цель.

  пользователь никто
группа никто  

Непривилегированный режим (только Linux)

В Linux OpenVPN можно запускать совершенно непривилегированно. Эта конфигурация немного сложнее, но обеспечивает лучшую безопасность.

Для работы с этой конфигурацией OpenVPN должен быть настроен для использования интерфейса iproute, это делается путем указания —enable-iproute2 для скрипта настройки.Пакет sudo также должен быть доступен в вашей системе.

Эта конфигурация использует возможность Linux изменять разрешение устройства tun, чтобы непривилегированный пользователь мог получить к нему доступ. Он также использует sudo для выполнения iproute, чтобы можно было изменить свойства интерфейса и таблицу маршрутизации.

Конфигурация OpenVPN:

• • Напишите следующий сценарий и поместите его в: / usr / local / sbin / unpriv-ip:

  #! / Bin / sh
sudo / sbin / ip $ *
  

• • Выполните visudo и добавьте следующее, чтобы разрешить пользователю user1 выполнить / sbin / ip:

  user1 ALL = (ALL) NOPASSWD: / sbin / ip  

• Вы также можете включить группу пользователей с помощью следующей команды:

 % пользователей ALL = (ALL) NOPASSWD: / sbin / ip  

• • Добавьте в конфигурацию OpenVPN следующее:

  разработчик tunX / tapX
iproute / usr / местные / sbin / unpriv-ip  

• Обратите внимание, что вы должны выбрать постоянный X и указать tun или tap не одновременно.
  • В качестве пользователя root добавьте постоянный интерфейс и разрешите пользователю и / или группе управлять им, выполните следующие действия: создайте tunX (замените своим собственным) и разрешите пользователям user1 и group доступ к нему.

  openvpn --mktun --dev tunX --type tun --user user1 --group users  

• Запустите OpenVPN в контексте непривилегированного пользователя.

Дополнительные ограничения безопасности могут быть добавлены путем проверки параметров в сценарии / usr / local / sbin / unpriv-ip.

chroot (только не для Windows)

Директива chroot позволяет заблокировать демон OpenVPN в так называемой chroot jail , где демон не сможет получить доступ к какой-либо части файловой системы хост-системы, за исключением определенного каталога, указанного в качестве параметра для директива. Например,

  chroot jail  

заставит демон OpenVPN перейти в подкаталог jail при инициализации, а затем переориентирует свою корневую файловую систему в этот каталог, чтобы после этого демон не мог получить доступ к любым файлам за пределами jail и его дерева подкаталогов .Это важно с точки зрения безопасности, потому что даже если бы злоумышленник смог скомпрометировать сервер с помощью эксплойта вставки кода, эксплойт был бы заблокирован для большей части файловой системы сервера.

Предостережения: поскольку chroot переориентирует файловую систему (только с точки зрения демона), необходимо поместить все файлы, которые могут понадобиться OpenVPN после инициализации, в каталог jail , например:

• файл crl-verify или
• каталог client-config-dir .

Большие ключи RSA

Размер ключа RSA управляется переменной KEY_SIZE в файле easy-rsa / vars , которая должна быть установлена ​​до создания любых ключей. В настоящее время по умолчанию установлено 1024, это значение может быть разумно увеличено до 2048 без отрицательного влияния на производительность VPN-туннеля, за исключением немного более медленного квитирования повторного согласования SSL / TLS, которое происходит один раз для каждого клиента в час, и гораздо более медленного однократного Diffie Процесс генерации параметров Хеллмана с помощью сценария easy-rsa / build-dh .

Симметричные ключи большего размера

По умолчанию OpenVPN использует Blowfish , 128-битный симметричный шифр.

OpenVPN автоматически поддерживает любой шифр, который поддерживается библиотекой OpenSSL, и, как таковой, может поддерживать шифры с ключами большого размера. Например, 256-битную версию AES (Advanced Encryption Standard) можно использовать, добавив следующее в файлы конфигурации сервера и клиента:

  шифр AES-256-CBC  

Сохранить корневой ключ (

Одно из преимуществ безопасности использования PKI X509 (как это делает OpenVPN) заключается в том, что корневой ключ CA ( ca. key ) не обязательно должен присутствовать на сервере OpenVPN. В среде с высоким уровнем безопасности вам может потребоваться специально назначить машину для целей подписания ключей, обеспечить хорошую физическую защиту машины и отключить ее от всех сетей. При необходимости можно использовать дискеты для перемещения файлов ключей вперед и назад.Такие меры чрезвычайно затрудняют кражу корневого ключа злоумышленнику, за исключением физического кражи машины для подписи ключей.

Отзыв сертификатов

Отзыв сертификата означает аннулирование ранее подписанного сертификата, чтобы его больше нельзя было использовать для целей аутентификации.

Типичные причины отзыва сертификата:

• Закрытый ключ, связанный с сертификатом, скомпрометирован или украден.
• Пользователь зашифрованного закрытого ключа забывает пароль на ключе.
• Вы хотите прекратить доступ пользователя VPN.

Пример

В качестве примера мы отзовем сертификат client2 , который мы сгенерировали выше в разделе «генерация ключей» HOWTO.

Сначала откройте оболочку или окно командной строки и перейдите в каталог easy-rsa , как вы это делали в разделе «генерация ключей» выше. В Linux / BSD / Unix:

 ../vars
./revoke-full client2
  

В Windows:

  варов
revoke-full client2
  

Вы должны увидеть примерно такой результат:

 Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
ОТЛАДКА [load_index]: unique_subject = "да"
Отзыв сертификата 04.
База данных обновлена
Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
ОТЛАДКА [load_index]: unique_subject = "да"
клиент2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/[email protected]
ошибка 23 при поиске глубины 0: сертификат отозван 

Обратите внимание на «ошибку 23» в последней строке. Это то, что вы хотите увидеть, поскольку это указывает на то, что проверка сертификата отозванного сертификата не удалась.

Сценарий revoke-full сгенерирует файл CRL (список отзыва сертификатов) с именем crl.pem в подкаталоге keys . Файл должен быть скопирован в каталог, в котором сервер OpenVPN может получить к нему доступ, затем проверка CRL должна быть включена в конфигурации сервера:

  crl-verify crl.pem  

Теперь все подключающиеся клиенты будут иметь свои клиентские сертификаты, проверенные по списку отзыва сертификатов, и любое положительное совпадение приведет к разрыву соединения.

