Введение
Существует различное множество вариантов VPN, которые можно использовать для той или иной ситуации. В интернете также много статей по настройке, но когда берёшься за какой-то один вариант, возникает много вопросов, т.к. в разных источниках делают обычно по-разному. Особенно это касается всяких непонятных пунктов меню. А чтение официальной документации изначально сбивает с толку, если читаешь в первый раз и пока нет общего понимания, как работает технология. Также было и у меня, когда я столкнулся с необходимостью разобраться, как же всё-таки правильно настроить VPN-сервер на Mikrotik с шифрованием IPsec.
Чтобы досконально понимать, как работает последующая настройка шифрованного VPN, о которой я расскажу, нужно в любом случае почитать другие статьи, дабы понимать мат. часть, поэтому предварительно советую изучить, что такое IPsec и каков принцип его работы.
Настройка VPN клиента в Windows 10
Настройка VPN в Windows 10
Кликаем по иконке компьютера в нижнем правом углу и выбираем «Параметры сети и Интернет», в правой панели меню выбираем VPN, на открывшейся вкладке выбираем «+ Добавить VPN-подключение». Вносим данные в соответствии со списком ниже:
- Поставщик услуг VPN – Windows (встроенные);
- Имя подключения – Любое название на латинском (прим.: moyvpn);
- Имя или адрес сервера – IP адрес вашего настроенного VPN сервера;
- Тип VPN – из выпадающего списка выбрать «L2TP/IPsec с общим ключом»;
- Общий ключ – вводим сгенерированный ключ (IPsec PSK) из шага № 5;
- Тип данных для входа – выберите «имя пользователя и пароль»;
- Имя пользователя – имя юзера, придуманное на шаге № 12;
- Пароль – пароль пользователя, придуманный на шаге № 12;
- Поставьте галочку напротив «Запомнить мои данные для входа», чтобы не вводить их повторно.
Нажимаем кнопку «Сохранить» и пробуем подключиться к VPN.
Результат подключения в Windows 10
Подытожим – стоит ли игра свеч?
Это зависит от ваших потребностей. Например, если у вас много мобильных и смарт-устройств, и на всех этих девайсах вам хочется смотреть контент, ограниченный по региону, то настройка VPN на роутере точно стоит усилий.
Также, если вам хочется пользоваться интернетом на разных устройствах с большим уровнем безопасности, то не поскупитесь на новый маршрутизатор, если в вашем отсутствует поддержка VPN.
Однако, если вы используете только ПК и мобильное устройство, то VPN на роутере может доставить больше хлопот, чем выгоды. То же касается случаев, когда новый маршрутизатор необходим, но бюджет при этом сильно ограничен.
Кроме того, если вам критична скорость соединения и скачивания, то, вероятно, не стоит связываться с VPN, если в вашем роутере стоит процессор с частотой ниже 800 МГц (желательно, чтобы было больше), и на данный момент вы не готовы позволить себе дополнительные траты на более производительный маршрутизатор.
Советы по устранению неполадок, связанных с медленной скоростью работы VPN
Мы не будем упоминать такие советы, как переход на более скоростной тариф или апгрейд ПК, так как эти рекомендации неэффективны с точки зрения VPN. Конечно, если ни один из советов не поможет, и решение не будет найдено, вам придётся это сделать.
Если вы хотите сначала узнать больше о скорости VPN, то можете просмотреть наше руководство на эту тему.
Попробуйте другой VPN-сервер
Не многие пользователи VPN понимают это, но физическое расстояние между вашим местоположением и VPN-сервером может повлиять на скорость соединения.
Почему? Потому что чем дальше вы находитесь от VPN-сервера, тем больше времени требуется для передачи пакетов данных между устройством и сервером, что приводит к снижению скорости.
В идеале, вам нужно подключиться к VPN-серверу, который находится рядом с вами, в соседней стране.
Используйте более быстрый протокол VPN
Некоторые протоколы легче, в то время как другие съедают много ресурсов. Если у вас возникли проблемы со скоростью работы VPN, старайтесь избегать «тяжёлых» протоколов, таких как OpenVPN и SSTP.
