Настройка VPN-туннеля IPSec между двумя межсетевыми экранами Kerio Control 9.2

После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.

По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.

Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:

• Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
• Сервер — адрес VPN сервера, их может быть несколько;
• Пользователь — логин пользователя;
• Пароль — его пароль.
• Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.

Kerio Control VPN Client используется для подключения компьютера к серверу Kerio Control VPN. Установка и настройка клиентоской части не должна вызвать никаких проблем даже у совсем малограмотных пользователей, но если вы не уверены в своих действиях — смело ориентируйтесь на эту статью!

Описание

Скачиваем данный клиент отсюда (сайт очень не дружит с установленными блокировщиками рекламы, так что в случае проблем с ним попробуйте отключить) под нужную вам версию Windows, и запускаем установщик. Первым делом появится вопрос о языке установки, выбрав нужный переходим к следующему пункту.

После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.

По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.

Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:

• Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
• Сервер — адрес VPN сервера, их может быть несколько;
• Пользователь — логин пользователя;
• Пароль — его пароль.
• Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.

Известный программный продукт Kerio Control представляет собой комплекс приложений для полноценной защиты вашей компьютерной сети. Функционально ПО способно заменить собой антивирус, программу администрирования пользователей, Web-фильтр и виртуальный UTM. ПО разворачивается на любых платформах и переносится без переустановки, так как выпускается для виртуальных сред VMware. У нас вы можете купить лицензию Kerio Control для государственных и образовательных учреждений, а также коммерческих организаций.

Новые версии программы выпускаются для установки на ОС Linux и не требуют сложной установки. Можно установить Керио Контроль, разворачивая систему с ISO-образа, либо инициализировав виртуальную машину. Чтобы детально разобраться, как устанавливать Kerio Control и настраивать его в виртуальной среде, рекомендуем ознакомиться с основными принципами разворачивания ПО.

Kerio Control: как установить

Kerio Control может быть установлен с использованием Software Appliance или путем инициализации на сервере. Если применять первый способ, то для установки не понадобится выполнять все шаги по загрузке программы поэтапно. Установка будет выполнена быстро и с минимальным участием администратора.

Если осуществлять инсталляцию ПО путем инициализации на сервере, вам нужно будет обозначить характеристики вашей виртуальной машины, такие как объем оперативки и количество процессоров.

Kerio Control: настройка

После успешной установки программы вам будет доступна панель управления, на которой вы сможете настроить сетевую конфигурацию. После получения IP-адресов, можно легко подключиться к программе по локальной сети. Для настройки параметров нужно будет работать через веб-интерфейс. Есть возможность отрегулировать интерфейс в соответствии с актуальными функциями.

Задайте правила трафика, настройте определения и выберите нужные параметры во вкладке «Кэш». Благодаря защищенному протоколу HTTPS/SSL вся деятельность по отладке параметров будет безопасной. Первой на консоли идет панель мониторинга. Используя ее, можно наблюдать активность пользователей, подключения и многое другое.

Kerio Control VPN: настройка

Чтобы обеспечить безопасную передачу данных в программе используется VPN. Таким образом, в Kerio Control реализована возможность объединять удаленные локальные сети, при этом сотрудники имею доступ к корпоративным ресурсам, где бы они ни находились.

Читайте также:  Facebook моя страница мобильная версия

Чтобы настроить VPN, необходимо вначале отрегулировать параметры на панели управления. Перейдя во кладку «Интерфейсы», нужно выбрать VPN-сервер, и в настройках включить функцию «Включить сервер Kerio VPN». В окне, где указаны свойства VPN-сервера, нужно также ввести название сертификата, указать предопределённый ключ (если вы будете его использовать).

Kerio Control: настройка VPN-туннеля

Для того чтобы выполнить настройку VPN-туннеля между двумя офисами, например, необходимо произвести базовую настройку в главном офисе через панель управления администратора. Вам необходимо установить доступ к серверу VPN через Интернет, создав правило для этого. После того как правило, разрешающее трафик, будет установлено, VPN-сервер будет доступен через внешнюю сеть.

Настроив DNS и активировав VPN-сервер, можно будет создавать непосредственно туннель. Для этого необходимо будет кликнуть на кнопке «Добавить VPN-туннель». Задайте имя и способ подключения к удаленному офису. В завершение настройте правила, с помощью которых будет возможно подключение по локальной сети в обе стороны (главного офиса и удаленного). В филиале необходимо будет произвести те же шаги по настройке.

Kerio Control IPSec: настройка

Для обеспечения соединения между двумя удаленными точками, например, главным офисом и филиалом, можно использовать не подключение не только по VPN-протоколу, но и IPSec. С помощью программы, находящейся в центральном офисе, нужно создать новый туннель IPSec. В параметрах задайте ip-адрес, предопределенный ключ, локальный и удаленный ID, а также другие необходимые настройки.