CRL Примечания

• Когда опция crl-verify используется в OpenVPN, файл CRL будет перечитываться каждый раз, когда подключается новый клиент или существующий клиент повторно согласовывает соединение SSL / TLS (по умолчанию один раз в час). Это означает, что вы можете обновлять файл CRL во время работы демона сервера OpenVPN, а новый CRL немедленно вступает в силу для вновь подключающихся клиентов.Если клиент, чей сертификат вы отзываете, уже подключен, вы можете перезапустить сервер с помощью сигнала (SIGUSR1 или SIGHUP) и сбросить все клиенты, или вы можете telnet к интерфейсу управления и явно убить конкретный объект экземпляра клиента на сервере, не мешая другие клиенты.
• Хотя директива crl-verify может использоваться как на сервере OpenVPN, так и на клиентах, обычно нет необходимости распространять файл CRL клиентам, если сертификат сервера не был отозван.Клиентам не нужно знать о других клиентских сертификатах, которые были отозваны, потому что клиенты не должны принимать прямые соединения от других клиентов в первую очередь.
• Файл CRL не является секретным и должен быть доступен для чтения всем, чтобы демон OpenVPN мог прочитать его после того, как были отброшены привилегии root.
• Если вы используете директиву chroot , обязательно поместите копию файла CRL в каталог chroot, поскольку в отличие от большинства других файлов, которые читает OpenVPN, файл CRL будет прочитан после выполнения вызова chroot, а не до .
• Распространенной причиной отзыва сертификатов является то, что пользователь шифрует свой закрытый ключ паролем, а затем забывает его. Отозвав исходный сертификат, можно сгенерировать новую пару сертификат / ключ с исходным общим именем пользователя.

Важное примечание о возможной атаке «Человек посередине», если клиенты не проверяют сертификат сервера, к которому они подключаются.

Чтобы избежать возможной атаки Man-in-the-Middle, когда авторизованный клиент пытается подключиться к другому клиенту, выдавая себя за сервер, убедитесь, что клиенты используют какую-то проверку сертификата сервера.В настоящее время для этого существует пять различных способов, перечисленных в порядке предпочтения:

• [OpenVPN 2.1 и выше] Создайте сертификаты сервера с конкретным использованием ключей и расширенным использованием ключей. RFC3280 определяет, что для подключений TLS должны быть предоставлены следующие атрибуты:
  

  Mode	Использование ключа	Использование расширенного ключа
  Клиент	цифровая подпись	Аутентификация веб-клиента TLS
  	ключ Соглашение
  	цифровая Подпись, ключ Соглашение
  Сервер	цифровая подпись, ключ шифрования	Аутентификация веб-сервера TLS
  	цифровая Подпись, ключ Соглашение

  Сертификаты сервера можно создать с помощью сценария build-key-server (дополнительную информацию см. В документации easy-rs).Это будет обозначать сертификат как сертификат только для сервера путем установки правильных атрибутов. Теперь добавьте следующую строку в конфигурацию вашего клиента:

    удаленный сервер сертификатов tls  

• [OpenVPN 2.0 и ниже] Создайте сертификаты сервера с помощью сценария build-key-server (дополнительную информацию см. В документации easy-rsa). Это обозначит сертификат как сертификат только для сервера, установив nsCertType = server.Теперь добавьте следующую строку в конфигурацию вашего клиента:
  

    Сервер NS-Cert  

  Это заблокирует подключение клиентов к любому серверу, в сертификате которого отсутствует обозначение сервера nsCertType =, даже если сертификат был подписан файлом ca в файле конфигурации OpenVPN.

• Используйте директиву tls-remote на клиенте, чтобы принять / отклонить соединение с сервером на основе общего имени сертификата сервера.
• Используйте сценарий или подключаемый модуль tls-verify , чтобы принять / отклонить соединение с сервером на основе пользовательской проверки сведений о субъекте X509, встроенных в сертификат сервера.
• Подписывайте сертификаты сервера с помощью одного ЦС, а сертификаты клиента — с помощью другого ЦС. Директива конфигурации клиента ca должна ссылаться на файл CA подписи сервера, тогда как директива конфигурации сервера ca должна ссылаться на файл CA подписи клиента.

Статический ключ Mini-HOWTO | OpenVPN

Введение

предлагают самую простую настройку и идеально подходят для сетей VPN типа «точка-точка» или для проверки концепции.

Static Key

• Простая настройка
• Нет X509 PKI (инфраструктура открытых ключей) для обслуживания

Static Ключевые недостатки

• Ограниченная масштабируемость — один клиент, один сервер
• Отсутствие совершенной прямой секретности — ключевой компромисс приводит к полному раскрытию информации о предыдущих сеансах
• Секретный ключ должен существовать в виде открытого текста на каждом узле VPN
• Секретный ключ должен быть обменен по уже существующему защищенному каналу

Простой пример

Этот пример демонстрирует простую конфигурацию OpenVPN точка-точка.Будет создан VPN-туннель с конечной точкой сервера 10.8.0.1 и конечной точкой клиента 10.8.0.2. Зашифрованная связь между клиентом и сервером будет происходить через порт UDP 1194, порт OpenVPN по умолчанию.

Создать статический ключ:

  openvpn --genkey --secret static.key  

Скопируйте статический ключ на клиент и сервер по уже существующему защищенному каналу.

Файл конфигурации сервера

  dev tun
ifconfig 10.8.0.1 10.8.0.2
секрет static.key  

Файл конфигурации клиента

  удаленный myremote.mydomain
Dev Tun
ifconfig 10.8.0.2 10.8.0.1
секрет static.key  

Конфигурация межсетевого экрана

Убедитесь, что:

• UDP-порт 1194 открыт на сервере, а
• виртуальный интерфейс TUN, используемый OpenVPN, не заблокирован ни на клиенте, ни на сервере (в Linux интерфейс TUN, вероятно, будет называться tun0 , в то время как в Windows он, вероятно, будет называться как-то вроде Подключение по локальной сети n , если только вы переименовываете его в панели управления сетевыми подключениями).

Имейте в виду, что 90% всех проблем с подключением, с которыми сталкиваются новые пользователи OpenVPN, связаны с межсетевым экраном.

Тестирование VPN

Запустите OpenVPN, используя соответствующие файлы конфигурации как на сервере, так и на клиенте, заменив myremote.mydomain в конфигурации клиента на доменное имя или общедоступный IP-адрес сервера.

Чтобы убедиться, что VPN работает, вы должны иметь возможность отправлять эхо-запросы 10.8.0.2 с сервера и 10.8.0.1 с клиента.

Расширение простого примера

Использовать сжатие в канале VPN

Добавьте следующую строку в файлы конфигурации клиента и сервера:

  comp-lzo  

Сделать ссылку более устойчивой к сбоям подключения

Сделка с:

• поддерживает соединение через NAT-маршрутизатор / брандмауэр и
• следует за DNS-именем сервера, если он меняет свой IP-адрес.

Добавьте следующее в файлы конфигурации клиента и сервера:

  поддержки активности 10 60
пинг-таймер-rem
настойчивый туннель
постоянный ключ  

Запустить OpenVPN как демон (только Linux / BSD / Solaris / MacOSX)

Запустить OpenVPN как демон и передать права пользователю / группе никто .

Добавить в файл конфигурации (клиент и / или сервер):

  пользователь никто
группа никто
демон  

Разрешить клиенту достичь всей подсети сервера

Предположим, что сервер OpenVPN находится в подсети 192.168.4.0/24 . Добавьте в конфигурацию клиента следующее:

  маршрут 192.168.4.0 255.255.255.0  

Затем на стороне сервера добавьте маршрут к шлюзу локальной сети сервера, который маршрутизирует 10.8.0.2 на серверный компьютер OpenVPN (необходимо только в том случае, если серверный компьютер OpenVPN не является также шлюзом для локальной сети на стороне сервера). Также не забудьте включить переадресацию IP на сервере OpenVPN.