Вместо этого переключитесь на более быстрые и лёгкие протоколы, такие как IKEv2, L2TP/IPSec и SoftEther, если это возможно. PPTP также отично подойдёт, так как у него очень высокая скорость, но мы бы не рекомендовали его из-за отсутствия надлежащего уровня безопасности.
Как правило, IKEv2 и SoftEther являются отличными вариантами, если вам нужны протоколы с хорошей скоростью и первоклассной безопасностью.
Используйте UDP вместо TCP
Это сработает, если вы всё-таки хотите использовать OpenVPN, или если ваш провайдер предлагает только протокол OpenVPN. В то время как TCP (протокол передачи датаграмм) является стандартом для онлайн-соединения из-за его функций исправления ошибок, он, как правило, работает медленнее, чем UDP (протокол управления передачей данных).
Поскольку UDP не включает исправление ошибок, любые данные проходят через протокол быстрее.
Поменяйте сетевой порт
Когда устройство подключается к VPN-серверу и взаимодействует с ним, оно использует сетевой порт. VPN-клиенты обычно позволяют выбирать, какой порт будет использоваться — по крайней мере, для определённых VPN-протоколов.
Возможно, VPN-сервер плохо взаимодействует с вашим устройством через конкретный используемый порт. Кроме того, ваш провайдер может замедлить любой трафик, проходящий через указанный порт — обычно потому, что он хочет умышленно занизить полосу пропускания.
Поэтому попробуйте переключиться между различными портами и выбрать порт с наибольшей скоростью.
Добавьте исключения в защитное ПО
Иногда ваши антивирус/защита от вредоносных программ или фаервол может помешать работе VPN, в результате чего скорость его работы замедляется. Обычно это происходит потому, что они тщательно анализируют каждый пакет данных, отправляемый и получаемый с VPN-сервера, что занимает время и потребляет ресурсы.
В идеале следует добавить VPN-клиент в качестве исключения в защитное ПО, а не отключать его напрямую. Таким образом, у вас всё равно будет способ защитить себя от вирусов и вредоносных программ.
Наконец, переключитесь на более быстрый VPN
Если ваш VPN-провайдер использует ограничения по полосе пропускания или медленные серверы для экономии денег, предлагает только ресурсоёмкие протоколы, такие как OpenVPN и SSTP, или неправильно маршрутизирует ваш трафик, скорость будет медленной.В этом случае лучше всего переключиться на другого поставщика. Предпочтительно такого, который предлагает неограниченную полосу пропускания, быстрые серверы (например, скорость до 1 Гбит/с) и оптимизированные по скорости протоколы, вроде IKEv2 и SoftEther.
Массовый перенос ключей и сертификатов cryptopro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта.
Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Как исправить ошибку 789 l2tp в Windows
Мы уже выяснили, что при нормально настроенной сети и исправном функционировании Windows, где, в том числе отсутствует вирусное ПО – проблема в реестре. Редактирование его вручную без имеющихся навыков не рекомендуется, поскольку при неправильных действиях вмешательство пользователя может привести к неработоспособности компьютера и повлечь за собой непоправимые последствия для операционной системы. В любом случае перед работой с реестром лучше будет создать резервную копию. Если вы являетесь опытным юзером, то ничто не мешает самостоятельно внести необходимые изменения в записи реестра, чтобы тем самым устранить ошибку 789 и затем беспрепятственно подключиться к L2TP-соединению. Выполняем такие манипуляции:
- Открываем реестр любым удобным способом (например, нажатием клавиш Win+R вызываем консоль «Выполнить», где вводим команду regedit – метод универсален. При работе с Windows 7 и более ранними версиями ОС можно открыть реестр через Пуск, запросив в поле поиска regedit).
- Реестр имеет древовидную структуру в любой из версий ОС. Так, для устранения ошибки VPN-соединения с кодом 789 идём в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters.
