IPSec VPN, настроенная (Windows)
Я работаю над проектом, который должен назвать веб-сервис, к которому можно только получить доступ, будучи соединенным через VPN. Платформа прежней версии, от которой мы мигрируем, работала на OpenBSD и использовала встроенные инструменты IPSec для создания соединения.
Следующая конфигурация - то, как соединение устанавливается. Может любой помогать мне относительно того, как я пошел бы о создании этого соединения VPN на машине Windows 7. Я исследовал онлайн, но не понимаю достаточно существующего сценария для попытки создания соединения в Windows. Я понимаю там используемый, чтобы быть инструментом под названием ipseccmd.exe, который, кажется, имеет параметры, которые соответствуют некоторым из них, но я не думаю, что это включало в более поздние версии Windows?
Вот извлечение конфигурации OpenBSD: (У меня есть необходимые IP-адреса за $variables и т.д.),
ike esp from $dev_server to $destination_lan peer $destination_peer \
main auth hmac-md5 enc aes-256 group modp1024 \
quick auth hmac-md5 enc aes-256 group modp1024 \
psk "pre_shared_key_goes_here"
"
Используйте правила безопасности подключения брандмауэра Windows для настройки IPsec в Windows 7.
Откройте меню «Пуск» и найдите «Брандмауэр Windows в режиме повышенной безопасности». Открой это. На левой панели щелкните правой кнопкой мыши «Брандмауэр Windows в режиме повышенной безопасности». Выберите «Свойства». Откройте вкладку «Настройки IPsec». Щелкните «Настроить».
В разделе «Обмен ключами (основной режим)» нажмите «Настроить».
Нажмите «Добавить» и выберите «MD5» в качестве алгоритма целостности, «AES-CBC 256» для алгоритма шифрования,и «Группа Диффи-Хеллмана 2» для алгоритма обмена ключами. Щелкните "ОК". Нажмите «ОК».
В разделе «Защита данных (быстрый режим)» нажмите «Настроить».
Установите флажок «Требовать шифрование для всех правил безопасности подключения, использующих эти параметры».
Нажмите «Добавить» и выберите «ESP», выберите «MD5» в качестве алгоритма целостности и выберите «AES-CBC 256» для алгоритма шифрования.
Щелкните "ОК". Щелкните "ОК". Щелкните "ОК". Нажмите «ОК».
На левой панели щелкните правой кнопкой мыши «Правила безопасности подключения». Выберите «Новое правило». Выберите «Туннель». Щелкните «Далее>». Щелкните «Далее>». Щелкните «Далее>». Нажмите «Добавить» и введите $ dev_server. Щелкните "ОК". Нажмите верхнюю кнопку «Изменить» и введите $ dev_server. Щелкните нижнюю часть «Редактировать» и введите $ destination_peer. Щелкните «Далее>». Выберите «Дополнительно» и нажмите «Настроить». В разделе «Первая аутентификация» нажмите «Добавить». Выберите «Предварительный ключ». Введите предварительный ключ. Щелкните "ОК". Щелкните "ОК". Щелкните «Далее>». Щелкните «Далее>». Введите имя для правила. Нажмите «Готово»
РЕДАКТИРОВАТЬ: добавлены шаги для настройки IPsec.
в качестве альтернативы используйте правило добавления netsh advfirewall консольного добавления из командной строки. Когда вы набираете именно это, вы получаете полезный текст справки.
Обратите внимание, что вам нужен «расширенный брандмауэр», который поставляется с Windows 7 Professional (я думаю) и Enterprise (я уверен). Не думаю, что это часть «домашнего» издания.
Это сложная тема, и ответ будет зависеть от того, как настроен другой конец вашего туннеля. Я не знаком с реализацией ipsec OpenBSD, но предполагаю, что вам нужно использовать режим «lan-to-lan» в Windows, даже если одна из ваших конечных точек не является локальной сетью, это всего лишь одна машина. (технически я предполагаю, что это / 32 LAN с одним участником :)