Далее добавьте правила фаервола, политики шифрования и поработайте с настройками Peers. Так как в программе задана возможность автоматической генерации политик, при установке соединения они будут сразу же созданы. На роутере в удаленном офисе также появится политика для подсети, и туннель будет создан.

Kerio Control: установка и настройка в Windows

Все новые версии UTM-решения ориентированы на установку на ОС Linux в целях повышения производительности и сохранения безопасности сетей. Начиная с Kerio Control, версия 8.0.0 программа не выпускается в виде Windows-приложения.

В программах для ОС Linux реализована поддержка виртуальных локальных сетей. Поэтому производители настоятельно рекомендуют использовать программные или виртуальные версии ПО.

Kerio Control Software Appliance: настройка

Software Appliance дает возможность установить UTM на компьютер без операционной системы, либо в виртуальную среду. Таким образом, вы имеете возможность максимально легко внедрить программное обеспечение в компании. Software Appliance можно установить в виде образа с диска. Программный модуль обладает простым интерфейсом и не содержит возможных вирусных угроз. Для установки модуля не нужны специальные знания, а установку можно произвести как с диска, так и с флешки.

После установки программы необходимо выбрать сетевой интерфейс и задать ip-адрес. Выполнив базовые настройки, необходимо будет указать номер лицензии, чтобы активировать UTM. Через интерфейс модуля вы можете создать VLAN интерфейсы и настроить их в режиме PPPoE.

Kerio Control: настройка DNS

Настройка DNS необходима для того чтобы сотрудники из филиала, например, имели доступ к ресурсам центрального офиса, а значит могли подключаться к их сети. Выполнив настройку, можно будет использовать DNS-сервер.

На консоли администрирования нужно выбрать вкладку «Конфигурация» и кликнуть на параметре «DNS». Чтобы служба переадресации работала корректно, активируйте функцию «Использовать пользовательскую переадресацию». Правильно указав переадресацию, все запросы с домена не главного офиса будут перенаправляться на внутренний интерфейс программы, который связан с локальной сетью.

На сегодняшний день технология VPN является надежным средством для обеспечения безопасной передачи данных через открытые каналы связи. С ее помощью можно объединить локальные сети удаленных офисов или предоставить возможность сотрудникам работать с корпоративными ресурсами практически из любой точки земного шара. Сегодня мы разберем, как можно организовать корпоративный VPN-сервер на базе продукта Kerio Control.

Читайте также:  Msi zh77a g43 драйвер

Создание VPN-туннеля «офис-офис»

Как мы уже говорили, VPN-сервер, реализованный в продукте Kerio Control, позволяет объединять локальные сети в удаленных офисах. Давайте рассмотрим процедуру создания VPN-туннеля между двумя офисами, которые будем условно называть головным и филиалом.

В первую очередь необходимо провести настройку продукта в головном офисе. Осуществляется она с помощью консоли администратора, подключенной к Kerio Control. Сначала необходимо разрешить доступ к VPN-серверу из Интернета. Для этого в разделе «Конфигурация->Политика трафика->Правила трафика» нужно создать новое правило. В качестве источника необходимо выбрать пункт «Любой«, в качестве приемника – Firewall, а в качестве службы – KerioVPN. Разрешив трафик, удовлетворяющий этим правилам, мы делаем VPN-сервер доступным из внешней сети.

Следующий этап – настройка DNS. Она необходима, чтобы пользователи из одной сети могли использовать DNS-сервер (а значит, нормально обращаться к компьютерам) другой сети. Для этого перейдите в раздел «Конфигурация->DNS» и включите службу переадресации DNS (скорее всего, она у вас уже включена). Затем активируйте чекбокс «Использовать пользовательскую переадресацию«, нажмите на кнопку «Определить» и в открывшемся окне введите пользовательскую переадресацию. В ней укажите, что запросы на адрес домена филиала (например, это будет filial.example.ru) будут переправляться на IP-адрес внутреннего интерфейса (то есть того, который «смотрит» в локальную сеть) интернет-шлюза удаленного филиала.

Далее необходимо активировать VPN-сервер и настроить его SSL-сертификат. Сделать это можно в разделе «Конфигурация->Интерфейсы«. Найдите на данной вкладке среди VPN-интерфейсов VPN-сервер, дважды кликните на нем левой кнопкой мыши и в открывшемся окне включите службу. Затем нажмите на кнопку «Изменение сертификата SSL«. Если у вас уже есть сертификат, то просто импортируйте его в систему. В противном случае нажмите на кнопку «Сгенерировать сертификат«, введите требуемые данные и нажмите на кнопку «ОК«.