Мостовое соединение Ethernet | OpenVPN

Мостовое соединение Ethernet по существу включает в себя объединение интерфейса Ethernet с одним или несколькими виртуальными интерфейсами TAP и их соединение в рамках единого интерфейса моста. Мосты Ethernet представляют собой программный аналог физического коммутатора Ethernet.Мост Ethernet можно рассматривать как своего рода программный коммутатор, который можно использовать для подключения нескольких интерфейсов Ethernet (физических или виртуальных) на одной машине при совместном использовании одной IP-подсети.

Соединяя физический сетевой адаптер Ethernet с TAP-интерфейсом, управляемым OpenVPN, в двух разных местах, можно логически объединить обе сети Ethernet, как если бы они были одной подсетью Ethernet.

Установка моста

Этот пример поможет вам настроить Ethernet-мост на стороне сервера OpenVPN.Несколько клиентов смогут подключиться к мосту, и каждому интерфейсу TAP клиента будет назначен IP-адрес, который является частью локальной сети сервера.

Существует два метода обработки назначения IP-адреса клиента:

• Позвольте OpenVPN управлять своим собственным пулом IP-адресов клиентов с помощью директивы server-bridge или
• настройте DHCP-сервер в локальной сети, чтобы он также предоставлял аренду IP-адресов клиентам VPN.

В этом примере мы будем использовать первый метод, при котором сервер OpenVPN управляет своим собственным пулом IP-адресов в подсети LAN, отдельно от пула, используемого сервером DHCP (если он существует).Оба метода более подробно описаны в этом пункте часто задаваемых вопросов.

В нашем примере мы будем использовать следующие настройки моста:

Первым шагом является выполнение HOWTO до раздела «Запуск VPN и тестирование начального подключения».Затем выполните следующие действия в зависимости от того, настраиваете ли вы мост в Linux или Windows.

Сервер моста в Linux

Сначала убедитесь, что у вас установлен пакет bridge-utils .

Отредактируйте приведенный ниже сценарий запуска моста. Установите параметры br , tap , eth , eth_ip , eth_netmask и eth_broadcast в соответствии с физическим интерфейсом Ethernet, который вы хотите соединить. Убедитесь, что вы используете частный интерфейс, подключенный к локальной сети, защищенной от Интернета брандмауэром.Вы можете использовать команду Linux ifconfig , чтобы получить необходимую информацию о ваших сетевых интерфейсах для заполнения параметров bridge-start .

Теперь запустите сценарий bridge-start . Он создаст постоянный интерфейс tap0 и соединит его с активным интерфейсом Ethernet.

Затем мы отредактируем файл конфигурации сервера OpenVPN, чтобы включить конфигурацию моста.

Закомментируйте строку, в которой написано dev tun , и замените ее на:

  dev tap0  

Закомментируйте строку, которая начинается с server , и замените ее на:

  серверный мост 192.168.8.4 255.255.255.0 192.168.8.128 192.168.8.254  

  сервер-мост 192.168.8.4 255.255.255.0 192.168.8.128 192.168.8.254  

Примечания — Мост Ethernet в Linux, сценарии установки

Эти сценарии будут обрабатывать установку и завершение работы моста в Linux. Они доступны в подкаталоге sample-scripts архива OpenVPN.

  #! / Bin / bash

################################
# Настроить мост Ethernet в Linux
# Требуется: bridge-utils
################################

# Определить интерфейс моста
br = "br0"

# Определить список TAP-интерфейсов для соединения,
# например, tap = "tap0 tap1 tap2".tap = "tap0"

# Определить физический интерфейс Ethernet для подключения
# с интерфейсами TAP выше.
eth = "eth0"
eth_ip = "192.168.8.4"
eth_netmask = "255.255.255.0"
eth_broadcast = "192.168.8.255"

для t в $ tap; делать
    openvpn --mktun --dev $ t
сделано

brctl addbr $ br
brctl addif $ br $ eth

для t в $ tap; делать
    brctl addif $ br $ t
сделано

для t в $ tap; делать
    ifconfig $ t 0.0.0.0 промиск вверх
сделано

ifconfig $ eth 0.0.0.0 промиск вверх

ifconfig $ br $ eth_ip netmask $ eth_netmask broadcast $ eth_broadcast
  

  #! / Bin / bash

###################################
# Разрушить мост Ethernet в Linux
###################################

# Определить интерфейс моста
br = "br0"

# Определить список интерфейсов TAP, которые будут соединены вместе
tap = "tap0"

ifconfig $ br вниз
brctl delbr $ br

для t в $ tap; делать
    openvpn --rmtun --dev $ t
сделано  

Как настроить VPN в Windows

VPN (виртуальная частная сеть) позволяет компьютеру, использующему общедоступное Интернет-соединение, присоединяться к частной сети посредством безопасного «туннеля» между этим компьютером и сетью.Это защищает данные от просмотра или подделки злоумышленниками. Два наиболее распространенных варианта использования — это потребительские VPN-сервисы, которые позволяют людям работать в частном порядке из дома или в общественных местах, и бизнес-ориентированные решения, позволяющие сотрудникам безопасно подключаться к корпоративной сети удаленно.

Теперь, когда так много людей вынуждены работать из дома из-за пандемии коронавируса, мы подтвердили, что эта процедура актуальна и работает, как описано.Вы также можете ознакомиться с нашим руководством по работе из дома с техническими советами и общими рекомендациями по настройке, основанными на нашем обширном личном опыте работы в домашних офисах.

По большей части, VPN-соединения обрабатываются специальным программным обеспечением, таким как многие рассмотренные нами потребительские VPN-сервисы, или сторонним универсальным программным обеспечением, таким как клиент OpenVPN или Cisco AnyConnect.

Другой вариант, который обычно поддерживается большинством виртуальных частных сетей, — это использование встроенного VPN-клиента Microsoft.Это полезно, когда некоторые VPN не предоставляют своего собственного клиента или если вы хотите использовать протокол VPN, не поддерживаемый вашим клиентом VPN, например IKEv2.

Обратной стороной использования встроенного клиента является то, что вам нужно выбрать конкретный сервер для использования, а не переключаться между разными местоположениями, как это можно сделать с коммерческой службой VPN. С другой стороны, большинство VPN, предоставляемых работодателем, предлагают ограниченное количество серверов, к которым вы можете подключиться, что делает использование этого клиента идеальным.

Пошаговое руководство: как настроить VPN в Windows 10

Шаг 1 Щелкните строку поиска Cortana или кнопку на панели задач и введите vpn .

Шаг 2 Лучшим выбором будет Изменить виртуальную частную сеть (VPN) . Либо откройте приложение «Настройки» и выберите « Сеть и Интернет»> «VPN».

