Setup:inet:l2tpipsec:winxp

Материал из campus.mephi.ru

(Различия между версиями)
Перейти к: навигация, поиск
 
(25 промежуточных версий не показаны.)
Строка 4: Строка 4:
==Введение==
==Введение==
-
Технически, данный способ соединения подразумивает то, что поверх IP будет построен IPSec туннель, который шифрует трафик, а поверх IPSec-туннеля поднимается L2TP-туннель. Для того, чтобы создать достаточно безопасный IPSec туннель, каждому пользователю выдаётся уникальный сертификат. И для того, чтобы обеспечить защиту от использования копированного сертификата третьими лицами, сертификат защищается паролем. Однако, если вас устраивает то, что ваш трафик будет передоваться нешифрованным, вы можете [[setup:inet:l2tp:winxp|настроить L2TP без использовать IPSec]], что является более простой процедурой.
+
Технически, данный способ соединения подразумевает то, что поверх IP будет построен IPSec туннель, который шифрует трафик, а поверх IPSec-туннеля поднимается L2TP-туннель. Для того, чтобы создать достаточно безопасный IPSec туннель, каждому пользователю выдаётся уникальный сертификат. И для того, чтобы обеспечить защиту от использования копированного сертификата третьими лицами, сертификат защищается паролем. Однако, если вас устраивает то, что ваш трафик будет передаваться не шифрованным, вы можете [[setup:inet:l2tp:winxp|настроить L2TP без использовать IPSec]], что является более простой процедурой.
 +
 
 +
Использование L2TP без IPSec может быть интересным тем людям, которым нужны малые задержки и большая пропускная способность канала, т.к. по техническим причинам IPSec увеличивает задержки, что для TCP-соединений приводит к уменьшению пропускной способности из-за ограниченности размера TCP-окна.
==Импортирование сертификата==
==Импортирование сертификата==
Строка 11: Строка 13:
===Импортируем===
===Импортируем===
-
Нажимаем комбинацию клавиш <win+r>, либо кнопку "Выполнить" в панеле "Пуск".
+
Нажимаем комбинацию клавиш <win+r>, либо кнопку "Выполнить" в панеле "Пуск";
-
[[Файл:01start-run.png]]
+
[[Файл:00.png]]
-
В текстовом поле вводим "mmc" и нажимаем <enter>, либо "OK".
+
В текстовом поле вводим "mmc" и нажимаем <enter>, либо "OK";
-
[[Файл:02mmc.png]]
+
[[Файл:01.png]]
 +
 
 +
В появившемся окне выбираем "Консоль", "Добавить или удалить оснастку";
 +
 
 +
[[Файл:02.png]]
 +
 
 +
В новом окне нажимаем на "Добавить";
 +
 
 +
[[Файл:03.png]]
 +
 
 +
В новом окне находим и выбираем пункт "Сертификаты", после чего нажимаем "Добавить";
 +
 
 +
[[Файл:04.png]]
 +
 
 +
Появится окно, в котором следует выбрать <big><u>"учётной записи компьютера"</u></big> и нажать "Далее" (очень важно, чтобы это было именно так, если система не предоставила возможность выбора области действия сертификатов, значит, скорее всего, вы работаете не из под администраторской учётной записи);
 +
 
 +
[[Файл:05.png]]
 +
 
 +
В следующем диалоговом окне выбираем пункт "Локальным компьютером" и нажимаем "Готово";
 +
 
 +
[[Файл:06.png]]
 +
 
 +
Нажимаем "Закрыть";
 +
 
 +
[[Файл:07.png]]
 +
 
 +
и "ОК";
 +
 
 +
[[Файл:08.png]]
 +
 
 +
После чего открываем дерево "Сертификаты" нажав на "плюсик" слева от данного пункта. Кликаем правой кнопкой мышки по пункту "Личные", выбираем пункт "Все задачи", после чего "Импорт";
 +
 
