Ikev2 ipsec windows 10

This guide will help you set up an IPSec connection using IKEv2

Open the Control panel by clicking the start menu icon and typing control
Click Network and Internet followed by Network and Sharing Centre
Click Setup a new connection or network

Картинка с сайта: www.ivpn.net
Click Connect to a workplace, then click Next

Картинка с сайта: www.ivpn.net
Click Use my Internet connection (VPN)

Картинка с сайта: www.ivpn.net
Enter the address of one of the servers from the server status list (depending on which country you want to connect to).

Below that give the connection a name e.g. IVPN — GB.

Choose Remember my credentials if you don’t want to enter your account ID and password every time you connect.

Click Create to continue

Картинка с сайта: www.ivpn.net
The VPN connection is now created but we still need to configure it. Open the Network and Sharing Centre as shown in steps 1 and 2.

Click Change Adapter settings

Картинка с сайта: www.ivpn.net
Right click the icon with the name of the connection you created and with the text WAN Miniport (IKE v2)
Below it and click Properties

Картинка с сайта: www.ivpn.net
Select the Security tab and change the Type of VPN to IKEv2 and the data encryption to Maximum strength encryption (disconnect if server declines)

Under Authentication select Use Extensible Authentication Protocol (EAP) and Microsoft: Secured password (EAP-MSCHAP v2) (encryption enabled)
Right click the icon with the name of the connection you created again and select Create shortcut

Картинка с сайта: www.ivpn.net
Click Yes to create a shortcut on the desktop

Картинка с сайта: www.ivpn.net
Search for VPN settings in the search field on the Taskbar or in the Start menu. Click VPN settings in the results list.

Картинка с сайта: www.ivpn.net
Click the VPN connection created in step #6 above and click the Advanced options button.

Картинка с сайта: www.ivpn.net
Under Connection properties, click the Edit button.

Картинка с сайта: www.ivpn.net
Enter your account ID that begins with letters ‘ivpnXXXXXXXX’ or ‘i-XXXX-XXXX-XXXX’ (case-sensitive) and the following password — ivpn, then click the Save button. Close all of the windows that have been opened during this process.

Картинка с сайта: www.ivpn.net
To Connect, click your Task Bar Network Icon, then click the name of the IVPN connection and then Connect
After a few seconds the network applet should indicate that you are connected to the VPN server.

DNS may leak with this manual connection. Check out our guide on setting DNS manually.

Disabling IPv6 may be another way to further tighten up your system.

Spotted a mistake or have an idea on how to improve this page?

Suggest an edit on GitHub.

Источник

Screenshot 1: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Double click on the downloaded file and click on Install Certificate. Enter your Perfect Privacy login credentials.

Screenshot 2: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

You can then close this window. If you ever want to uninstall the certificate at a later point, you can do so by starting the Cert Installer and clicking on Uninstall Certificate.

Screenshot 3: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Open the start menu, type «Network» and go to the Network and Sharing Center.

Screenshot 4: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Click on Set up a new connection or network.

Screenshot 5: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Click on Connect to a Workplace.

Screenshot 6: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Choose Use my Internet connection (VPN).

Screenshot 7: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Enter a Perfect Privacy server of your choice. You can see which servers are available on the IPsec page in the download section. Make sure to use the general hostname of a location like amsterdam.perfect-privacy.com for the server group in Amsterdam, since the certificates will only match these hostnames. You can choose any destination name. Activate Remember my credentials so you not have to enter your Perfect Privacy username and password for every connection. Then click on Create.

Screenshot 8: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Click on Change adapter settings on the left side.

Screenshot 9: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Right click on the newly created connection and choose Properties.

Screenshot 10: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Under the security tab, set the VPN type to IKEv2, choose Require encryption for data encryption and activate Use Extensible Authentication Protocol (EAP). Click on OK to close this window.

Screenshot 11: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Double click on the connection or right click on it and choose Connect/Disconnect. This will open a new window.

Screenshot 12: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Click on the VPN Connection to expand it and click Connect.

Screenshot 13: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

Enter your Perfect Privacy login credentials and click OK.

Screenshot 14: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

The IPsec connection should now be working. Below the VPN connection name it says Connected.

