Создание подключения в Windows

Инструкция актуальна для Windows 10.

Перед настройкой VPN-подключения перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Не рекомендуем использовать для VPN-подключений кириллические логины.

Создание VPN-подключения в Windows

Для корректной передачи маршрутов клиенту убедитесь, что опция Использовать основной шлюз удаленной сети выключена. Для отключения опции перейдите в Панель управления -> Cеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> Cвойства. После этого перейдите на вкладку Cеть -> IP версии 4 (TCP/IPv4) -> Дополнительно.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты или в личном кабинете пользователя по кнопке Скачать корневой сертификат и загрузите на устройство пользователя.

Корневой сертификат потребуется для настройки подключения рабочей станции пользователя в случае, если не был получен корневой сертификат Let`s Encrypt.

4. Импортируйте сертификат Ideco NGFW в Windows. Для этого выполните действия:

Откройте скачанный сертификат и нажмите Установить сертификат:

Для корректной настройки выберите расположение хранилища Локальный компьютер:

Установите сертификат в Доверенные корневые центры сертификации:

Создание подключения в Windows:

1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера;
Тип VPN - протокол IKEv2;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.

4. Перейдите в Настройки параметров адаптера, нажмите на созданное подключение правой кнопкой мыши и выберите Свойства.

5. Перейдите на вкладку Безопасность и установите:

Шифрование данных - обязательное (отключиться, если нет шифрования);
Протокол расширенной проверки подлинности (EAP) - Microsoft защищенный пароль (EAP MSCHAPV2).

6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

7. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное и установите флаг Подключение по PPTP:

Создание подключения в Windows:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера;
Тип VPN - протокол PPTP;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.

5. Перейдите на вкладку Безопасность и установите:

Шифрование данных - обязательное (отключиться, если нет шифрования);
Разрешить следующие протоколы - протокол Microsoft CHAP версии 2 (MS-CHAP v2).

6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по SSTP и заполните поля Домен и Порт:

3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.

Корневой сертификат потребуется для настройки подключения рабочей станции пользователя, если не был получен корневой сертификат через Let`s Encrypt. При необходимости перенесите файл сертификата на рабочую станцию. Если для VPN-подключения используется сертификат, выданный Let`s Encrypt, то установка корневого сертификата на устройство не требуется.

4. Импортируйте сертификат Ideco NGFW в Windows. Для этого выполните действия:

Откройте скачанный сертификат и нажмите Установить сертификат:

Для корректной настройки выберите расположение хранилища Локальный компьютер:

Установите сертификат в Доверенные корневые центры сертификации:

Создание подключения в Windows:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера в формате адрес_VPN_сервера:порт;
Тип VPN - протокол SSTP;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.

5. Перейдите на вкладку Безопасность и установите:

Шифрование данных - обязательное (отключиться, если нет шифрования);
Разрешить следующие протоколы - протокол Microsoft CHAP версии 2 (MS-CHAP v2).

6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

Важно: L2TP/IPsec клиенты, находящиеся за одним NAT, могут испытывать проблемы подключения, если их более одного. В решении проблемы поможет инструкция. Рекомендуем вместо L2TP/IPsec использовать IKEv2/IPsec.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:

Создание подключения в Windows:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

Имя подключения - название создаваемого подключения;
Имя или адрес сервера - адрес VPN-сервера;
Тип VPN - протокол L2TP/IPsec с общим ключом;
Общий ключ - значение строки PSK в разделе Пользователи -> VPN-подключения -> Основное -> Подключение по L2TP/IPsec;
Тип данных для входа - имя пользователя и пароль;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя.

5. Перейдите на вкладку Безопасность и установите:

Шифрование данных - обязательное (отключиться, если нет шифрования);
Разрешить следующие протоколы - протокол Microsoft CHAP версии 2 (MS-CHAP v2).

6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

Если создается VPN-подключение к NGFW через проброс портов:

1. Откройте Редактор реестра.

2. Перейдите в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent и создайте DWORD-параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2.

3. Перезагрузите Windows.

Возможные неполадки

1. Неправильно указан логин или пароль пользователя. Часто при повторном соединении предлагается указать домен. Старайтесь создавать для учетных записей цифро-буквенные пароли, желательно на латинице. Если есть сомнения в этом пункте, то временно установите логин и пароль пользователю user и 123456.

2. Чтобы пакеты пошли через VPN-туннель, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удаленной сети в разделе Настройка параметров адаптера -> Правой кнопкой мыши по подключению -> Свойства -> Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо прописать вручную.

3. Подключение происходит через DNAT, т.е. внешний интерфейс Ideco NGFW не имеет "белого" IP-адреса, а необходимые для работы порты (500 и 4500) "проброшены" на внешний интерфейс устройства, расположенного перед Ideco NGFW и имеющего "белый" IP-адрес. В данном случае VPN-подключение либо вообще не будет устанавливаться, либо будут периодические обрывы. Решение - исключить устройство перед Ideco NGFW и указать на внешнем интерфейсе Ideco NGFW "белый" IP-адрес, к которому в итоге и будут осуществляться L2TP/IPsec-подключения. Либо используйте протокол SSTP - его проще опубликовать с помощью проброса портов.

4. Если в OC Windows 10 повторно подключиться по L2TP, но при этом использовать невалидный ключ PSK (введя его в дополнительных параметрах), подключение все равно будет установлено успешно. Это связано с особенностями работы ОС.

Убедитесь, что локальная сеть (или адрес на сетевой карте) на удаленной машине не пересекается с локальной сетью организации. Если пересекается, то доступа к сети организации не будет (трафик по таблице маршрутизации пойдет в физический интерфейс, а не в VPN). Адресацию необходимо менять.

Ошибки работы VPN-подключений

Если при подключении по IKEv2 возникает "Ошибка сопоставления групповой политики" или ошибка с кодом "13868"

Если VPN-подключение по протоколам IPSeс в Windows автоматически разрывается через 7 часов 45 минут, для восстановления связи подойдут следующие действия:

1. Переподключите соединение. Оно восстановится, но через 7 часов 45 минут вновь будет автоматически разорвано. Если требуется, чтобы подключение не разрывалось автоматически, то выполните действия из следующего пункта.

2. Внесите изменения в реестр:

Откройте Редактор реестра;
Перейдите по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters;
Нажмите правой кнопкой мыши по параметру с именем NegotiateDH2048_AES256 и нажмите Изменить;
В строке Значение укажите значение 1:

Нажмите OK;
Перезагрузите Windows.
Если параметра с именем NegotiateDH2048_AES256 нет, то создайте его. Для этого:
Нажмите правой кнопкой мыши по свободному месту реестра в Parameters и выберите Создать -> DWORD:

Задайте имя NegotiateDH2048_AES256;
Нажмите правой кнопкой мыши по созданному файлу и выберите Изменить:

В строке Значение укажите значение 1:

Нажмите OK.

3. Перезагрузите Windows.

В Ideco NGFW также есть возможность загрузить с сервера готовые скрипты для создания VPN-подключения в ОС Windows версий 8.1 и 10. Для загрузки и запуска скриптов воспользуйтесь инструкцией.