Андрей Смирнов
Время чтения: ~15 мин.
Просмотров: 116

Настройка VPN-туннеля IPSec между двумя межсетевыми экранами Kerio Control 9.2

Windows
  • Recluse
  • 4

kerio-control-vpn-client-01.jpg

После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.

kerio-control-vpn-client-02.jpg

По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.

kerio-control-vpn-client-03.jpg

Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:

kerio-control-vpn-client-04.jpg

  • Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
  • Сервер — адрес VPN сервера, их может быть несколько;
  • Пользователь — логин пользователя;
  • Пароль — его пароль.
  • Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.

Kerio Control VPN Client используется для подключения компьютера к серверу Kerio Control VPN. Установка и настройка клиентоской части не должна вызвать никаких проблем даже у совсем малограмотных пользователей, но если вы не уверены в своих действиях — смело ориентируйтесь на эту статью!

Описание

Скачиваем данный клиент отсюда (сайт очень не дружит с установленными блокировщиками рекламы, так что в случае проблем с ним попробуйте отключить) под нужную вам версию Windows, и запускаем установщик. Первым делом появится вопрос о языке установки, выбрав нужный переходим к следующему пункту.

После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.

По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.

Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:

  • Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
  • Сервер — адрес VPN сервера, их может быть несколько;
  • Пользователь — логин пользователя;
  • Пароль — его пароль.
  • Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.

1Kerio_Control_softmagazin_1.png

Известный программный продукт Kerio Control представляет собой комплекс приложений для полноценной защиты вашей компьютерной сети. Функционально ПО способно заменить собой антивирус, программу администрирования пользователей, Web-фильтр и виртуальный UTM. ПО разворачивается на любых платформах и переносится без переустановки, так как выпускается для виртуальных сред VMware. У нас вы можете купить лицензию Kerio Control для государственных и образовательных учреждений, а также коммерческих организаций.

Новые версии программы выпускаются для установки на ОС Linux и не требуют сложной установки. Можно установить Керио Контроль, разворачивая систему с ISO-образа, либо инициализировав виртуальную машину. Чтобы детально разобраться, как устанавливать Kerio Control и настраивать его в виртуальной среде, рекомендуем ознакомиться с основными принципами разворачивания ПО.

Kerio Control: как установить

Kerio Control может быть установлен с использованием Software Appliance или путем инициализации на сервере. Если применять первый способ, то для установки не понадобится выполнять все шаги по загрузке программы поэтапно. Установка будет выполнена быстро и с минимальным участием администратора.

Если осуществлять инсталляцию ПО путем инициализации на сервере, вам нужно будет обозначить характеристики вашей виртуальной машины, такие как объем оперативки и количество процессоров.

1Kerio_Control_softmagazin_2.jpg

Kerio Control: настройка

После успешной установки программы вам будет доступна панель управления, на которой вы сможете настроить сетевую конфигурацию. После получения IP-адресов, можно легко подключиться к программе по локальной сети. Для настройки параметров нужно будет работать через веб-интерфейс. Есть возможность отрегулировать интерфейс в соответствии с актуальными функциями.

Задайте правила трафика, настройте определения и выберите нужные параметры во вкладке «Кэш». Благодаря защищенному протоколу HTTPS/SSL вся деятельность по отладке параметров будет безопасной. Первой на консоли идет панель мониторинга. Используя ее, можно наблюдать активность пользователей, подключения и многое другое.

Kerio Control VPN: настройка

Чтобы обеспечить безопасную передачу данных в программе используется VPN. Таким образом, в Kerio Control реализована возможность объединять удаленные локальные сети, при этом сотрудники имею доступ к корпоративным ресурсам, где бы они ни находились.

Читайте также:  Facebook моя страница мобильная версия

Чтобы настроить VPN, необходимо вначале отрегулировать параметры на панели управления. Перейдя во кладку «Интерфейсы», нужно выбрать VPN-сервер, и в настройках включить функцию «Включить сервер Kerio VPN». В окне, где указаны свойства VPN-сервера, нужно также ввести название сертификата, указать предопределённый ключ (если вы будете его использовать).