- Создаём или корректируем имеющиеся параметры (в строки прописываем значение 1)
- «ProhibitIpSec»=dword:00000001
- «AllowL2TPWeakCrypto»=dword:00000001.
- Подтверждаем действие.
- После выполненных манипуляций перезагружаю устройство, что необходимо для вступления в силу изменений и подключаюсь к интернету.
Испробовав этот метод для устранения ошибки 789, многие пользователи отмечают, что на Windows 10, 8, 7 проблема больше не возникает.
How to FIX: Can’t connect to VPN. L2TP connection between your computer and the VPN server could not be established on Windows 10.
Before continue to the instructions below, apply the following actions: *
* Important: If the problem started in January 2022, see the following article first:
Related Article: FIX: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.
1. Ensure that the Required L2TP/IPsec Ports are enabled on VPN Server’s side.
Login to the Router on VPN Server’s side, and forward the following UDP ports to VPN Server’s IP address: 1701, 50, 500 & 4500
2. Connect to VPN via another device or network.
Try connecting to L2TP VPN from another device (e.g. your mobile), or network (e.g. your Mobile’s phone network).
3. Delete and recreate the VPN connection.
Sometimes VPN connection problems, are resolved after removing and re-adding the VPN Connection.
If, after the above steps, you are still unable to connect to your l2tp/IPsec VPN server from your Windows 10 computer, apply the following modifications to the registry and the VPN connection.
STEP 1. ALLOW L2TP CONNECTIONS BEHIND NAT.
By default, Windows do not support L2TP/IPsec connections if the computer or the VPN server are located behind a NAT. To bypass this problem modify registry as follows:
1. Open Registry Editor. To do that:
2. At the left pane, navigate to this key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\PolicyAgent
3. Right click at an empty space at the right pane and select New –> DWORD (32 bit) Value.
4. For the new key name type: AssumeUDPEncapsulationContextOnSendRule and press Enter.
* Note: The value must be entered as shown above and with no space at the end.
5. Double click at AssumeUDPEncapsulationContextOnSendRule value, type 2 at Value data and click OK.
6. Close Registry Editor and reboot the machine.
Step 2. Modify Security Settings on VPN Connection.
1. Right-click at the Network icon on the taskbar and choose Open Network & Internet settings.
* Note: Alternatively, go to Start > Settings click Network and Internet.
2. Select Ethernet on the left and then click Change adapter options on the right.
3. Right-click on the VPN connection and chose Properties.
4a. At Options tab, click PPP Settings.
4b. Check Enable LCP extensions and click OK.
4c. At Security tab, check the following and click OK.
- Allow these protocols
- Challenge Handshake Authentication Protocol (CHAP)
- Microsoft CHAP Version 2 (MS-SHAP v2)
5. Try to connect to VPN. The connection should be established now without problems. *
ADDITIONAL HELP: If after applying the above steps you still have a problem, try the following:
1. Check that the following services are enabled (Startup type: Automatic)
-
- IKE and AuthIP IPsec Keying Modules
- IPsec Policy Agent
2. If you’re using a third-party firewall program, try to disable it or to completely uninstall it before connecting to VPN.
3. Try to reset the Windows Firewall settings to their default. To do that, go to Control Panel > Windows Defender Firewall and click Restore defaults.
4. Delete and recreate the VPN connection.
5. Reboot the router on VPN’s server side.
That’s it! Let me know if this guide has helped you by leaving your comment about your experience. Please like and share this guide to help others.
If this article was useful for you, please consider supporting us by making a donation. Even $1 can a make a huge difference for us in our effort to continue to help others while keeping this site free:
We’re hiring
We’re looking for part-time or full-time technical writers to join our team! It’s about a remote position that qualified tech writers from anywhere in the world can apply. Click here for more details.
If you want to stay constantly protected from malware threats, existing and future ones, we recommend that you install Malwarebytes Anti-Malware PRO by clicking below (we
do earn a commision from sales generated from this link, but at no additional cost to you. We have experience with this software and we recommend it because it is helpful and useful):
Усовершенствованные протоколы с шифрованием
Как известно, PPTP не обеспечивает защиты от атак через посредника, способных вызвать нарушение целостности данных и подмену адресата. Но главный недостаток этого протокола в том, что он дает возможность выполнять процедуры аутентификации, основанные лишь на одном критерии (а именно на знании пользователем пароля).