 +
[[Файл:09.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:10.png]]
 +
 
 +
"Обзор";
 +
 
 +
[[Файл:11.png]]
 +
 
 +
Выбираем "тип файлов" "Personal Information Exchange (*.pfx;*.p12)" и находим сгенерированный и скачанный сертификат с расширением p12;
 +
 
 +
[[Файл:12.png]]
 +
 
 +
Выбираем данный файл и нажимаем "Открыть";
 +
 
 +
[[Файл:13.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:14.png]]
 +
 
 +
Вводим пароль, которым защитили сертификат в момент (см. "Генерируем сертификат") его генерации и нажимаем "Далее";
 +
 
 +
[[Файл:15.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:16.png]]
 +
 
 +
"Готово";
 +
 
 +
[[Файл:17.png]]
 +
 
 +
"ОК";
 +
 
 +
[[Файл:18.png]]
 +
 
 +
Повторяем почти аналогичные действия для импортирования CA-сертификата, а именно кликаем правой кнопкой мышки по пункту "Доверенные корневые центры сертификации", где выбираем пункт "Все задачи" и "Импорт";
 +
 
 +
[[Файл:19.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:10.png]]
 +
 
 +
"Обзор";
 +
 
 +
[[Файл:11.png]]
 +
 
 +
Находим сохранённую копию CA-сертификата с расширением "cer", выбираем его и нажимаем открыть;
 +
 
 +
[[Файл:20.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:21.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:22.png]]
 +
 
 +
"Готово".
 +
 
 +
[[Файл:23.png]]
 +
 
 +
 
 +
Теперь в системе заведены все необходимые для создания IPSec-туннеля сертификаты.
==Настройка соединения==
==Настройка соединения==
-
==Отладка ошибок==
+
Нажимаем на "Пуск", выбираем "Панель управления";
 +
 
 +
[[Файл:24.png]]
 +
 
 +
Открываем "Сетевые подключения";
 +
 
 +
[[Файл:25.png]]
 +
 
 +
В появившемся окне запускаем "Мастер новых подключений";
 +
 
 +
[[Файл:26.png]]
 +
 
 +
"Далее";
 +
 
 +
[[Файл:27.png]]
 +
 
 +
Выбираем пункт "Подключить к сети на рабочем месте" и нажимаем "Далее";
 +
 
 +
[[Файл:28.png]]
 +
 
 +
Далее выбираем "Подключение к виртуальной частной сети" и кликаем "Далее";
 +
 
 +
[[Файл:29.png]]
 +
 
 +
В поле организация вводим желаемое имя для данного сетевого подключения, например "l2tp.campus.mephi.ru (IPSec)" и нажимаем "Далее";
 +
 
 +
[[Файл:30.png]]
 +
 
 +
Выбираем пункт "Не набирать номер для предварительного подключения", если он не выбран и нажимаем "Далее";
 +
 
 +
[[Файл:31.png]]
 +
 
 +
В поле адреса компьютера вводим "l2tp.campus.mephi.ru";
 +
 
 +
[[Файл:32.png]]
 +
 
 +
По желанию ставим галочку напротив "Добавить ярлык подключения на рабочий стол" и обязательно нажимаем "Готово";
 +
 
 +
[[Файл:33.png]]
 +
 
 +
Появится форма ввода "пользователя" и "пароля", в ней нажимаем "Свойства";
 +
 
 +
[[Файл:34.png]]
 +
 
 +
Выбираем вкладку "Сеть";
 +
 
 +
[[Файл:35.png]]
 +
 
 +
Выбираем тип подключения "L2TP IPSec VPN" и нажимаем "ОК";
 +
 
 +
[[Файл:36.png]]
 +
 
 +
Вводим реквизиты полученные с [http://www.mephi.ru/campus/reg.php http://www.mephi.ru/campus/reg.php] в качестве "пользователя" и "пароля" (обычно номер зачётной книжки используется как имя "пользователя"), по желанию ставим галочку напротив "Сохранить имя пользователя и пароль" и делаем попытку пробного соединения нажав "Подключение";
 +
 