Встроенные настройки VPN-клиента Windows 10.

Шаг 3 В верхней части экрана VPN в приложении «Настройки» щелкните Добавить VPN-соединение.

Встроенное окно настройки VPN-клиента Windows 10.

Шаг 4 На появившемся экране введите сведения о VPN-подключении.В разделе «VPN-провайдер» щелкните раскрывающееся меню и выберите Windows (встроенный) . Это также изменит «Тип VPN» на Автоматический и «Тип информации для входа» на Имя пользователя и пароль .

Шаг 5 Затем заполните поля «Имя соединения» и «Имя или адрес сервера». Они различаются в зависимости от вашего поставщика VPN — будь то сторонняя служба или работодатель. В этом примере мы используем Acevpn, бесклиентскую службу VPN, которая поддерживает различные типы подключения, такие как IKEv2, L2TP и PPTP.

Step 6 Прокрутите этот экран вниз, и вы увидите место для ввода имени пользователя и пароля для VPN — опять же, предоставленных вашей службой VPN. После ввода информации нажмите Сохранить и закройте приложение «Настройки».

VPN-соединение IKEv2 готово к работе в Windows 10.

Шаг 7 Щелкните значок Wi-Fi на панели задач на панели задач и выберите вновь созданное VPN-соединение, которое должно быть в верхней части списка.Он должен автоматически начать подключение, и, если все пойдет хорошо, процесс подключения должен произойти относительно быстро.

Вышеупомянутый процесс работает для более простых типов VPN-подключения, таких как PPTP и L2TP, но если вы хотите использовать IKEv2, для этого требуется установка корневого сертификата от вашего VPN-провайдера. Имейте в виду, что не все службы поддерживают IKEv2, поэтому использование этого метода во многом зависит от вашего поставщика услуг VPN или работодателя.

Как бы то ни было, вот как это работает в Windows 10.

Сначала загрузите сертификат IKEv2 вашего VPN-провайдера на рабочий стол или в другое удобное место. Затем дважды щелкните файл сертификата, и появится предупреждение системы безопасности. Щелкните Открыть .

В следующем открывшемся окне нажмите Установить сертификат…

Мастер импорта сертификатов Windows 10.

Теперь мы подошли к мастеру импорта сертификатов. Установите переключатель Local Machine и нажмите Next .

На следующем экране обязательно установите переключатель с надписью Поместите все сертификаты в следующее хранилище и нажмите Обзор…

Откроется меньшее окно с деревом папок. Выберите Доверенные корневые центры сертификации , а затем нажмите ОК . Теперь мы вернулись в окно мастера импорта сертификатов. Отсюда нажмите Далее.

Тяжелая часть окончена. На следующем экране нажмите Finish , а затем OK в меньшем окне.

Теперь, когда сертификат установлен, мы можем настроить IKEv2 VPN, используя те же пошаговые инструкции, приведенные выше. Просто убедитесь, что вы выбрали IKEv2 в разделе «Тип VPN», а затем используете имя сервера, адрес, имя пользователя и пароль, предоставленные вашим поставщиком услуг.

После подключения к VPN убедитесь, что ваша VPN работает, посетив IPleak.net. Вы должны увидеть IP-адрес и DNS-серверы, которые отличаются от вашего состояния без VPN. Если вы этого не сделаете, существует ряд потенциальных причин, которые мы не можем здесь рассматривать.Лучше всего проконсультироваться с отделом интеллектуальной собственности вашей компании или в службе поддержки вашей VPN.

Однако одно простое и распространенное решение проблем IKEv2 — это щелкнуть правой кнопкой мыши значок Wi-Fi или Ethernet на панели задач и выбрать Открыть центр управления сетями и общим доступом из контекстного меню. Когда откроется Панель управления, нажмите Изменить настройки адаптера слева, затем щелкните правой кнопкой мыши имя вашего VPN-подключения и перейдите в Свойства > Протокол Интернета версии 4 (TCP / IPv4)> Свойства> Дополнительно…> Настройки IP .Установите флажок «Использовать шлюз по умолчанию в удаленной сети» и нажмите ОК. Закройте все окна и попробуйте IP Leak еще раз.

Пошаговое руководство: как настроить VPN в Windows 7

Шаг 1 Нажмите кнопку Start . В строке поиска введите vpn , а затем выберите Настроить подключение к виртуальной частной сети (VPN) .

Шаг 2 Введите IP-адрес или доменное имя сервера, к которому вы хотите подключиться. Если вы подключаетесь к рабочей сети, ваш ИТ-администратор может предоставить лучший адрес.

Шаг 3 Если вы хотите настроить подключение, но не подключаться, выберите Не подключаться сейчас ; в противном случае оставьте поле пустым и нажмите Далее .

Шаг 4 На следующем экране вы можете ввести свое имя пользователя и пароль или оставить поле пустым. Вам будет предложено ввести это снова при фактическом подключении. Щелкните Connect .

Шаг 5 Для подключения щелкните логотип сети Windows в правом нижнем углу экрана; затем выберите Connect в разделе «VPN-подключение».”

Шаг 6 В поле «Подключить VPN-соединение» введите соответствующий домен и свои учетные данные; затем щелкните Connect .

Шаг 7 Если не удается подключиться, проблема может быть связана с конфигурацией сервера. (Существуют разные типы VPN.) Уточните у администратора сети, какой тип используется, например PPTP, затем на экране «Подключить VPN-соединение» выберите Свойства .

Шаг 8 Перейдите на вкладку «Безопасность» и выберите конкретный «Тип VPN» из раскрывающегося списка.Вам также может потребоваться отменить выбор Включить домен входа в Windows на вкладке «Параметры». Затем нажмите OK и Connect .

Требуется небольшая работа, но настройка VPN с использованием встроенного клиента Windows выполняется относительно быстро, и для пользователя это полезный навык.

4.4 Установление подключения к VPN-серверу

После установки SoftEther VPN Client и создания виртуального сетевого адаптера настройте параметры подключения для подключения к виртуальному концентратору желаемого SoftEther VPN-сервера.В этом разделе описывается информация, которую необходимо ввести при создании настройки подключения.

Параметры, описанные здесь, по большей части совпадают с параметрами, используемыми для настройки каскадного подключения к VPN-серверу или VPN-мосту на отдельном компьютере с использованием виртуального концентратора или VPN-сервера, описанного в разделе 3.4 Функции виртуального концентратора. Окна для редактирования настроек подключения каскадного подключения и VPN-клиента почти одинаковы, и результирующие операции при редактировании настроек подключения также одинаковы.См. Информацию, описанную здесь, при настройке каскадного подключения.

4.4.1 Выбор правильного метода подключения

Создание настройки подключения

На момент установки SoftEther VPN Client настройки подключения отсутствуют. Чтобы установить VPN-соединение с SoftEther VPN Server, вы должны создать настройку соединения. Чтобы создать настройку подключения, выберите [Настройка нового подключения] в меню [Подключить] диспетчера клиентов VPN. Далее в объяснениях по созданию настройки подключения и редактированию настроек предполагается, что это окно открыто.

