Назначением описываемого далее VPN является подключение через Kerio Control пользователей, расположенных за пределами локальной сети организации к серверу в локальной сети для работы со спец. ПО. Все участники схемы подключены в Интернет.
VPN создан с помощью Kerio Control 9.3.5. Керио установлен, настроен и работает. У ЛВС назначен внешний статический IP-адрес. Для VPN использован протокол IPsec (сокращение от IP Security) wiki. Клиенты подключаются через встроенное в Windows приложение для VPN.
Порядок действий.
2.Настройка сервера VPN IPsec.
4.Настройка пользователя VPN в сервер.
7.Автозапуск VPN при включении ПК.
Активация VPN-сервера в Kerio Control происходит на вкладке бокового меню «Интерфейсы». Необходимо кликнуть по VPN-серверу мышкой два раза и войти в настройку. Для добавления нового VPN в нижней части окна нажмите на кнопку «Добавить» и выберите желаемый способ из раскрывшегося списка.
Переходим в свойства VPN-сервера и выполняем следующие настройки.
1.Включить сервер IPsec VPN – отмечаем галочкой.
2.VPN-сеть: 192.168.100.0 — удобный IP-адрес для сети VPN.
3.Маска 255.255.255.0 – маска, соответствующая IP.
4.Сертификат первоначально не используем. Когда VPN заработает можно добавить сертификат.
5.Использовать сертификат для клиентов – галочку не ставим.
6.Использовать предопределенный ключ: указываем сложный ключ-пароль из латинских букв разного регистра, цифр и спец.символов.
7.Включить аутентификацию MS-CHAPv2 – отмечаем галочкой.
На вкладках KerioVPN, DNS, WINS настройки не изменялись. Если Керио привязан к домену, в настройках DNS нужно указать IP-адрес DC.
Нажимаем ОК для сохранения настроек. Сервер IPsec VPN начнет работать.
Для работы VPN понадобятся разрешающие правила трафика. Переходим в боковом меню в раздел «Правила трафика» и создаем новые или редактируем существующие правила. Должно получится 3 правила как на картинке ниже.
Internet access (NAT) – правило позволяет выходить в Интернет. В графе «Источник» должны быть указаны «Клиенты VPN».
Local traffic – правило разрешает локальный трафик. VPN клиенты получают доступ к общим ресурсам в локальной сети.
VPN – правило разрешает подключение из Интернета в Керио по Ipsec и Kerio VPN.
4.Настройка пользователя VPN в сервер.
В разделе пользователей нужно указать кому можно подключатся к VPN. Для этого выбираем пользователя из списка.
Открываем редактирование пользователя и на вкладке права отмечаем галочку «Пользователь может подключ., используя VPN».
На вкладке «Адреса» каждому клиенту можно назначить статический IP-адрес в VPN.
Нажимаем ОК для сохранения введенных параметров.
Настройка VPN подробно расписана в официальном мануале Керио.
Клиентами VPN будут компьютеры с ОС Windows 7 и Windows 10, расположенные вне локальной сети и подключенные к Интернету.
Создадим новое VPN подключение в Центре управления сетями и общим доступом. Для Windows 7-10 этот процесс почти одинаковый.
Выбираем создание нового подключения или сети.
Выбираем вариант подключения – Подключение к рабочему месту.
Если ранее в компьютере уже создавались VPN подключения, то на возникший вопрос – «Использовать имеющееся подключение» выбираем ответ – «Нет, создать новое».
Выбираем «Использовать мое подключение к Интернету (VPN).
В следующем шаге мастера указываем внешний статический IP адрес Керио. Имя указываем любое понятное.
Указываем имя VPN пользователя в Керио и его пароль.
Через некоторое время после нажатия кнопки «Создать» подключение будет готово.
Отредактируем свойства созданного VPN подключения в сетевых соединениях.
На вкладке «Безопасность» вводим следующие настройки.
1.Тип VPN: L2TP Ipsec VPN.
2.Шифрование данных: обязательное (отключится, если нет шифрования).
3.Разрешить следующие протоколы: Протокол Micrsoft CHAP версии 2 (MS-CHAP v2)
На этой же вкладке «Безопасность» переходим в дополнительные свойства.
1.Отмечаем точкой настройку – «Для проверки подлинности использовать предварительный ключ.
2.Вводим ключ-пароль, такой же как в настройках Керио.
3.Нажимаем ОК для сохранения.
Переходим на вкладку «Сеть».
1.Выбираем Протокол Интернета версии 4 (TCP/IP).
Нажимаем кнопку «Свойства».
Переходим в раздел дополнительных свойств.
На вкладке параметры IP есть настройка «Использовать основной шлюз в удаленной сети».
Если галочка стоит, то весь трафик пойдет через Керио. В этом случае его можно контролировать, и он попадает под все правила и настройки Kerio Control. Недостаток в замедлении скорости передачи.
Если галочку убрать, то пользователь VPN будет использовать свой стандартный шлюз для выхода в Интернет, а в Керио будут идти только пакеты для назначенных целей.
Дополнение.
В результате тестов установлено, при отсутствии выше названой галочки у клиента VPN отсутствует доступ к внутренним ресурсам сети.
Проблема решается статическим маршрутом на ПК клиента VPN.