Screenshot 15: IPsec Certificates Windows 10 | Configuring IPsec/IKEv2 in Windows 10

You can check that your VPN connection works correctly by visiting our Check IP website.

This website uses cookies to analyze the traffic and to control our advertising. By using this site, you agree to the use of cookies. More information can be found in our privacy policy.

Источник

Время на прочтение5 мин

Количество просмотров194K

Сейчас все вокруг настраивают VPN для удаленных сотрудников. Мне больно смотреть, как люди устанавливают монструозные глючные программы, настраивают какие-то сертификаты, устанавливают драйвера TUN/TAP и делают множество сложных операций, в то время как лучшее решение уже встроено в операционную систему.

IKEv2 — это современный протокол VPN, разработанный Microsoft и Cisco. Он используется по умолчанию для новых VPN-подключений в Windows, macOS, iOS. Он быстрее и безопаснее большинства VPN-протоколов и может легко настраиваться на стороне клиента в два клика без использования сторонних программ.

Я считаю, что IPsec IKEv2 отлично подходит не только для соединения серверов, но и для обычных VPN-подключений конечных пользователей. В этом посте я постараюсь убедить вас использовать IPsec IKEv2 для обычных домашних пользователей вместо OpenVPN.

IKEv2 быстрее

При прочих равных условиях, IKEv2 будет всегда быстрее OpenVPN. Это особенно заметно на маломощных системах с медленной памятью, например на роутерах или одноплатных компьютерах.

Дело в том, что IPsec работает в контексте ядра операционной системы, а OpenVPN в контексте пользователя (userspace), и на обработку каждого пакета происходит переключение контекста между процессами ядра и процессами пользователя. Это влияет как на пропускную способность, так и на задержки.

^{Сравнение задержек для разных протоколов VPN.}

Скриншот выше показывает разницу в задержке в два раза между IPsec и OpenVPN. Разумеется, разницу в 1мс невозможно заметить на глаз, но при нагрузке на систему эти значения могут значительно изменяться. Кроме того, реальные показатели сильно зависят от характеристик конкретной системы, поэтому я не буду приводить абсолютные цифры для сравнения двух протоколов. Задержки очень важны при использовании голосовой и видеосвязи через VPN.

По моим субъективным ощущениям IKEv2 на Windows 10 работает заметно отзывчивее чем OpenVPN. Ведь реальное использование десктопного компьютера сильно отличается от синтетических тестов VPN-протоколов. Нагрузка на процессор и память непостоянная, пользователь может запускать ресурсоемкие программы, все это будет влиять на показатели.

IKEv2 проще в настройке

Все современные операционные системы (кроме Android) поддерживают IPsec IKEv2 прямо из коробки. Не нужно устанавливать никакие программы, драйвера виртуальных адаптеров TUN/TAP и прочее. Всё управление VPN происходит из системного меню.

При этом настройку на клиенте можно упростить до трех строчек:

Домен — для IPsec домен обязателен, так как для него выпускается SSL-сертификат
логин
пароль

Не нужно больше передавать клиенту файлы с сертификатами и ключами, заставлять его импортировать корневые сертификаты в системное хранилище. Достаточно логина и пароля, при этом соединение будет так же надежно защищено, как и в OpenVPN при использовании сертификатов, ведь для установки соединения используется такой же x.509 сертификат, как и для веб-сайтов с HTTPS.

Настройка на Windows 10

Мастер настройки VPN вызывается из меню подключения к WiFi. С настройкой одного окна справится пользователь любой квалификации. Созданное подключение активируется из меню со списком WiFi-сетей.

^{Интерфейс настройки нового IKEv2 подключения в Windows 10}

Настройка macOS

В macOS поддерживается IKEv2 начиная с версии 10.11 (El Capitan). Создание подключения происходит через меню настроек сети.

Добавляем новое подключение. В качестве имени подключения задаем любое произвольное имя.

Для проверки подлинности сертификата, нужно указать доменное имя. При этом в поле «Server Address» можно указать IP-адрес сервера, а домен только в «Remote ID», тогда для подключения не будет выполняться DNS-резолв, и оно будет происходить чуть быстрее.

Логин и пароль пользователя указываем из файла /etc/ipsec.secrets

Настройка iOS

Настройку iOS можно выполнить вручную через мастер, но намного удобнее использовать профиль автоконфигурации mobileconfig.