Иными словами, если злоумышленник выкрадет или разгадает пароль служащего, он сможет получить доступ к сети компании. Преодолеть барьер двухфакторной аутентификации, в ходе которой используются как некие знания пользователя (скажем, пароль), так и предметы (допустим, карта с защищенным ключом или сертификат), уже гораздо сложнее.
В среде Windows XP и более поздних версиях Windows существует возможность заменить пароли пользовательскими сертификатами, для чего наряду с PPTP применяется протокол Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). Но комбинация PPTP и EAP-TLS обеспечивает лишь однофакторную аутентификацию и не устраняет уязвимости PPTP в сетевой среде.
Кроме того, нельзя забывать, что сертификаты не переносимы. А значит, если пользователю понадобится позаимствовать ноутбук коллеги или потребуется заменить вышедший из строя мобильный компьютер находящегося в отъезде сотрудника, осложнений не избежать, ведь для того, чтобы пользователь мог подключиться к VPN и войти в сеть компании, придется предварительно установить на его машине сертификат, созданный именно для этого пользователя.
L2TP/IPsec VPN из Windows 10 не работает с ошибкой «удаленный сервер не отвечает …»
Фон
- Synology DS413 NAS, настроенный как сервер L2TP/IPSec VPN и расположен за Draytek Vigor 2860 NAT.
- L2TP VPN включен на маршрутизаторе Draytek Vigor Router ( VPN и удаленный доступ > Управление удаленным доступом > снимите флажки с Включить службу IPSec VPN и Включить службу L2TP VPN ).
- UDP порты 1701 , 500 или 4500 пересылаются с маршрутизатора Draytek на Synology NAS.
- Клиент Windows 10 Pro пытается подключиться с помощью встроенного клиента Windows VPN.
- VPN-соединение через PPTP работает нормально.
Проблема
Подключение VPN через L2TP/IPsec не работает со следующей ошибкой: Сетевое соединение между вашим компьютером и Не удалось установить VPN-сервер, потому что удаленный сервер не отвечает. Это может быть связано с тем, что одно из сетевых устройств (e. g, межсетевые экраны, NAT, маршрутизаторы и т. д.) между вашим компьютером и удаленным сервером не настроены для разрешения VPN-подключений. Обратитесь к своему администратору или поставщику услуг, чтобы определить, какое устройство может вызывать проблему.
Разрешение
По умолчанию клиент Windows L2TP/IPsec VPN делает ‘ t поддерживает подключения к серверам VPN, расположенным за устройствами NAT. Чтобы включить поддержку NAT Traversal (NAT-T), внесите следующие изменения в реестр:
- Откройте
- Перейдите к
- Создайте новое значение типа DWORD 32 :
- Имя :
- Данные : 2 0 – Нет подключения к серверам за NAT (по умолчанию). 1 – Подключение, где VPN сервер находится за NAT. 2 – соединение, при котором сервер и клиент VPN находятся за NAT.
Перезагрузить компьютер
Декабрь 2017 г. Windows 10 Pro (1709)
к началу
Настройка клиентского компьютера
В большинстве случаев для VPN соединения подходят настройки «по умолчанию», но не будет лишним указать конкретный тип соединения и отключить протоколы шифрования, которые не будут использоваться.
После этого, нужно прописать адреса статических маршрутов и основного шлюза, при этом учитывая особенности структуры сети. Данные вопросы рассматривались в прошлых разделах.