Окно для создания и редактирования настройки подключения.

Чтобы подключить компьютер с установленным клиентом SoftEther VPN к виртуальному концентратору желаемого сервера SoftEther VPN, сначала необходимо нажать [Импортировать настройки прокси-сервера IE], чтобы импортировать настройки Internet Explorer, или выбрать правильный метод подключения в соответствии с сетевой средой компьютера. клиентские и серверные компьютеры. Выберите способ подключения в поле [Прокси-сервер для ретрансляции].При использовании прокси-сервера щелкните [Настройка подключения к прокси-серверу] и введите необходимые параметры.

Выберите один из следующих трех способов подключения.

• Прямое соединение TCP / IP
• Соединение через прокси-сервер HTTP
• Соединение через прокси-сервер SOCKS

Указание целевого VPN-сервера

Независимо от метода подключения необходимо правильно ввести имя хоста, номер порта и имя виртуального концентратора целевого сервера VPN.Номер порта по умолчанию — 5555 , но вы можете указать любой порт TCP / IP, ожидающий входящих подключений, в качестве порта прослушивателя на целевом сервере VPN. При подключении через прокси-сервер HTTP или при использовании высоких настроек брандмауэра рассмотрите возможность использования 443 (порт для доступа HTTPS). Для получения дополнительной информации о настройке номера порта обратитесь к администратору VPN-сервера.

4.4.2 Прямое соединение TCP / IP

Используйте прямое соединение TCP / IP в среде, где только прямая IP-маршрутизация может использоваться для установления IP-соединения между компьютером-клиентом VPN и компьютером-сервером VPN.Выберите этот параметр, когда, например, клиентский компьютер VPN и компьютер-сервер VPN оба напрямую подключены к глобальному IP-адресу, который можно использовать в Интернете, или когда между двумя компьютерами существует обычный NAT или прозрачный брандмауэр.

Прямое соединение TCP / IP.

4.4.3 Подключение через прокси-сервер HTTP

Если прямое соединение TCP / IP невозможно использовать, вы можете подключиться к серверу VPN через прокси-сервер HTTP.

Подключение через прокси-сервер HTTP.

Чтобы подключиться к VPN-серверу через прокси-сервер HTTP, выберите [Подключиться через HTTP-прокси-сервер], затем щелкните [Настройка подключения к прокси-серверу] и введите необходимую информацию. Для получения дополнительной информации о настройках в окне [Настройка подключения к прокси-серверу] обратитесь к администратору HTTP-сервера.

Окно настройки подключения к прокси-серверу.

4.4.4 Подключение через прокси-сервер SOCKS

Если прямое TCP / IP-соединение невозможно, вы можете подключиться к VPN-серверу через прокси-сервер SOCKS, если он доступен.

Подключение через прокси-сервер SOCKS.

Чтобы подключиться к VPN-серверу через прокси-сервер SOCKS, выберите [Подключиться через прокси-сервер SOCKS], затем щелкните [Настройка подключения к прокси-серверу] и введите необходимую информацию. Для получения дополнительной информации о настройках в окне [Настройка подключения к прокси-серверу] обратитесь к администратору SOCKS-сервера.

4.4.5 Проверка сертификата сервера

Включение проверки сертификата сервера

Как описано в 2.3 Аутентификация сервера, проверка того, что сертификат сервера целевого VPN-сервера действителен на компьютере-клиенте VPN, гарантирует с помощью математических расчетов, что целевой VPN-сервер является правильным компьютером и что нет никакого «злоумышленника». средний нападающий «. Для приложений с высоким уровнем безопасности, требующих проверки сертификата сервера, используйте опцию проверки сертификата сервера.

Установка флажка рядом с [Всегда проверять сертификат сервера] выполняет проверку SSL-сертификата сервера при установке VPN-подключения с использованием этой настройки подключения. По умолчанию этот флажок не установлен, поэтому при необходимости установите его.

При нажатии [Управление списком доверенных сертификатов ЦС] открывается окно со списком сертификатов от доверенных центров сертификации, которыми управляет клиент VPN (или виртуальный концентратор при каскадном подключении). Вы можете использовать это окно для добавления, удаления или подтверждения доверенных сертификатов.Когда [Всегда проверять сертификат сервера] включен и пользователь пытается подключиться к VPN, VPN-клиент (или виртуальный концентратор) проверяет, подписан ли сертификат, предоставленный целевым VPN-сервером, в соответствии со списком доверенных сертификатов, и подключается только к VPN-серверу с подписанным сертификатом.

Окно параметров проверки сертификата сервера.

При нажатии [Указать индивидуальный сертификат] заранее связывается уникальный сертификат сервера VPN-сервера, к которому VPN-клиент подключается, с этой настройкой подключения.Если у целевого VPN-сервера уже есть сертификат сервера, вы можете использовать эту функцию для регистрации этого сертификата, тем самым аутентифицируя сервер. Это простой способ аутентификации небольшого целевого VPN-сервера.

, отображаемое, когда проверка сертификата включена и целевой VPN-сервер представляет ненадежный сертификат сервера при подключении (только для VPN-клиента)

Окно [Предупреждение безопасности] отображается, если определено, что сертификат, предоставленный целевым VPN-сервером, нельзя доверять при подключении к VPN-серверу с включенной опцией [Всегда проверять сертификат сервера].В этом окне отображается подробная информация о сертификате, предоставленном VPN-сервером. Вы можете просмотреть отображаемую информацию, чтобы определить, следует ли доверять целевому VPN-серверу. Например, вы можете обеспечить безопасность целевого VPN-сервера, проверив действительность дайджеста-значения, отображаемого администратору VPN-сервера по телефону, или используя другой относительно безопасный метод. Нажатие [Отменить соединение] отменяет попытку подключения к серверу VPN.

Окно предупреждения системы безопасности отображается для сертификата ненадежного сервера.

При нажатии [Продолжить подключение] отображается диалоговое окно с вопросом, в котором пользователь может доверять сертификату. При нажатии [Да] этот сертификат регистрируется как [индивидуальный сертификат] для настройки подключения, и предупреждение системы безопасности больше не отображается, если нет изменений в сертификате, представленном сервером VPN. При нажатии [Нет] сертификат не регистрируется.

Диалоговое окно с вопросом, доверять ли сертификату сервера.

Если сертификат, представленный VPN-сервером, отличается от отдельного сертификата, зарегистрированного в настройке подключения, отображается диалоговое окно ниже. В этом случае мы рекомендуем немедленно разорвать соединение.

Окно предупреждения системы безопасности отображается, когда сертификаты сервера не совпадают.

4.4.6 Выбор виртуального сетевого адаптера

Пользователь VPN-клиента должен выбрать виртуальный сетевой адаптер для настройки подключения. Как описано в разделе 4.3 «Виртуальный сетевой адаптер», виртуальный сетевой адаптер необходимо заранее зарегистрировать в Windows. При создании настройки подключения выберите виртуальный сетевой адаптер, который вы хотите использовать для подключения к серверу VPN с настройкой подключения, из списка [Virtual Network Adapter to Use].