Ручная настройка по смыслу аналогична десктопной macOS:

Настройки -> VPN -> Добавить конфигурацию VPN

IKEv2 это безопасно

На предыдущем шаге мы выяснили, что для настройки подключения достаточно логина и пароля. Но как клиенту проверить, что подключение не прослушивается, не подменяются данные и сервер действительно тот, за кого себя выдает? Для этого используются обычные SSL-сертификаты, которые мы привыкли использовать для веб-сайтов и HTTPS.

Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

Сервер IKEv2 может использовать один и тот же сертификат вместе с веб-сервером, например от популярного Let’s Encrypt. Это сильно упрощает управлением сертификатами.

Такая же модель используется в OpenVPN, и при желании в нем можно использовать сертификат от Lets Encrypt, однако администратору в любом случае потребуется передать пользователю файл для настройки VPN.

Настраиваем IKEv2 сервер

Развернуть свой IKEv2 сервер можно за пару минут с помощью скриптов автоматической установки или используя готовые контейнеры. Использовать docker не рекомендуется, так как его сетевая подсистема снижает производительность IPsec на дешевых тарифах VPS. Вы также можете настроить IKEv2-сервер вручную, на Хабре есть статьи с примерами настройки сервера Strongswan.

Мы будем использовать один из наиболее удачных вариантов скриптов автонастройки github.com/jawj/IKEv2-setup
Этот скрипт хорош тем, что использует сертификаты от Lets Encrypt и автоматически генерирует валидный сертификат.

Шаг 1: Выбор сервера

Для запуска VPN сервера нам потребуется VDS. Подойдет самая простая конфигурация с одним ядром процессора. Скрипт из нашего примера лучше всего протестирован на Ubuntu 18.04, поэтому при создании сервера выбираем этот образ ОС.

Ждем окончания установки сервера и копируем реквизиты для подключения. Пароль root придет на почту, либо его можно задать вручную через веб-интервейс. Далее все команды мы вводим

Шаг 2: Установка Strongswan

Подключаемся SSH-клиентом и запускаем скрипт установки:

# запуск автоматической установки сервера IKEv2 
wget https://raw.githubusercontent.com/jawj/IKEv2-setup/master/setup.sh
chmod u+x setup.sh
./setup.sh
....
# Введите имя домена направленного на IP-адрес сервера
# используйте сервис sslip.io если у вас нет домена
Hostname for VPN: 123-45-67-89.sslip.io
# Имя пользователя VPN
VPN username: coolguy
# пароль 
VPN password (no quotes, please):
....
# скрипт запрос создать нового SSH-пользователя, этот шаг нельзя пропускать.

Шаг 3: Настройка клиента

Введенные реквизиты пользователя VPN теперь нужно использовать для настройки на клиенте. Важно использовать именно то доменное имя, которое вы вводили в Hostname for VPN.

Шаг 4: Добавление новых пользователей

Чтобы добавить нового пользователя в уже созданный сервер, отредактируйте файл /etc/ipsec.secrets.

# nano /etc/ipsec.secrets
123-45-67-89.sslip.io : RSA "privkey.pem"
coolguy : EAP "C00lPassword"
badguy : EAP "bAdP$$word"

После добавления пользователя выполните команду ipsec secrets чтобы Strongswan перечитал конфиг.

Заключение

Мы рассмотрели удобство IKEv2 со стороны пользователя. Администрирование такого сервера не сложнее, а иногда даже проще чем OpenVPN. Если вы только планируете организовать удаленный доступ для своих сотрудников, обязательно посмотрите в сторону IKEv2. Не заставляйте своих пользователей устанавливать лишние программы, если все необходимое уже есть на их компьютере. Это удобнее, безопаснее и намного прогрессивнее.

Источник

Перед настройкой VPN-подключения перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Не рекомендуем использовать для VPN-подключений кириллические логины.

Создание VPN-подключения в Windows

Для корректной передачи маршрутов клиенту убедитесь, что опция Использовать основной шлюз удаленной сети выключена. Для отключения опции перейдите в Панель управления -> Cеть и интернет -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> Cвойства. После этого перейдите на вкладку Cеть -> IP версии 4 (TCP/IPv4) -> Дополнительно.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.

