VPN L2TP/SSTP w systemie Windows

Wstęp

Instrukcja dotyczy konfiguracji VPNa, aby móc połączyć się z siecią firmową. Przed przystąpieniem powinniśmy dostać od administratora dane takie jak:

  • adres VPN np.: vpn.firma.ltd
  • login np.: user87
  • hasło
  • w przypadku L2TP hasło wspólne (secret)
  • w przypadku SSTP certyfikat CA do zaimportowania
  • opcjonalnie sufiks DNS oraz serwery DNS
  • opcjonalnie adres sieci docelowej np.: 192.168.90.0/24

Konfiguracja VPNa nie wymaga instalacji dodatkowego oprogramowania. Klikamy na przycisk Start w Windows (lewy dolny róg (1)) i wybieramy Ustawienia (2):

Wybieramy Sieć i Internet:

Wybieramy VPN i klikamy na Dodaj połączenie VPN:

L2TP

Uzupełniamy dane:

  • 1 – Nazwa VPN – możemy wpisać co chcemy – ale zalecam nazwy bez spacji i polskich znaków np.: NaszVPN
  • 2 – Adres serwera: np.: vpn.firma.ltd
  • 3 – typ VPN: L2TP/IPSEC z kluczem wstępnym
  • 4 – Klucz wstępny: hasło wspólne (secret)
  • 6 i 7 – login i hasło
  • 8 Klikamy Zapisz.

SSTP

Uzupełniamy dane:

  • 1 – Nazwa VPN – możemy wpisać co chcemy – ale zalecam nazwy bez spacji i polskich znaków np.: NaszVPN
  • 2 – Adres serwera: np.: vpn.firma.ltd
  • 3 – typ VPN: SSTP
  • 4 – Typ logowania: użytkownik i hasło
  • 5 i 6 – login i hasło
  • 7 Klikamy Zapisz.

Jeśli dostaliśmy do zaimportowania certyfikat CA to należy to zrobić wg poradnika: Instalacja certyfikatu CA

Dalsza konfiguracja

Po zapisaniu połączenie VPN powinno nam się pojawić w połączeniach VPN. Klikamy teraz na Zmień opcje karty:

Klikamy PPM na połączenie NaszVPN i wybieramy Właściwości:

Klikamy na zakładkę Sieć, zaznaczamy protokół internetowy IPv4 i klikamy na Właściwości:

Klikamy na Zaawansowane:

Odznaczamy opcję Użyj domyślnej bramy:

Jeżeli administrator podał nam też do wpisania adres DNS i sufiks DNS połączenia to klikamy jeszcze na zakładkę DNS i uzupełniamy:

Klikamy wszędzie OK w tym oraz poprzednich okienkach.

Połączenie

Aby połączyć się z VPNem należy kliknąć na ikonkę sieci (obok zegarka), może to być ikonka sieci przewodowych:

Lub ikonka sieci bezprzewodowych:

Po kliknięciu pojawią nam się dostępne sieci jak i połączenia VPN:

Wyszukujemy połączenia NaszVPN i klikamy na Połącz. Po zakończeniu pracy należy rozłączyć się z VPNem.

Port knocking

Jest to dodatkowe zabezpieczenie po stronie routera, które otwiera nam porty VPN w routerze (więc domyślnie są zablokowane). Port knocking zawsze wykonujemy przed połączeniem się z VPNem. Wykorzystamy program PortKnock (mojego autorstwa), który można ściągnąć z: https://github.com/kamilmroczkowski/PortKnock

Program jest aplikacją w trybie tekstowym (konsolową) i ma składnie:

Usage: PortKnock /h:domain.ltd [/h:domain2.ltd] /p:u7123;t4421;u10092;t46331 [/d:500] [/w]
/h - hostname (many times declare)
/p - ports tcp/udp
/d - delay ms
/w - wait for any key

Można utworzyć plik cmd lub skrót do programu z parametrami. Ja preferuję skrót:

W polu Element docelowy wpisujemy np:

"C:\Program Files\PortKnock\PortKnock.exe" /h:vpn.firma.ltd /p:t1111,t2222,u3333,u4444 /w /d:1000

Po uruchomieniu czekamy, aż sekwencja się wykona i powinniśmy mieć podobny wynik do tego:

PowerShell

Klikamy na przycisk Start w Windows szukamy programu PowerShell:

L2TP

Add-VpnConnection -Name "NaszVPN" -ServerAddress "vpn.domain.ltd" -TunnelType L2TP -L2tpPsk "wspolneHaslo" -AuthenticationMethod "MSChapv2" -Force -DnsSuffix company-ad.lan -RememberCredential -PassThru -SplitTunneling

SSTP

Add-VpnConnection -Name "NaszVPN" -ServerAddress "vpn.domain.ltd" -TunnelType Sstp -AuthenticationMethod "MSChapv2" -Force -DnsSuffix company-ad.lan -RememberCredential -PassThru -SplitTunneling

Ręczne dodanie tras

Jeżeli po podłączeniu się VPNem nie działają nam połączenia do naszych serwerów, a administrator podał nam podsieć to należy ręcznie dodać taką podsieć ręcznie do profilu, który skonfigurowaliśmy.

Add-VpnConnectionRoute -ConnectionName NaszVPN -DestinationPrefix 192.168.90.0/24 -PassThru

W komendzie użyto fraz:

  • NaszVPN – należy zmienić jeśli nazwa naszego połączenia VPN jest inna
  • 192.168.90.0/24 – jest to podsieć, którą administrator nam podał

Powinno pojawić się potwierdzenie dodania wpisu:

Modyfikacja połączeń

DNS Sufiks:

Set-VpnConnection -Name "NaszVPN" -DnsSuffix cccp.lan

Wyłączenie domyślnej bramy:

Set-VpnConnection -Name "NaszVPN" -SplitTunneling 1

Włączenie domyślnej bramy:

Set-VpnConnection -Name "NaszVPN" -SplitTunneling 0

Znane problemy

Jeśli router jest za NATem to L2TP w Windowsie nie będzie działać. Należy dodać wpis do rejestru:

reg add HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

Opublikowano:

Ostatni modyfikacja:

Tagi:

, , , ,