4.4.7 Настройка аутентификации пользователя

Выбор типа аутентификации пользователя

В настройках подключения необходимо ввести параметры, относящиеся к аутентификации пользователя. Выберите один из следующих методов аутентификации пользователя для [Тип аутентификации].

• Анонимная проверка подлинности
• Проверка подлинности стандартным паролем
• Проверка подлинности домена RADIUS или NT
• Проверка подлинности сертификата клиента
• Проверка подлинности смарт-карты
  (только для VPN-клиента.Не может использоваться в каскадном подключении.)

Вы должны ввести имя пользователя в [Имя пользователя] независимо от выбранного типа аутентификации пользователя. Другая необходимая информация зависит от выбранного типа аутентификации.

Информация, необходимая для анонимной аутентификации

Для использования анонимной аутентификации не требуется никакой информации, кроме имени пользователя. Дополнительные сведения об анонимной аутентификации см. В разделе 2.2 Аутентификация пользователя.

Информация, необходимая для аутентификации по стандартному паролю и аутентификации домена RADIUS или NT

Введите пароль для аутентификации пользователя при использовании стандартной парольной аутентификации или аутентификации домена RADIUS или NT.

Для получения дополнительной информации о парольной аутентификации см. 2.2 Аутентификация пользователя.

Информация, необходимая для аутентификации сертификата клиента

При использовании проверки подлинности сертификата клиента необходимо указать сертификат, который будет представлен на сервер VPN в качестве сертификата клиента. Чтобы указать сертификат, нажмите [Указать сертификат клиента].

Для получения дополнительной информации об аутентификации сертификата см. 2.2 Аутентификация пользователя.

Указанные здесь сертификат клиента и закрытый ключ записываются на диск в качестве информации настройки VPN-клиента.Обычно только пользователи с правами администратора могут читать файлы с информацией о настройках VPN-клиента, и поэтому это безопасно. Однако, если, например, украден ноутбук с установленным клиентом VPN, содержимое жесткого диска может быть проанализировано, и данные закрытого ключа могут быть украдены. Чтобы исключить этот риск, мы рекомендуем использовать проверку подлинности смарт-карты.

Информация, необходимая для аутентификации смарт-карты

При использовании проверки подлинности смарт-карты необходимо указать смарт-карту с сертификатом, который будет представлен на VPN-сервер в качестве сертификата клиента и имени объекта смарт-карты.Сначала нажмите [Выбрать смарт-карту] и выберите смарт-карту, которую хотите использовать. Затем щелкните [Указать сертификат и закрытый ключ] и выберите объект сертификата и объект закрытого ключа для аутентификации. Дополнительные сведения о смарт-картах см. В разделе 4.6 «Использование смарт-карт и управление ими».

4.4.8 Использование аутентификации смарт-карты

VPN-клиент поддерживает аутентификацию пользователя с помощью смарт-карты. Проверка подлинности смарт-карты является безопасным методом проверки подлинности, сравните с обычным режимом проверки подлинности и сертификации.Когда VPN-клиент подключается к VPN-серверу с аутентификацией по смарт-карте, судя со стороны VPN-сервера, похоже, что подключенный VPN-клиент использует обычный режим сертификации сертификатов. Но VPN-клиент начинает читать сертификат со смарт-карты, а не с жесткого диска. А закрытый ключ — это процесс аутентификации PKI с помощью подсказки операции RSA в смарт-карте, не вынимая ее.

О карте IC см. В разделе 4.6 «Использование смарт-карт и управление ими».

4.4.9 Функция автоматического повторного подключения

Вы можете настроить параметр для автоматического повторного подключения, как описано в разделе «Настройка повторного подключения при сбое или разрыве VPN-подключения» в 2.1 Протокол связи VPN. Чтобы использовать функцию автоматического повторного подключения, установите флажок рядом с [Повторное подключение при потере соединения с сервером VPN] и укажите [Счетчик повторного подключения] и [Интервал повторного подключения]. Установка флажка рядом с [Reconnection Endless (Keep VPN Session Always)] позволяет VPN-клиенту постоянно пытаться повторно подключиться к VPN-серверу, если соединение разорвано.

Функцию автоматического переподключения нельзя использовать при использовании аутентификации с помощью смарт-карты, потому что пользователю постоянно будет предлагаться ввести PIN-код для аутентификации пользователя для повторного подключения.

4.4.10 Отображение состояния подключения и сообщений об ошибках

Установка флажка рядом с [Не отображать состояние подключения и окно ошибок при подключении к VPN-серверу] предотвращает отображение диалоговых окон с сообщениями об ошибках и статусом подключения к VPN-серверу. Когда этот параметр включен, следующее диалоговое окно, например, не отображается, и процесс подключения выполняется в фоновом режиме.

Диалоговое окно, отображающее состояние подключения VPN-клиента.

4.4.11 Расширенные настройки связи

Чтобы внести изменения в дополнительные параметры настройки связи, как описано в 2.1 Протокол связи VPN, щелкните [Дополнительные параметры]. Эти настройки предназначены для системного администратора и пользователей, хорошо разбирающихся в протоколах сетевой связи и сетевой безопасности. Обычные конечные пользователи должны изменять только настройки, указанные администратором VPN-сервера или сетевым администратором.

Окно [Расширенные настройки].

4.4.12 Количество соединений TCP / IP для сеанса связи VPN

Вы можете настроить параметр [Количество TCP-соединений] в окне [Расширенные настройки]. Этот параметр описан в разделе «Число TCP / IP-соединений для связи VPN» в 2.1 Протокол связи VPN.

4.4.13 Интервал между TCP-соединениями и длина TCP-соединения

Вы можете настроить параметры [Установление интервала TCP-соединения] и [Оставаться в живых] в окне [Расширенные настройки].Эти настройки описаны в разделе «Интервал между соединениями TCP / IP и длина соединения TCP / IP» в 2.1 Протокол связи VPN.

4.4.14 Опция полудуплексного режима

Вы можете включить или отключить параметр [Использовать полудуплексный режим] в окне [Расширенные настройки]. Эта функция описана в разделе «Использование полудуплексного режима» в 2.1 Протокол связи VPN.

4.4.15 Опция шифрования SSL

Вы можете отключить параметр [Шифрование сеанса VPN с помощью SSL] в окне [Расширенные настройки].Эта функция описана в разделе «Отключение опции шифрования» в 2.1 Протокол связи VPN. Когда VPN-клиент подключен к VPN-серверу, работающему на локальном хосте (на том же хосте, что и клиент), шифрование SSL не требуется, поэтому этот параметр автоматически отключается.

4.4.16 Опция сжатия данных

Вы можете включить или отключить параметр [Использовать сжатие данных] в окне [Расширенные настройки]. Эта функция описана в разделе «Использование сжатия данных» в 2.1 Протокол связи VPN.