Kerio Control: настройка VPN-туннеля

Для того чтобы выполнить настройку VPN-туннеля между двумя офисами, например, необходимо произвести базовую настройку в главном офисе через панель управления администратора. Вам необходимо установить доступ к серверу VPN через Интернет, создав правило для этого. После того как правило, разрешающее трафик, будет установлено, VPN-сервер будет доступен через внешнюю сеть.

Настроив DNS и активировав VPN-сервер, можно будет создавать непосредственно туннель. Для этого необходимо будет кликнуть на кнопке «Добавить VPN-туннель». Задайте имя и способ подключения к удаленному офису. В завершение настройте правила, с помощью которых будет возможно подключение по локальной сети в обе стороны (главного офиса и удаленного). В филиале необходимо будет произвести те же шаги по настройке.

Kerio Control IPSec: настройка

Для обеспечения соединения между двумя удаленными точками, например, главным офисом и филиалом, можно использовать не подключение не только по VPN-протоколу, но и IPSec. С помощью программы, находящейся в центральном офисе, нужно создать новый туннель IPSec. В параметрах задайте ip-адрес, предопределенный ключ, локальный и удаленный ID, а также другие необходимые настройки.

Далее добавьте правила фаервола, политики шифрования и поработайте с настройками Peers. Так как в программе задана возможность автоматической генерации политик, при установке соединения они будут сразу же созданы. На роутере в удаленном офисе также появится политика для подсети, и туннель будет создан.

Kerio Control: установка и настройка в Windows

Все новые версии UTM-решения ориентированы на установку на ОС Linux в целях повышения производительности и сохранения безопасности сетей. Начиная с Kerio Control, версия 8.0.0 программа не выпускается в виде Windows-приложения.

В программах для ОС Linux реализована поддержка виртуальных локальных сетей. Поэтому производители настоятельно рекомендуют использовать программные или виртуальные версии ПО.

Kerio Control Software Appliance: настройка

Software Appliance дает возможность установить UTM на компьютер без операционной системы, либо в виртуальную среду. Таким образом, вы имеете возможность максимально легко внедрить программное обеспечение в компании. Software Appliance можно установить в виде образа с диска. Программный модуль обладает простым интерфейсом и не содержит возможных вирусных угроз. Для установки модуля не нужны специальные знания, а установку можно произвести как с диска, так и с флешки.

После установки программы необходимо выбрать сетевой интерфейс и задать ip-адрес. Выполнив базовые настройки, необходимо будет указать номер лицензии, чтобы активировать UTM. Через интерфейс модуля вы можете создать VLAN интерфейсы и настроить их в режиме PPPoE.

1Kerio_Control_softmagazin_9.jpg

Kerio Control: настройка DNS

Настройка DNS необходима для того чтобы сотрудники из филиала, например, имели доступ к ресурсам центрального офиса, а значит могли подключаться к их сети. Выполнив настройку, можно будет использовать DNS-сервер.

На консоли администрирования нужно выбрать вкладку «Конфигурация» и кликнуть на параметре «DNS». Чтобы служба переадресации работала корректно, активируйте функцию «Использовать пользовательскую переадресацию». Правильно указав переадресацию, все запросы с домена не главного офиса будут перенаправляться на внутренний интерфейс программы, который связан с локальной сетью.

На сегодняшний день технология VPN является надежным средством для обеспечения безопасной передачи данных через открытые каналы связи. С ее помощью можно объединить локальные сети удаленных офисов или предоставить возможность сотрудникам работать с корпоративными ресурсами практически из любой точки земного шара. Сегодня мы разберем, как можно организовать корпоративный VPN-сервер на базе продукта Kerio Control.

Читайте также:  Msi zh77a g43 драйвер

Создание VPN-туннеля «офис-офис»

Как мы уже говорили, VPN-сервер, реализованный в продукте Kerio Control, позволяет объединять локальные сети в удаленных офисах. Давайте рассмотрим процедуру создания VPN-туннеля между двумя офисами, которые будем условно называть головным и филиалом.

