L2tp Ipsec VPN. Шифрование + сертификат SSL у клиента Win7. ИНСТРУКЦИЯ

[naliman]

на сервере:

1. Генерируем SSL-сертификат:
в поле "имя хоста" пишем имя, по которому будет происходить соединение в ВПН-сервером "из интернетов".
Если есть вероятность что коннектиться будут по ip-адресу И/ИЛИ предполагается использование ВПН-сервера для локальных клиентов, то в поле "альтернативные имена хостов" указываем ip-адрес на который будет происходить соединение И\ИЛИ локальное имя сервера.



2. Активируем работу ВПН-сервера, в его настройках указываем использование сертификата (п.1).

3. Экспорт сертификата сервера VPN:
выбираем в списке сертификатов тот который мы создали для использования ВПН-сервером,
жмём "дополнительные действия\экспорт\экспорт сертификата в PKCS#12",
устанавливаем пароль, галку "включить все сертификаты..." снимаем, сохраняем файл с именем VPN.p12 .



4. Экспорт коневого сертификата VPN-сервера:
выбираем в списке сертификатов корневой сертификат LocalAuthority , устанавливаем пароль,
галку "включить все сертификаты..." можно и оставить, файлу даём название соответственно LocalAuthority.p12 .



5. Распространяем сертификаты нуждающимся:
отправляем (по e-mail, бандеролью или как ещё) оба получившихся файла на компьютер, откуда будет происходить ВПН-соединение с нашим сервером Control.

На стороне клиента:

1. В Windows создаём новое ВПН-подключение, заходим в его совойства, на закладке "общие" указываем ДНС-имя сервера, куда будем подключаться или ip-адрес (те, которые указывались при создании сертификата, если имена в сертификате не будут совпадать с тем что будет указано в самом соединениии - ВПН не подключится)

2. На закладке "параметры" снимаем галку "включать домен входа в Windows".

3. На закладке "безопасность" делаем как на картинке:



4. жмём "дополнительные параметры" и указываем использование сертификата:



5. На закладке "сеть" снимаем все галки кроме TCP\IPv4, в свойствах TCP\IPv4:
- если пох на локальные ресурсы, то галку "использовать шлюз в удалённой сети" оставляем
- если во время работы ВПН-тоннеля нужны ещё и локальные ресурсы, то галку "использовать шлюз в удалённой сети" снимаем, но при этом нужно будет прописать статический маршрут в удалённую сеть.

6. Открываем оснастку "сертификаты" для импорта:
пуск\выполнить\mmc , в открывшейся консоли жмём "файл\добавить или удалить оснастку" , слева выбираем "сертификаты",
жмём кнопку "добавить" , делаем как на картиинке:



жмём "готово", потом "ок" .

5. Импортируем серверный сертификат:
разворачиваем список, правой клавишей на хранилище "личное", далее все задачи\импорт , выбираем файл VPN.p12, из него будет импортирован сертификат сервера.

6. Импортируем корневой сертификат:
таким же образом в хранилище "доверенные корневые центры сертификации" импортируем корневой сертификат Control-а из файла LocalAuthority.p12 .

На этом всё, можно подключать ВПН-соединение и пользоваться тоннелем.

PS
Нужные для ВПН правила трафика:

[sap.evg]

Дополню инструкцию, тут пример без сертификата:
[Для просмотра данной ссылки нужно зарегистрироваться]

[Semen]

а если такая штука:
[Для просмотра данной ссылки нужно зарегистрироваться]
на кериве вообще не видел про шифрование ничего((

[naliman]

смотри скриншот п.3

[Semen]

naliman, всё так, дядь(
[Для просмотра данной ссылки нужно зарегистрироваться]

[Semen]

naliman, всё всё, работает
галки небыло....
[Для просмотра данной ссылки нужно зарегистрироваться]
в инструкции нет такого

[naliman]

ну уж прости
думал это очевидно, хотя бы потому что настройка клиента требует этого протокола не просто так а потому что того требует стервер