4.4.17 Выбор режима подключения

Вы можете включить любой из следующих двух режимов подключения в поле [Настройки режима подключения] окна [Дополнительные настройки].

• Режим моста / маршрутизатора
• Режим мониторинга

Установка флажка рядом с любым из этих режимов подключения включает этот режим подключения для сеанса подключения к серверу VPN. Для получения информации об этих специальных режимах подключения см. 1.6 Детали связи VPN.

4.4.18 Процесс перезаписи таблицы маршрутизации

По умолчанию параметр [Не изменять таблицу маршрутизации] в окне [Дополнительные параметры связи] отключен.

Windows автоматически перезаписывает таблицу маршрутизации, чтобы обеспечить правильную связь VPN, даже если сторона виртуального сетевого адаптера клиента VPN установлена ​​в качестве шлюза по умолчанию после подключения к серверу VPN.

Если по особой причине вы не хотите перезаписывать таблицу маршрутизации, установите флажок в поле рядом с этой опцией.

4.4.19 Подключение для запуска

Вы можете установить настройку подключения для запуска подключения, используя Диспетчер клиентов VPN, чтобы выбрать настройку подключения, а затем щелкнув [Установить как подключение для запуска] в меню [Подключить]. Если параметр подключения настроен для начального подключения, подключение к VPN-серверу автоматически запускается с использованием этого параметра подключения при запуске Windows.

Если, например, вы хотите поддерживать постоянное соединение с определенным виртуальным концентратором при работающем компьютере, установите для этого параметра подключения значение «Начальное соединение» и включите параметр [Бесконечное повторное подключение (всегда поддерживать сеанс VPN)].Таким образом, VPN-клиент автоматически пытается подключиться к VPN-серверу, используя указанные настройки подключения, при запуске Windows, даже если пользователь не вошел в Windows.

Значок настройки подключения, зарегистрированной в качестве начального подключения, в диспетчере клиентов VPN изменяется следующим образом.

Значок настройки подключения при установке подключения при запуске.

4.4.20 Экспорт и импорт настроек подключения

Экспорт и импорт

Вы можете экспортировать настройки подключения, зарегистрированные в VPN-клиенте, и сохранить их в виде файла.Экспортированный параметр подключения также можно скопировать, импортировав его в VPN-клиент, работающий на том же или отдельном компьютере.

Чтобы экспортировать настройку подключения, выберите настройку подключения и щелкните [Экспорт настройки подключения VPN] в меню [Подключить]. Затем укажите имя файла настройки подключения, которую вы хотите сохранить.

Вы можете легко импортировать экспортированную настройку подключения, просто дважды щелкнув файл настроек подключения в проводнике или в окне папки. Чтобы импортировать настройки подключения с помощью Диспетчера клиентов VPN, нажмите [Импортировать настройки подключения VPN] в меню [Подключить] и укажите имя файла для экспортированного файла настроек подключения.

Использование функций экспорта и импорта

Администратор VPN-сервера или виртуального концентратора может использовать эти функции для распространения настроек подключения среди пользователей. Затем пользователь может дважды щелкнуть файл настроек подключения, чтобы легко добавить данные настроек подключения в VPN-клиент, работающий на компьютере пользователя. Пользователь также может редактировать импортированные настройки подключения.

Содержимое экспортированного файла настроек подключения

Настройка подключения экспортируется в виде специального текстового файла с расширением .впн . Содержимое файла настроек подключения следующее.

 # VPN Client Файл настроек VPN-подключения
#
# Этот файл экспортируется с помощью диспетчера клиентов VPN.
# Содержимое этого файла можно редактировать с помощью текстового редактора.
#
# Когда этот файл импортируется в Client Connection Manager
# Его можно использовать немедленно.

объявить корень
{
 bool CheckServerCert false
 uint64 CreateDateTime 0
 uint64 LastConnectDateTime 0
 bool StartupAccount false
 uint64 UpdateDateTime 0

 объявить ClientAuth
 {
uint AuthType 1
byte HashedPassword AAAAAAAAAAAAAAAAAAAAAAAAAAA =
строка Имя пользователя $
 }
 объявить ClientOption
 {
строка AccountName public.softether.com
uint AdditionalConnectionInterval 1
uint ConnectionDisconnectSpan 0
строка DeviceName VPN
bool DisableQoS false
bool HalfConnection false
bool HideNicInfoWindow ложь
bool HideStatusWindow ложь
строка Имя хоста public.softether.com
string HubName PUBLIC
uint MaxConnection 1
bool NoRoutingTracking false
bool NoTls1 ложь
bool NoUdpAcceleration false
uint NumRetry 4294967295
uint Порт 443
uint PortUDP 0
строка ProxyName $
byte ProxyPassword $
uint ProxyPort 0
uint ProxyType 0
строка ProxyUsername $
bool RequireBridgeRoutingMode ложь
bool RequireMonitorMode false
uint RetryInterval 15
bool UseCompress false
bool UseEncrypt истина
 }
} 

Как показано в приведенном выше примере, все содержимое файла настроек подключения записано в виде текста.Любые хираганы, кандзи или другие многобайтовые символы кодируются в кодировке UTF-8. Обычно этот текстовый файл не нужно редактировать, но вы можете вручную отредактировать этот файл или написать программу для автоматического создания файла настроек подключения, как показано выше.

4.4.21 Создание ярлыка для настройки подключения

Вы можете создать файл ярлыка для настройки подключения, зарегистрированной в VPN-клиенте. Этот файл ярлыка представляет собой файл ярлыка того же типа, который можно создать для файлов или папок в Windows.

Чтобы создать файл ярлыка для настройки подключения, выберите настройку подключения, щелкните [Создать ярлык подключения VPN] в меню [Подключить], а затем укажите имя файла ярлыка, который необходимо создать. После создания файла ярлыка его можно разместить в любом месте на компьютере, где в Windows можно установить обычный файл. Например, вы можете разместить файл ярлыка на рабочем столе или добавить его на панель быстрого запуска.

Файл ярлыков настроек подключения.

Если дважды щелкнуть файл ярлыка для параметра подключения, когда этот параметр подключения отключен, автоматически запускается VPN-подключение для этого параметра подключения. При двойном щелчке по файлу ярлыка для настройки подключения во время подключения VPN-клиента или его подключения к VPN, отображается диалоговое окно с вопросом, следует ли прервать подключение для этого параметра подключения. При нажатии [Да] соединение прерывается.

Диалоговое окно, отображаемое при запуске ярлыка для уже установленной настройки подключения.

4.4.22 Настройка каскадного подключения VPN-сервера и моста VPN

Вы можете использовать тот же пользовательский интерфейс, который использовался для создания и редактирования настроек подключения с помощью диспетчера VPN-клиентов, чтобы изменить настройки для каскадного подключения виртуального концентратора VPN-сервера или VPN-моста к отдельному виртуальному концентратору с помощью диспетчера VPN-сервера, как описано в разделе 3.4 Функции виртуального концентратора.

Вам не нужно вводить следующие элементы при настройке параметров каскадного подключения.