 +
[[Файл:37.png]]
 +
 
 +
Если соединение успешно, может выползти pop-up уведомление.
 +
 
 +
[[Файл:38.png]]
 +
 
 +
=Отладка=
 +
==Windows 7 & Vista==
 +
Если же вы используете Windows 7 или Windows Vista, тогда вам требуется отключить сверку параметров сертификата сервера и шифрование. Для отключения сверки параметров, в настройках подключения, во вкладке "Security", в настройках IPSec, вам требуется убрать галочку напротив "Verify the Name and Usage attributes of the server's certificate"
 +
 
 +
[[Файл:win7.png]]
 +
 
 +
А для того, чтобы отсутствие шифрования не приводило к отключению, требуется в "Data encryption" выбрать "Option encryption (connect even if no encryption)"
 +
 
 +
[[Файл:win72.png]]
 +
==Proxy==
 +
Если в командной строке "ping 77.88.21.3" сообщает о том, что связь до 77.88.21.3 есть, а тем ни менее на сайты не заходит, значит, вполне возможно, что вы забыли отключить прокси в настройках вашего браузера
 +
==Ошибка подключение==
 +
[[Типовые ошибки подключения в системах Windows]]
 +
==Конфликт==
 +
Если подключение проходит, однако трафик не проходит, возможно произошёл конфликт IP-адресов. Такое иногда бывает, если одним логином пользуется несколько человек.ройках вашего браузера

Текущая версия на 09:41, 3 октября 2012

Настройка L2TP-соединения поверх IPSec


Содержание

Введение

Технически, данный способ соединения подразумевает то, что поверх IP будет построен IPSec туннель, который шифрует трафик, а поверх IPSec-туннеля поднимается L2TP-туннель. Для того, чтобы создать достаточно безопасный IPSec туннель, каждому пользователю выдаётся уникальный сертификат. И для того, чтобы обеспечить защиту от использования копированного сертификата третьими лицами, сертификат защищается паролем. Однако, если вас устраивает то, что ваш трафик будет передаваться не шифрованным, вы можете настроить L2TP без использовать IPSec, что является более простой процедурой.

Использование L2TP без IPSec может быть интересным тем людям, которым нужны малые задержки и большая пропускная способность канала, т.к. по техническим причинам IPSec увеличивает задержки, что для TCP-соединений приводит к уменьшению пропускной способности из-за ограниченности размера TCP-окна.

Импортирование сертификата

Генерируем сертификат

Заходим на http://gencert.campus.mephi.ru/. В поле "Login" вводим номер своей зачётной книжки, в поля "Password" вводим пароль для защиты сертификата (этот пароль не обязательно должен совпадать с паролем для доступа в Интернет) и нажимаем "Generate!". Ваш браузер должен предложить вам сохранить сертификат. Сохраняем сертификат, после чего скачиваем CA сертификат с http://gencert.campus.mephi.ru/ca.cer.

Импортируем

Нажимаем комбинацию клавиш <win+r>, либо кнопку "Выполнить" в панеле "Пуск";

00.png

В текстовом поле вводим "mmc" и нажимаем <enter>, либо "OK";

01.png

В появившемся окне выбираем "Консоль", "Добавить или удалить оснастку";

02.png

В новом окне нажимаем на "Добавить";

03.png

В новом окне находим и выбираем пункт "Сертификаты", после чего нажимаем "Добавить";

04.png

Появится окно, в котором следует выбрать "учётной записи компьютера" и нажать "Далее" (очень важно, чтобы это было именно так, если система не предоставила возможность выбора области действия сертификатов, значит, скорее всего, вы работаете не из под администраторской учётной записи);

05.png

В следующем диалоговом окне выбираем пункт "Локальным компьютером" и нажимаем "Готово";

06.png

Нажимаем "Закрыть";

07.png

и "ОК";