После установки VPN соединения можем пропинговать любой компьютер, входящий в локальную сеть, так мы без особого труда получаем доступ к терминальному серверу:
Внимание, еще одно важное замечание! Зачастую доступ к ПК в локальной сети будет осуществляться по IP адресам. Имеется в виду – путь \\\\10.0.0.1 будет рабочим, а \\\\SERVER – не будет работать. Такой вариант будет весьма непривычным для пользователей и может вызвать дополнительные трудности
От этих проблем можно избавиться несколькими способами:
Такой вариант будет весьма непривычным для пользователей и может вызвать дополнительные трудности. От этих проблем можно избавиться несколькими способами:
- Если ваша сеть построена на основе доменной структуры, тогда необходимо для VPN соединения адресом DNS-сервера указать адрес сервера контроллера домена. Можно воспользоваться функцией в настройках сервера ms-dns в /etc/ppp/pptpd-options и данные настройки клиентом будут получаться автоматически.
- Если в вашей сети отсутствует DNS сервер, тогда можно создать WINS-сервер и аналогично настроить для него автоматическую передачу данных для клиентских компьютеров, используя опцию ms-wins.
- Если количество удаленных клиентов невелико, вы можете настроить файлы hosts на каждом из компьютеров, прописав в них строку вида: 10.0.0.2 SERVER. Файл hosts вы можете найти в папке (C:\\Windows\\System32\\drivers\\etc\\hosts).
Основой нашего сервера стал маршрутизатор, использующий WindowsServer 2008 R2. Настройка сервера рассматривалась ранее. Настройки актуальны и для серверов на основе WindowsServer 2003 – 2008 с небольшими особенностями.
Настройка закончена и, в крайнем случае, в процессе запуска мастера, необходимо будет выбрать нужную конфигурацию. При открытии диспетчера сервера, в ролях нужно найти «маршрутизация и удаленный доступ» зайти в ее свойства (открывается при помощи правой кнопки мыши). В появившемся окне, нужно установить переключатель «IPv4» в состояние локальной сети и вызова по требованию и установить галочку напротив «IPv4 сервер удаленного доступа«.
После данных манипуляций нужно в закладке «безопасность» выбрать проверку подлинности при помощи протокола MS-CHAPV2 и запретить подключение без проверки.
Далее следует еще одна закладка IPv4. На ней нужно обозначить из какого диапазона значений клиенты VPN сети будут получать свои адреса, и установить интерфейс, который будет принят подключением.
После сохранения изменений, служба перезапустится и добавится роль VPN сервера. В консоли (левая часть) должен появиться пункт «порты», в его свойства нам и нужно зайти. По умолчанию система создает 5 PPTP и 5 L2TP портов. В настройках PPTP устанавливаем галочки напротив подключения по требованию и подключения удаленного доступа. Кроме этого, необходимо указать максимальное количество портов. Все лишние порты рекомендуется отключить.
На данном этапе настройка сервера может считаться оконченным действием. Необходимо лишь определить количество пользователей, для которых будет доступен удаленный доступ к серверу.
Настройка доступа производится разделе локальных пользователей и групп, где находим «свойства пользователя» и разрешаем доступ в разделе «права доступа к сети» во «входящих звонках».
Чтобы удостовериться в правильности всех настроек, нужно подключиться из клиентского компьютера, при этом выбрав нужный нам тип проверки доступа. Список подключенных клиентских компьютеров можно увидеть в консоли, где расположен пункт «Клиенты удаленного доступа».
Для произведения диагностики проблем с подключением в первую очередь необходимо изучать журнал событий, в котором фиксируются все наиболее важные происшествия. В описаниях вы сможете найти полную информацию для быстрого обнаружения и устранения возникшей проблемы.
Отключение старых методов аутентификации
Сразу покажу решение, которое помогло мне, все дело было в одной из галок, а именно в свойствах VPN подключения, на вкладке безопасность, я отключил на клиентской рабочей станции, устарелый метод аутентификации, а именно «Протокол проверки пароля CHAP», так как на моем сервере VPN он так же не используется, а рекомендации Microsoft явно пишут о расхождении методов аутентификации, при попытке подключений. (https://technet.microsoft.com/en-us/library/dd349058%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396)
В результате чего, сотрудник подключился и ошибка с кодом 20255 исчезла.
Мои настройки методов аутентификации на сервере NPS.