• Виртуальный сетевой адаптер для использования
• Интервал между попытками повторного подключения и повторными попытками
  (попытка повторного подключения бесконечное количество раз с 10-секундными интервалами)
• Настройка режима подключения
  (Всегда подключаться через мост / режим маршрутизатора)
• Перезаписать настройки таблицы маршрутизации
  (Не перезаписывать таблицу маршрутизации при каскадном соединении)

Создание VPN-соединения — Учебное пособие по работе в сети

VPN-соединение — это соединение, которое устанавливается с использованием Интернета в качестве коммуникационной инфраструктуры для соединения, в отличие от коммутируемого соединения.VPN позволяют использовать Интернет в качестве безопасного канала для связи с корпоративными сетями.

Одним из преимуществ VPN-подключений является то, что они могут значительно снизить расходы компании на междугороднюю телефонную связь, при этом обеспечивая безопасную удаленную связь. Если подключение клиентского компьютера к Интернету осуществляется с использованием широкополосного подключения, доступная для подключения полоса пропускания может сделать его во много раз быстрее, чем подключение по телефонной линии. Кроме того, если используется широкополосное соединение, пользователь может оставаться на связи в течение длительного периода времени, не беспокоясь о том, что его отключат, как это часто бывает с телефонными соединениями.

VPN-соединения защищены шифрованием данных перед их отправкой через Интернет. Принимающий компьютер на другом конце соединения расшифровывает данные обратно в исходный формат. Microsoft Windows XP Professional поддерживает два разных протокола WAN, которые можно использовать при создании VPN-соединения.

Более старый протокол — PPTP (протокол туннелирования точка-точка). PPTP использует шифрование PPP для установления соединений VPN. В качестве альтернативы можно использовать L2TP (протокол туннелирования уровня 2).По умолчанию этот протокол не шифрует данные. Однако его можно настроить для использования IPSec (Internet Protocol Security), который обеспечивает более надежную безопасность для VPN-подключений, чем PPTP.

Создание клиентского VPN-соединения

Как и при коммутируемом подключении, VPN-соединение устанавливается между двумя компьютерами. Если сервер VPN настроен на это разрешение, сервер VPN может предоставить доступ к локальной сети, к которой он подключен. Следующая процедура описывает шаги, необходимые для настройки подключения клиента VPN.

Щелкните Пуск / Все программы / Стандартные / Связь и затем Мастер нового подключения. Появится мастер нового подключения.

1. Нажмите Далее.
2. Выберите «Подключиться к сети на моем рабочем месте» и нажмите «Далее».
3. Выберите «Подключение к виртуальной частной сети» и нажмите «Далее».
4. Введите описательное имя для подключения и нажмите Далее.
5. На следующем экране спрашивается, как должно быть установлено Интернет-соединение. Если необходимо использовать широкополосное соединение, выберите «Не набирать номер при начальном соединении».В противном случае выберите «Автоматически набирать это начальное соединение» и выберите в раскрывающемся списке Интернет-провайдера, использующего коммутируемое соединение. Щелкните Далее.
6. Введите имя хоста или IP-адрес VPN-сервера и нажмите «Далее».
7. Мастер нового подключения отображает сводку собранной информации. Щелкните Готово.

Значок для подключения клиента VPN создается и помещается в папку «Сетевые подключения». По умолчанию Windows XP Professional устанавливает клиентское соединение VPN для автоматического определения типа шифрования, который будет использоваться при установке соединения VPN.Следующая процедура описывает шаги, необходимые для ручного указания типа шифрования, используемого VPN-подключением.

1. Нажмите «Пуск», щелкните правой кнопкой мыши «Сетевое окружение» и выберите «Свойства», чтобы открыть папку «Сетевые подключения».
2. Щелкните правой кнопкой мыши VPN-подключение и выберите свойства.
3. Выберите лист свойств сети.
4. Выберите один из следующих вариантов из раскрывающегося списка в разделе Тип VPN.
   • Автоматически
   • PPTP VPN
   • L2TP IPSec VPN

Поваренная книга | FortiGate / FortiOS 6.0,0

Для администраторов FortiGate доступна бесплатная версия FortiClient VPN, которая поддерживает базовый IPsec и SSL VPN и не требует регистрации в EMS. Эта версия не включает централизованное управление, техническую поддержку или некоторые дополнительные функции.

Загрузка и установка автономного клиента FortiCient VPN

Вы можете загрузить бесплатный VPN-клиент из FNDN или FortiClient.com.

При первом запуске бесплатного VPN-клиента отображается заявление об отказе от ответственности. Вы не можете настроить или создать VPN-соединение, пока не примете отказ от ответственности и не нажмете Я принимаю :

Настройка SSL VPN-соединения

Чтобы настроить соединение SSL VPN:

1. На вкладке Удаленный доступ щелкните значок настроек, а затем Добавить новое соединение .

2. Выберите SSL-VPN , затем настройте следующие параметры:

   Имя соединения	SSLVPNtoHQ
   Описание	(дополнительно)
   Удаленный шлюз	172.20.120.123
   Настроить порт	10443
   Сертификат клиента	Выберите Подсказка при подключении или сертификат из раскрывающегося списка.
   Аутентификация	Выберите Запрос при входе в систему для запроса на экране подключения

3. Нажмите Сохранить , чтобы сохранить VPN-соединение.

Подключение к SSL VPN

Для подключения к SSL VPN:

1. На вкладке Удаленный доступ выберите VPN-соединение из раскрывающегося списка.

   При желании вы можете щелкнуть правой кнопкой мыши значок FortiTray на панели задач и выбрать конфигурацию VPN для подключения.

2. Введите свое имя пользователя и пароль.
3. Нажмите кнопку Подключить .
4. После подключения вы можете просматривать удаленную сеть. Трафик на 192.168.1.0 проходит через туннель, а остальной трафик проходит через локальный шлюз.FortiClient отображает состояние подключения, продолжительность и другую важную информацию.
5. Нажмите кнопку Отключить , когда будете готовы завершить сеанс VPN.

Проверка соединения SSL VPN

Чтобы проверить соединение SSL VPN с помощью графического интерфейса:

1. На FortiGate перейдите в VPN> Монитор> SSL-VPN Monitor , чтобы проверить список пользователей SSL.
2. На FortiGate перейдите в Журнал и отчет> Перенаправить трафик , чтобы просмотреть подробные сведения о записи SSL.

Для проверки входа в туннель с помощью интерфейса командной строки:

 получить монитор vpn ssl
Пользователи входа в систему SSL VPN:
 Индексирование типа аутентификации пользователя Тайм-аут от входа / выхода HTTP Вход / выход HTTPS
 0 sslvpnuser1 1 (1) 291 10.1.100,254 0/0 0/0

Сеансы SSL VPN:
 Индекс пользователя Исходный IP-адрес Продолжительность Байты ввода-вывода Туннель / IP-адрес назначения
 0 sslvpnuser1 10.1.100.254 9 22099/43228 10.212.134.200