Следующий шаг – создание VPN-туннеля, который свяжет головной офис с удаленным подразделением. Для этого нажмите на кнопку «Добавить VPN-туннель«. В открывшемся окне в первую очередь введите имя его имя. Пренебрегать этим не стоит, особенно если требуется создать целый ряд туннелей для нескольких удаленных офисов. Далее выберите способ подключения к удаленной точке: активный или пассивный. Первый вариант можно использовать только в том случае, если удаленный интернет-шлюз имеет постоянный внешний IP-адрес (при его выборе необходимо указать этот IP-адрес или имя хоста). Иначе необходимо выбрать пассивное подключение. После этого требуется ввести «отпечаток» SSL-сертификата удаленного VPN-сервера и завершить процедуру создания туннеля.

Наконец, последний шаг – настройка правил трафика, позволяющих пользователям локальной сети головного офиса подключаться к сети филиала и наоборот. Осуществляется эта настройка в разделе «Конфигурация->Политика трафика->Правила трафика«. В первом правиле необходимо в качестве источника указать пункт «Доверенные/локальные интерфейсы«, а в качестве приемника – созданный нами на предыдущем этапе VPN-туннель. Второе правило должно выглядеть следующим образом: источник – созданный VPN-туннель, а приемник – сетевой интерфейс, «смотрящий» в локальную сеть головного офиса. Если вы хотите, чтобы пользователям из разных сетей были доступны только определенные сетевые сервисы, то в правилах их нужно указать. В противном случае в списке служб можно выбрать пункт «Любые«.

Настройка VPN-сервера в филиале осуществляется точно таким же образом, только в этом случае удаленным становится интернет-шлюз головного офиса. Это необходимо учитывать при настройке переадресации DNS, а также при создании VPN-туннеля.

Настройка VPN-сервера для подключения удаленных клиентов

Процедура настройки VPN-сервера для подключения удаленных клиентов начинается с разрешения внешнего доступа к нему. Осуществляется эта операция в разделе «Конфигурация->Политика трафика->Правила трафика«. В нем необходимо создать правило с источником «Любой«, приемником «Firewall» и службой Kerio VPN. После этого нужно перейти в раздел «Конфигурация->Интерфейсы«, найти на этой вкладке интерфейс «VPN-сервер», дважды кликнуть на нем мышкой и включить службу. Обратите внимание, что если вы уже настраивали VPN-сервер для подключения удаленных филиалов, то все это уже сделано, а поэтому данный шаг можно пропустить.

Читайте также:  Genius g pen f610 отзывы

Далее необходимо проверить правило (раздел «Конфигурация->Политика трафика->Правила трафика«), разрешающее доступ VPN-клиентов в локальную сеть. В принципе, оно генерируется автоматически мастером настройки под названием «Локальный трафик«. Надо только убедиться в его наличии и активности. Кстати, если в компании применяются VPN-туннели между офисами, то можно разрешить удаленным сотрудникам доступ и к локальным сетям филиалов. Для этого следует создать правило, которое должно выглядеть следующим образом: источник – «Все VPN-клиенты«, назначение – интерфейс локальной сети и все нужные VPN-туннели, служба – «Любой«. В результате сотрудники смогут через Интернет связываться с головным офисом, причем им будут доступны и сети удаленных филиалов компании.

Последний этап – присвоение пользователям необходимых для удаленного доступа через VPN полномочий. Для того чтобы предоставить эти права целой группе (при этом они будут распространяться на все входящие в нее учетные записи), откройте ее свойства, перейдите на вкладку «Права» и активируйте чекбокс «Пользователи могут присоединиться через VPN«. Настройка разрешений для отдельного пользователя осуществляется точно таким же образом, только нужно открывать окно с параметрами не группы, а нужной учетной записи.

Настройка VPN-клиента

Подключение удаленных пользователей к локальной сети осуществляется с помощью специальной программы — VPN-клиента. В принципе, Kerio Control позволяет использовать для этого разные программы. Однако лучше все-таки использовать собственный клиент. Он абсолютно бесплатен, не требует какого-либо лицензирования, удобен и прост в настройке.

В первую очередь необходимо загрузить дистрибутив программы-клиента с официального сайта Kerio и установить его на компьютер или ноутбук, с которого будет осуществляться удаленный доступ. Процедура инсталляции абсолютно ничем не примечательна, а поэтому останавливаться на ней мы не будем. Отметим только, что после ее завершения среди списка сетевых подключений компьютера появляется еще один под названием Kerio Virtual Network.