Применение сертификатов:

Если сертификат для VPN-подключений издан NGFW, установите корневой сертификат NGFW на устройство пользователя.
Если для VPN-подключения используется сертификат, выданный Let`s Encrypt, то установка корневого сертификата на устройство не требуется.
Если используется сторонний сертификат (например, от коммерческих Certificate Authority), убедитесь, что домен указан в поле Subject Alternative Name (SAN). Загрузите сертификат как пользовательский в разделе Сервисы -> Сертификаты -> Загруженные сертификаты.

4. Импортируйте сертификат Ideco NGFW в Windows. Для этого выполните действия:

Откройте скачанный сертификат и нажмите Установить сертификат:

Для корректной настройки выберите расположение хранилища Локальный компьютер:

Установите сертификат в Доверенные корневые центры сертификации:

Создание подключения в Windows:

1. Кликните на иконке сетевого подключения в системном трее и в появившемся окне выберите Параметры сети и интернет:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

Имя подключения — название создаваемого подключения;
Имя или адрес сервера — адрес VPN-сервера;
Тип VPN — протокол IKEv2;
Тип данных для входа — имя пользователя и пароль;
Имя пользователя — логин пользователя, которому разрешено подключение по VPN;
Пароль — пароль пользователя.

4. Перейдите в Настройки параметров адаптера, нажмите на созданное подключение правой кнопкой мыши и выберите Свойства.

5. Перейдите на вкладку Безопасность и установите:

Шифрование данных — обязательное (отключиться, если нет шифрования);
Протокол расширенной проверки подлинности (EAP) — Microsoft защищенный пароль (EAP MSCHAPV2).

6. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

7. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить.

Ошибки работы VPN-подключений

Если при подключении по IKEv2 возникает «Ошибка сопоставления групповой политики» или ошибка с кодом «13868»

Если VPN-подключение по протоколам IPSeс в Windows автоматически разрывается через 7 часов 45 минут, для восстановления связи подойдут следующие действия:

1. Переподключите соединение. Оно восстановится, но через 7 часов 45 минут вновь будет автоматически разорвано. Если требуется, чтобы подключение не разрывалось автоматически, то выполните действия из следующего пункта.

2. Внесите изменения в реестр:

Откройте Редактор реестра;
Перейдите по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters;
Нажмите правой кнопкой мыши по параметру с именем NegotiateDH2048_AES256 и нажмите Изменить;
В строке Значение укажите значение 1:

Перезагрузите Windows.

Если параметра с именем NegotiateDH2048_AES256 нет, то создайте его. Для этого:
Нажмите правой кнопкой мыши по свободному месту реестра в Parameters и выберите Создать -> DWORD:

Задайте имя NegotiateDH2048_AES256;
Нажмите правой кнопкой мыши по созданному файлу и выберите Изменить:

В строке Значение укажите значение 1:

3. Перезагрузите Windows.

В Ideco NGFW также есть возможность загрузить с сервера готовые скрипты для создания VPN-подключения в ОС Windows версий 8.1 и 10. Для загрузки и запуска скриптов воспользуйтесь инструкцией.

Источник

- GitHub Copilot
  
  Write better code with AI
- GitHub Advanced Security
  
  Find and fix vulnerabilities
- Actions
  
  Automate any workflow
- Codespaces
  
  Instant dev environments
- Issues
  
  Plan and track work
- Code Review
  
  Manage code changes
- Discussions
  
  Collaborate outside of code
- Code Search
  
  Find more, search less
Explore
- Learning Pathways
- Events & Webinars
- Ebooks & Whitepapers
- Customer Stories
- Partners
- Executive Insights
- GitHub Sponsors
  
  Fund open source developers
- The ReadME Project
  
  GitHub community articles
- Enterprise platform
  
  AI-powered developer platform
Pricing

IKEv2 быстрее

IKEv2 проще в настройке

Настройка на Windows 10

IKEv2 это безопасно

Настраиваем IKEv2 сервер

Шаг 1: Выбор сервера

Шаг 2: Установка Strongswan

Шаг 3: Настройка клиента

Шаг 4: Добавление новых пользователей

Заключение

Создание VPN-подключения в Windows

Ошибки работы VPN-подключений

Provide feedback

Saved searches

Use saved searches to filter your results more quickly