08.png

После чего открываем дерево "Сертификаты" нажав на "плюсик" слева от данного пункта. Кликаем правой кнопкой мышки по пункту "Личные", выбираем пункт "Все задачи", после чего "Импорт";

09.png

"Далее";

10.png

"Обзор";

11.png

Выбираем "тип файлов" "Personal Information Exchange (*.pfx;*.p12)" и находим сгенерированный и скачанный сертификат с расширением p12;

12.png

Выбираем данный файл и нажимаем "Открыть";

13.png

"Далее";

14.png

Вводим пароль, которым защитили сертификат в момент (см. "Генерируем сертификат") его генерации и нажимаем "Далее";

15.png

"Далее";

16.png

"Готово";

17.png

"ОК";

18.png

Повторяем почти аналогичные действия для импортирования CA-сертификата, а именно кликаем правой кнопкой мышки по пункту "Доверенные корневые центры сертификации", где выбираем пункт "Все задачи" и "Импорт";

19.png

"Далее";

10.png

"Обзор";

11.png

Находим сохранённую копию CA-сертификата с расширением "cer", выбираем его и нажимаем открыть;

20.png

"Далее";

21.png

"Далее";

22.png

"Готово".

23.png


Теперь в системе заведены все необходимые для создания IPSec-туннеля сертификаты.

Настройка соединения

Нажимаем на "Пуск", выбираем "Панель управления";

24.png

Открываем "Сетевые подключения";

25.png

В появившемся окне запускаем "Мастер новых подключений";

26.png

"Далее";

27.png

Выбираем пункт "Подключить к сети на рабочем месте" и нажимаем "Далее";

28.png

Далее выбираем "Подключение к виртуальной частной сети" и кликаем "Далее";

29.png

В поле организация вводим желаемое имя для данного сетевого подключения, например "l2tp.campus.mephi.ru (IPSec)" и нажимаем "Далее";

30.png

Выбираем пункт "Не набирать номер для предварительного подключения", если он не выбран и нажимаем "Далее";

31.png

В поле адреса компьютера вводим "l2tp.campus.mephi.ru";

32.png

По желанию ставим галочку напротив "Добавить ярлык подключения на рабочий стол" и обязательно нажимаем "Готово";

33.png

Появится форма ввода "пользователя" и "пароля", в ней нажимаем "Свойства";

34.png

Выбираем вкладку "Сеть";

35.png

Выбираем тип подключения "L2TP IPSec VPN" и нажимаем "ОК";

36.png

Вводим реквизиты полученные с http://www.mephi.ru/campus/reg.php в качестве "пользователя" и "пароля" (обычно номер зачётной книжки используется как имя "пользователя"), по желанию ставим галочку напротив "Сохранить имя пользователя и пароль" и делаем попытку пробного соединения нажав "Подключение";

37.png

Если соединение успешно, может выползти pop-up уведомление.

38.png

Отладка

Windows 7 & Vista

Если же вы используете Windows 7 или Windows Vista, тогда вам требуется отключить сверку параметров сертификата сервера и шифрование. Для отключения сверки параметров, в настройках подключения, во вкладке "Security", в настройках IPSec, вам требуется убрать галочку напротив "Verify the Name and Usage attributes of the server's certificate"

Win7.png

А для того, чтобы отсутствие шифрования не приводило к отключению, требуется в "Data encryption" выбрать "Option encryption (connect even if no encryption)"

Win72.png

Proxy

Если в командной строке "ping 77.88.21.3" сообщает о том, что связь до 77.88.21.3 есть, а тем ни менее на сайты не заходит, значит, вполне возможно, что вы забыли отключить прокси в настройках вашего браузера

Ошибка подключение

Типовые ошибки подключения в системах Windows

Конфликт

Если подключение проходит, однако трафик не проходит, возможно произошёл конфликт IP-адресов. Такое иногда бывает, если одним логином пользуется несколько человек.ройках вашего браузера