1.В командной строке вводим
1 |
route print |
для уточнения номера соединения. (VPN-KERIO = 65)
При каждом новом создании, пересоздании VPN-соединения номер меняется.
2.Вводим маршрут
1 |
route add 192.168.1.0 mask 255.255.255.0 192.168.100.1 metric 1 if 65 -p |
192.168.1.0 mask 255.255.255.0 — сеть назначения с маской
192.168.100.1 – IP-адрес VPN-сервера (VPN шлюз)
metric 1 – метрика
if 65 – номер интерфейса
-p – сохранение маршрута после перезагрузки ПК.
Удаление маршрута (если понадобится).
1 |
route delete 192.168.1.0 mask 255.255.255.0 192.168.100.1 metric 1 if 65 -p |
Чтоб активировать VPN, нажимаем на значок компьютера (сеть) в нижней правой части экрана. В раскрывшемся списке выбираем нужное соединение и нажимаем кнопку «Подключение».
В открывшемся подключении вводим логин и пароль учетной записи пользователя VPN. Нажимаем кнопку «Подключение».
Чтоб это окно не появлялось каждый раз можно убрать галочку «Запрашивать имя, пароль, сертификат и т.д.» в свойствах подключения на вкладке «Параметры».
Если все настройки выполнены правильно и нет проблем с Керио, его активацией, дистрибутивом, версией и прочих нюансов, то произойдет VPN подключение.
Можно пробовать пинговать сервер в локальной сети с компьютера VPN клиента. Часто доступу препятствует антивирус. Так же можно проверить доступ к общим папкам в локальной сети или подключение к удаленному рабочему столу сервера.
В меню Kerio Control отобразятся подключенные пользователи в разделе «Клиенты VPN».
7.Автозапуск VPN при включении ПК.
Все действия выполняются на ПК клиента VPN. Автозапуск осуществляется через добавления параметра в реестре.
1.Входим в реестр Windows. Win+R >> regedit
2.Переходим по ветке каталогов.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run – автозапуск для всех пользователей.
(HKEY_CURRENT_USER – только для текущего пользователя)
3.Создаем новый строковый параметр со значением rasdial VPN-KERIO admin Password12345.
vpn – любое понятное имя латиницей
rasdial – приложение, которое запускает VPN
VPN-KERIO – название VPN соединения (как при создании)
admin – имя VPN пользователя в Керио
Password12345– пароль VPN пользователя в Керио
Нажимаем ОК и перезагружаем ПК.
Теперь после входа в учетную запись будет появляться командная строка с ходом подключения к VPN.
VPN подключится автоматически.
Добрый день. Такой вопрос у меня в керио есть один подсеть например 192.168.1.0 маска 255.255.254.0 и этот подсеть уже заполнен есть еще куча компов котором надо дат ip как расширит подсеть чтоб было 192.168.1.0, 192.168.2.0, 192.168.3.0 и т.д может кто не будь помочь с этим вопросом. За ранее спасибо!
добавляйте ip-адреса из диапазона 192.168.0.0 маска 255.255.254.0 на 510 компов хватит
Нужно ли пробрасывать порты на роуторе, для того, чтобы со статического IP выйти на kerio control vpn server?
Непонятен вопрос, лучше схему нарисуйте.
https://yadi.sk/i/2tHCkbWS88OpHQ
Пробросте UDP500 и UDP4500 посмотрите что получится
есть сеть 10.111.2.* и есть филиал у которого сеть 193.168.203.*. Роутер филиала подключается к керио IPsec VPN и получает адрес 10.109.10.203. Я на керио прописал маршрут 193.168.203.0 MASK 255.255.255.0 шлюз 10.109.10.203 но керио почемуто отправляет пакеты в интернет. Подскажите как исправить
Там надо указать интерфейс VPN.
а интерфейс ВПН не появляется только локальные и интернет интерфейсы
Добрый день! Инструкция подробная, спасибо. Kerio Версия 8.6.2 билд 3847/ Может вы сталкивались с такой ошибкой при подключении и ввода логина/пароля — ошибка: «Ошибка 691: В удаленном подключении отказано, т.к. не удалось распознать комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа» Буду признателен, если подскажете в чем дело.
P.S. Причем ошибка на двух разных машинах Kerio.
С такой ошибкой не сталкивались. От VPN керио уже отказались и используем микротики. Попробуйте пересоздать VPN соединение в Windows (ошибка как я понимаю на стороне клиента?). Попробуйте обновить Kerio до 9 версии и посмотреть изменится ли ситуация.
Всем привет, шикарная статья, все подключилось, но есть он НО, не могу подключиться к локальному компу в сети, даже пинг не проходит. все правила перерыл. Плиз хелп спасибо
У нас была похожая ситуация, не проходило подключение и пинг, оказалось что все блокировал антивирус на компьютере в локальной сети. Настройте правило в антивирусе резрешающее входящее подключение от клиента VPN. Настройте правило разрешающее ICMP. Так же отключите брандмауэр для проверки.
Добрый день, проблема с подключениями пользователей через KErio VPN client , часть подключается часть нет. Каждый раз по разному то один коннектится то второй. 100+ машин. 4 филиала к одному керио. Ошибка «Сбой аутентификации» куда капать если учетки все правильные.