Для подключения к корпоративной сети через VPN-канал введите в поле «Сервер» IP-адрес или имя хоста интернет-шлюза, после чего укажите свой логин и пароль. Если вы хотите, чтобы программа запомнила ваш пароль, чтобы не вводить его в будущем, то активируйте чекбокс «Сохранить пароль«. Обратите внимание, что по соображениям безопасности это стоит делать только в том случае, если несанкционированный доступ к компьютеру исключен. Поэтому на ноутбуках данную опцию использовать не рекомендуется. Если вы разрешили VPN-клиенту сохранять свой пароль, то для удобства использования можете активировать также чекбокс «Постоянное соединение«. В этом случае Kerio VPN Client будет автоматически поддерживать соединение с сервером в активном состоянии.

Подводим итоги

Как мы видим, настроить VPN-доступ к корпоративной сети, в которой используется система Kerio Control достаточно просто. Буквально за несколько шагов можно «поднять» VPN-туннель, объединяющий удаленные офисы и обеспечивающий защищенную передачу информации между ними. Настройка системы для доступа к ней удаленных клиентов осуществляется еще проще. Приобрести Kerio Control можно у партнеров 1Софт.

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

Хотите купить софт? Позвоните партнерам фирмы «1С», чтобы получить квалифицированную консультацию по выбору программ для ПК, а также информацию о наличии и цене лицензионного ПО.

Начиная с 8й версии Kerio Control поддерживает IPSec VPN, в этой статье я расскажу как правильно его настроить на примере Windows, OS X, Linux, iOS и Android.

Включается IPSec на сервере самым обычным чекбоксом. Затем определим общий ключ:

Итак, для начала настроим сервер, для этого перейдем в раздел «Интерфейсы» , включим опцию «Использовать предопределенный ключ» и введем пароль, который будет общим для всех:

Обратите внимание, для пользователей из локальной базы Kerio, необходимо включить хранение пароль в совместимом с MS-CHAP v2 формате:

Настройку клиентов наченем рассматривать, разумеется, с Windows.

Я использую Windows 8.1 Enterprise, но инструкция применима и для более ранних версий Windows. Итак, в Панели управления откроем Центр управления сетями и общим доступом и нажмем Настроить новое подключение к сети.. :

Укажем адрес подключения (разумеется, гораздо лучше использовать имя, а не ip) и имя подключения, которое будет понятно Вам, например, «Работа»:

После создания подключения, не будем спешить и устанавливать соединение — нам нужно настроить несколько важных параметров:

1. Укажем тип VPN: у нас это L2TP/IPSec;
2. Нажмем Дополнительные настройки и укажем общий ключ;
3. Укажем максимальный уровень шифрования;
4. Разрешим протокол MS-CHAP v2.

Теперь можно подключаться, при первом логине будет запрос логина и пароля (указывать домен не обязательно):

Что ж, проверим результат. Обратите внимание, при подключении по IPSec, DNS Suffix не указывается, в отличии от подключения «родным» клиентом Kerio VPN, так что подключаться к внутренним ресурсам нужно будет используя FQDN имя.

На OS X все достаточно просто, в моем примере используется 10.9.2, но инструкция применима и для более ранних версий.

Откроем Системные настройки, затем Сеть, нажмем «+» в левом нижнем углу, выберем Интерфейс VPN, тип L2TP over IPSec и укажем имя:

Теперь создадим конфигурацию:

Укажем адрес подключения и имя пользователя:

Нажмем Authentication Settings и введем пароль пользователя и общий ключ:

Нажмем Дополнительно и включим опцию Отправлять весть трафик через VPN:

Теперь можно подключится и убедится в наличии соединения:

Теперь рассмотрим подключение Linux, на примере Ubuntu 12.04 i386 в которой из коробки доступна возможность только PPTP VPN, что, впрочем, неудивительно:

Установим вот такую приблуду:

sudo apt-get install l2tp-ipsec-vpn

.. и после перезагрузки перейдем к созданию и настройке подключения (имя подключения не может содержать пробел, но это Linux, удивляться нечему):

Обратите внимание, включить нужно протокол PAP, а не MS-CHAP v2, что конечно не слишком хорошо:

На iOS 7 настройка крайне проста (на iOS 6 и ранее — особо не отличается), но увы, начиная с 6.1 отсутствует возможность постоянного подключения (если Вы знаете как это обойти — пишите в комментариях):

Настройка Android 4 аналогична в своей простоте:

На этом все, также рекомендую ознакомится с более подробной информацией о MS-CHAP v2 — http://technet.microsoft.com/ru-ru/library/cc731462(v=ws.10).aspx

Используемые источники:

• https://sysadmin.ru/articles/ustanovka-i-nastrojka-kerio-control-vpn-client-pod-windows
• https://web-shpargalka.ru/kerio-control-vpn-client-nastrojka.php
• https://it-community.in.ua/2013/02/kerio-control-nastroyka-servera-i-klientov-ipsec-vpn.html/