Вообще старайтесь, данный метод не использовать, так как он не безопасный.
Настройка центра сертификатов и ias в домене windows 2000
Нам предстоит настроить сервер VPN, но прежде необходимо создать центр сертификации (Certificate Authority, CA). Служба сертификатов может устанавливать либо автономный центр сертификации, либо центр сертификации уровня предприятия. Если создается центр сертификации уровня предприятия, то компьютеры, функционирующие под управлением Windows 2000 и более поздних версий, по умолчанию доверяют сертификатам, выданным этим центром сертификации.
Установка службы сертификатов выполняется так. Нужно зарегистрироваться на соответствующем сервере, открыть оснастку Add/Remove Programs и запустить мастер Windows Component Wizard (для этого следует выбрать элемент Add/Remove Components). Требуется установить флажок Certificate Services и щелкать на кнопке Next до тех пор, пока не откроется окно Certification Authority Type.
В качестве первого центра нужно выбрать Enterprise Root CA и далее следовать всем указаниям мастера. Служба сертификатов может функционировать лишь при наличии сервера Microsoft IIS. Если данный пакет еще не установлен, его установит система Windows 2000.
По прошествии нескольких часов после создания центра сертификатов уровня предприятия каждый функционирующий под управлением Windows 2000 и более поздней версии Windows компьютер домена автоматически добавит в хранилище сертификатов Trusted Root Certification Authorities самоподписанный сертификат.
Настройка EOIP Tunnel + Ipsec
Настроим vpn сеть на базе EOIP в Mikrotik
Тут нужно понимать одно важное отличие от всех предыдущих настроек, которые мы делали ранее. EOIP туннель работает на уровне l2, то есть оба сегмента сети будут считать, что находятся в одной физической сети
Адресное пространство для обоих будет одно и то же. В моем примере это 10.20.1.0/24. DHCP сервер должен остаться только один для обоих сетей. В моем случае он останется на m-server.
Создаем EOIP туннель на m-server. Идем в Interface list -> EoIP Tunnel и добавляем новый.
Из настроек достаточно указать только удаленный адрес второго микротика. Новый EoIP интерфейс необходимо добавить в локальный бридж вместе с физическими интерфейсами.
Идем на удаленный микротик и там делаем все то же самое, только Remote Address указываем другой.
Этого достаточно, чтобы EoIP туннель сразу же заработал. Его состояние будет RS.
На втором микротике EoIP интерфейс так же нужно добавить в локальный бридж с остальными интерфейсами.
Проще всего проверить, что все в порядке, это запросить по dhcp на m-slave ip адрес для интерфейса bridge. Он должен получить ip адрес от dhcp сервера на m-server, при условии, что в сети больше нет других dhcp серверов. То же самое будет и с локальными машинами в сети за m-slave. Они будут получать ip адреса от dhcp сервера на m-server.
Проверим теперь быстродействие такого vpn туннеля на основе EoIP.
Показываю максимальный результат, который у меня получился — 836 мбит/сек. По какой-то причине в разных тестах скорость плавала в интервале между 600-850 мбит/сек. Для того, чтобы скорость изменилась, необходимо было отключить и заново включить EoIP интерфейс. Скорость впечатляет. При этом, процессор не загружен на 100%. То есть узкое место не он. Похоже я уперся в производительность сети. Напомню, что тут нет никакого шифрования и маршрутизации трафика. Прямой l2 канал между двумя микротиками через EoIP vpn.
Добавим в EoIP туннель шифрование Ipsec и посмотрим на скорость. Для этого меняем настройки каналов на обоих микротиках. Добавляем пароль Ipsec и локальные адреса, отключаем Fast Path.
Измеряем скорость соединения.
У меня получилась скорость vpn при использовании EoIP + Ipsec в среднем 27 мбит/сек. Скорость сопоставима с шифрованными туннелями L2tp и Openvpn. В этом плане никаких приятных сюрпризов не получилось. Шифрование очень тяжело дается этой железке. Можно сказать она для него не предназначена практически совсем.