В первую очередь необходимо провести настройку продукта в головном офисе. Осуществляется она с помощью консоли администратора, подключенной к Kerio Control. Сначала необходимо разрешить доступ к VPN-серверу из Интернета. Для этого в разделе «Конфигурация->Политика трафика->Правила трафика» нужно создать новое правило. В качестве источника необходимо выбрать пункт «Любой«, в качестве приемника – Firewall, а в качестве службы – KerioVPN. Разрешив трафик, удовлетворяющий этим правилам, мы делаем VPN-сервер доступным из внешней сети.

Следующий этап – настройка DNS. Она необходима, чтобы пользователи из одной сети могли использовать DNS-сервер (а значит, нормально обращаться к компьютерам) другой сети. Для этого перейдите в раздел «Конфигурация->DNS» и включите службу переадресации DNS (скорее всего, она у вас уже включена). Затем активируйте чекбокс «Использовать пользовательскую переадресацию«, нажмите на кнопку «Определить» и в открывшемся окне введите пользовательскую переадресацию. В ней укажите, что запросы на адрес домена филиала (например, это будет filial.example.ru) будут переправляться на IP-адрес внутреннего интерфейса (то есть того, который «смотрит» в локальную сеть) интернет-шлюза удаленного филиала.

Далее необходимо активировать VPN-сервер и настроить его SSL-сертификат. Сделать это можно в разделе «Конфигурация->Интерфейсы«. Найдите на данной вкладке среди VPN-интерфейсов VPN-сервер, дважды кликните на нем левой кнопкой мыши и в открывшемся окне включите службу. Затем нажмите на кнопку «Изменение сертификата SSL«. Если у вас уже есть сертификат, то просто импортируйте его в систему. В противном случае нажмите на кнопку «Сгенерировать сертификат«, введите требуемые данные и нажмите на кнопку «ОК«.

Следующий шаг – создание VPN-туннеля, который свяжет головной офис с удаленным подразделением. Для этого нажмите на кнопку «Добавить VPN-туннель«. В открывшемся окне в первую очередь введите имя его имя. Пренебрегать этим не стоит, особенно если требуется создать целый ряд туннелей для нескольких удаленных офисов. Далее выберите способ подключения к удаленной точке: активный или пассивный. Первый вариант можно использовать только в том случае, если удаленный интернет-шлюз имеет постоянный внешний IP-адрес (при его выборе необходимо указать этот IP-адрес или имя хоста). Иначе необходимо выбрать пассивное подключение. После этого требуется ввести «отпечаток» SSL-сертификата удаленного VPN-сервера и завершить процедуру создания туннеля.

Наконец, последний шаг – настройка правил трафика, позволяющих пользователям локальной сети головного офиса подключаться к сети филиала и наоборот. Осуществляется эта настройка в разделе «Конфигурация->Политика трафика->Правила трафика«. В первом правиле необходимо в качестве источника указать пункт «Доверенные/локальные интерфейсы«, а в качестве приемника – созданный нами на предыдущем этапе VPN-туннель. Второе правило должно выглядеть следующим образом: источник – созданный VPN-туннель, а приемник – сетевой интерфейс, «смотрящий» в локальную сеть головного офиса. Если вы хотите, чтобы пользователям из разных сетей были доступны только определенные сетевые сервисы, то в правилах их нужно указать. В противном случае в списке служб можно выбрать пункт «Любые«.

Настройка VPN-сервера в филиале осуществляется точно таким же образом, только в этом случае удаленным становится интернет-шлюз головного офиса. Это необходимо учитывать при настройке переадресации DNS, а также при создании VPN-туннеля.

Настройка VPN-сервера для подключения удаленных клиентов

Процедура настройки VPN-сервера для подключения удаленных клиентов начинается с разрешения внешнего доступа к нему. Осуществляется эта операция в разделе «Конфигурация->Политика трафика->Правила трафика«. В нем необходимо создать правило с источником «Любой«, приемником «Firewall» и службой Kerio VPN. После этого нужно перейти в раздел «Конфигурация->Интерфейсы«, найти на этой вкладке интерфейс «VPN-сервер», дважды кликнуть на нем мышкой и включить службу. Обратите внимание, что если вы уже настраивали VPN-сервер для подключения удаленных филиалов, то все это уже сделано, а поэтому данный шаг можно пропустить.

Читайте также:  Genius g pen f610 отзывы

Далее необходимо проверить правило (раздел «Конфигурация->Политика трафика->Правила трафика«), разрешающее доступ VPN-клиентов в локальную сеть. В принципе, оно генерируется автоматически мастером настройки под названием «Локальный трафик«. Надо только убедиться в его наличии и активности. Кстати, если в компании применяются VPN-туннели между офисами, то можно разрешить удаленным сотрудникам доступ и к локальным сетям филиалов. Для этого следует создать правило, которое должно выглядеть следующим образом: источник – «Все VPN-клиенты«, назначение – интерфейс локальной сети и все нужные VPN-туннели, служба – «Любой«. В результате сотрудники смогут через Интернет связываться с головным офисом, причем им будут доступны и сети удаленных филиалов компании.

Последний этап – присвоение пользователям необходимых для удаленного доступа через VPN полномочий. Для того чтобы предоставить эти права целой группе (при этом они будут распространяться на все входящие в нее учетные записи), откройте ее свойства, перейдите на вкладку «Права» и активируйте чекбокс «Пользователи могут присоединиться через VPN«. Настройка разрешений для отдельного пользователя осуществляется точно таким же образом, только нужно открывать окно с параметрами не группы, а нужной учетной записи.

Настройка VPN-клиента

Подключение удаленных пользователей к локальной сети осуществляется с помощью специальной программы — VPN-клиента. В принципе, Kerio Control позволяет использовать для этого разные программы. Однако лучше все-таки использовать собственный клиент. Он абсолютно бесплатен, не требует какого-либо лицензирования, удобен и прост в настройке.

В первую очередь необходимо загрузить дистрибутив программы-клиента с официального сайта Kerio и установить его на компьютер или ноутбук, с которого будет осуществляться удаленный доступ. Процедура инсталляции абсолютно ничем не примечательна, а поэтому останавливаться на ней мы не будем. Отметим только, что после ее завершения среди списка сетевых подключений компьютера появляется еще один под названием Kerio Virtual Network.

Для подключения к корпоративной сети через VPN-канал введите в поле «Сервер» IP-адрес или имя хоста интернет-шлюза, после чего укажите свой логин и пароль. Если вы хотите, чтобы программа запомнила ваш пароль, чтобы не вводить его в будущем, то активируйте чекбокс «Сохранить пароль«. Обратите внимание, что по соображениям безопасности это стоит делать только в том случае, если несанкционированный доступ к компьютеру исключен. Поэтому на ноутбуках данную опцию использовать не рекомендуется. Если вы разрешили VPN-клиенту сохранять свой пароль, то для удобства использования можете активировать также чекбокс «Постоянное соединение«. В этом случае Kerio VPN Client будет автоматически поддерживать соединение с сервером в активном состоянии.

Подводим итоги

Как мы видим, настроить VPN-доступ к корпоративной сети, в которой используется система Kerio Control достаточно просто. Буквально за несколько шагов можно «поднять» VPN-туннель, объединяющий удаленные офисы и обеспечивающий защищенную передачу информации между ними. Настройка системы для доступа к ней удаленных клиентов осуществляется еще проще. Приобрести Kerio Control можно у партнеров 1Софт.

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

Хотите купить софт? Позвоните партнерам фирмы «1С», чтобы получить квалифицированную консультацию по выбору программ для ПК, а также информацию о наличии и цене лицензионного ПО.

Начиная с 8й версии Kerio Control поддерживает IPSec VPN, в этой статье я расскажу как правильно его настроить на примере Windows, OS X, Linux, iOS и Android.

Включается IPSec на сервере самым обычным чекбоксом. Затем определим общий ключ:

Итак, для начала настроим сервер, для этого перейдем в раздел «Интерфейсы» , включим опцию «Использовать предопределенный ключ» и введем пароль, который будет общим для всех:

Screen Shot 2014-03-01 at 21.42.32

Обратите внимание, для пользователей из локальной базы Kerio, необходимо включить хранение пароль в совместимом с MS-CHAP v2 формате:

Screen Shot 2014-03-01 at 21.44.21

Настройку клиентов наченем рассматривать, разумеется, с Windows.

Я использую Windows 8.1 Enterprise, но инструкция применима и для более ранних версий Windows. Итак, в Панели управления откроем Центр управления сетями и общим доступом и нажмем Настроить новое подключение к сети.. :

Screen Shot 2014-03-01 at 21.22.34

Укажем адрес подключения (разумеется, гораздо лучше использовать имя, а не ip) и имя подключения, которое будет понятно Вам, например, «Работа»:

Screen Shot 2014-03-01 at 21.23.08

После создания подключения, не будем спешить и устанавливать соединение — нам нужно настроить несколько важных параметров:

  1. Укажем тип VPN: у нас это L2TP/IPSec;
  2. Нажмем Дополнительные настройки и укажем общий ключ;
  3. Укажем максимальный уровень шифрования;
  4. Разрешим протокол MS-CHAP v2.

Screen Shot 2014-03-01 at 21.40.06

Теперь можно подключаться, при первом логине будет запрос логина и пароля (указывать домен не обязательно):

Screen Shot 2014-03-01 at 21.24.57

Что ж, проверим результат. Обратите внимание, при подключении по IPSec, DNS Suffix не указывается, в отличии от подключения «родным» клиентом Kerio VPN, так что подключаться к внутренним ресурсам нужно будет используя FQDN имя.

Screen Shot 2014-03-01 at 21.26.26

На OS X все достаточно просто, в моем примере используется 10.9.2, но инструкция применима и для более ранних версий.

Откроем Системные настройки, затем Сеть, нажмем «+» в левом нижнем углу, выберем Интерфейс VPN, тип L2TP over IPSec и укажем имя:

Screen Shot 2014-03-01 at 22.24.52Теперь создадим конфигурацию:

Screen Shot 2014-03-01 at 22.27.51

Укажем адрес подключения и имя пользователя:

Screen Shot 2014-03-01 at 22.35.53

Нажмем Authentication Settings и введем пароль пользователя и общий ключ:Screen Shot 2014-03-01 at 22.36.13

Нажмем Дополнительно и включим опцию Отправлять весть трафик через VPN:Screen Shot 2014-03-01 at 22.36.37

Теперь можно подключится и убедится в наличии соединения:Screen Shot 2014-03-01 at 22.37.12

Теперь рассмотрим подключение Linux, на примере Ubuntu 12.04 i386 в которой из коробки доступна возможность только PPTP VPN, что, впрочем, неудивительно:

Screen Shot 2014-03-01 at 21.51.19

Установим вот такую приблуду:

sudo apt-get install l2tp-ipsec-vpn

.. и после перезагрузки перейдем к созданию и настройке подключения (имя подключения не может содержать пробел, но это Linux, удивляться нечему):

Screen Shot 2014-03-02 at 20.30.26

Обратите внимание, включить нужно протокол PAP, а не MS-CHAP v2, что конечно не слишком хорошо:

Screen Shot 2014-03-02 at 20.49.31

На iOS 7 настройка крайне проста (на iOS 6 и ранее — особо не отличается), но увы, начиная с 6.1 отсутствует возможность постоянного подключения (если Вы знаете как это обойти — пишите в комментариях):

Настройка Android 4 аналогична в своей простоте:

На этом все, также рекомендую ознакомится с более подробной информацией о MS-CHAP v2 — http://technet.microsoft.com/ru-ru/library/cc731462(v=ws.10).aspx

Используемые источники:

  • https://sysadmin.ru/articles/ustanovka-i-nastrojka-kerio-control-vpn-client-pod-windows
  • https://web-shpargalka.ru/kerio-control-vpn-client-nastrojka.php
  • https://it-community.in.ua/2013/02/kerio-control-nastroyka-servera-i-klientov-ipsec-vpn.html/

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации