В нашем справочнике есть статья, посвящённая настройке VPN-канала с использованием образа на основе Windows Server 2019, на котором развёрнут VPN-сервер с возможностью доступа к нему с использованием протокола L2TP. Данный образ позволяет организовать VPN-подключение что называется “из коробки”. В настоящем руководстве мы разберём альтернативный способ настройки VPN-канала на основе StrongSwan IKEv2/IPSec и подключения к нему из Windows и Android.
Создание VPN-сервера
Для создания VPN-сервера необходимо зарегистрироваться в личном кабинете, после чего во вкладке Заказать
выбрать соответствующее расположение дата-центра. В нашем примере мы будем использовать Interxion, Амстердам.
Далее в разделе Конфигурация
укажите необходимые параметры создаваемой системы и затем в строке Шаблон сервера
из списка выберите StrongSwan IKEv2/IPSec - Debian 11
.
После оплаты и завершения процесса установки операционной системы перейдите во вкладку Мои серверы
, где в списке серверов появится новый VPS. Там вы сможете увидеть учётные данные для подключения к нему: IP-адрес, логин и пароль администратора системы. Та же информация поступит в виде сообщения на электронную почту, используемую вами для регистрации на хостинге.
Затем на своём локальном компьютере откройте браузер и в его адресной строке перейдите по адресу вида https://your-server-ip:5000
, где your-server-ip
– IP-адрес вашего сервера. При этом в открывшемся окне система попросит ввести соответствующие логин и пароль для подключения.
После успешной авторизации вы получите доступ к веб-интерфейсу VPN-сервера. Здесь для завершения его настройки кликните на ссылку произвести инициализацию
. В результате VPN-сервер применит текущую конфигурацию и создаст сертификат для подключения.
Подключение к VPN из Windows
Для подключения к созданному VPN-каналу из Windows на подключаемом компьютере установите сгенерированный сертификат. Для этого в веб-интерфейсе VPN-сервера кликните в корневой сертификат crt
, после чего откройте загруженный файл сертификата. В открывшемся окне нажмите Установить сертификат
.
Затем в разделе Расположение хранилища
выберите опцию Локальный компьютер
, после чего нажмите Далее
.
В следующем окне укажите опцию Поместить все сертификаты в следующее хранилище
и при помощи кнопки Обзор
из списка выберите Доверенные корневые центры сертификации
. Для продолжения нажмите Далее
.
Для того, чтобы завершить процесс импорта сертификата, нажмите Готово
.
После завершения работы мастера нажмите ОК
.
Далее в стартовом меню откройте Параметры
и там перейдите Сеть и Интернет
🠒 VPN
.
Здесь в разделе Подключения VPN
нажмите Добавить VPN
.
В открывшемся окне заполните следующие поля:
Имя подключения
– название создаваемого подключения (может быть любым);Имя или адрес сервера
– IP-адрес виртуального сервера;Тип VPN
– необходимо выбрать IKEv2;Тип данных для входа
– выберитеИмя пользователя и пароль
;Имя пользователя
– указано в разделеЛогин и пароль для доступа (EAP)
веб-интерфейса VPN-сервера;Пароль
– также указан в разделеЛогин и пароль для доступа (EAP)
веб-интерфейса VPN-сервера.
После чего нажмите Сохранить
.
Таким образом, новое VPN-подключение готово к использованию. Для его активации нажмите Подключиться
в строке, соответствующей созданному подключению.
Подключение к VPN из Android
Для подключения Android-устройства к VPN-серверу необходимо загрузить и установить на гаджет клиентское приложение StrongSwan.
Найти его можно воспользовавшись либо поиском в Google Play, либо ссылкой из веб-интерфейса VPN-сервера.
После установки StrongSwan перейдите в веб-интерфейс VPN-сервера и скачайте конфигурацию sswan для дальнейшей загрузки её в клиентское приложение.
В клиенте StrongSwan перейдите в главное меню и выберите Import VPN profile
.
Затем укажите приложению загруженный ранее файл конфигурации, введите логин, указанный в веб-интерфейсе VPN-сервера, и нажмите IMPORT
.
Теперь для подключения к VPN кликните в добавленный профиль, введите пароль и нажмите СОЕДИНИТЬ
.
В результате ваш гаджет подключиться к VPN-серверу.
Создание дополнительного пользователя
При инициализации сервера StrongSwan сервис создаёт пользователя, при помощи которого происходит авторизация во время подключения к VPN-каналу. Имя этого пользователя и его пароль указаны в веб-интерфейсе вашего сервера.
При этом, StrongSwan не допускает использование одного и того же пользователя при двух и более подключениях единовременно. Другими словами, подключение со второго узла произойдёт, и даже ранее установленное соединение останется активным, но трафик по первому подключению идти не будет. Исходя из этого, для использования VPN-канала с нескольких устройств одновременно необходимо создать учётные записи для каждого из этих клиентов.
Чтобы добавить в StrongSwan дополнительного пользователя, подключитесь к виртуальной машине по SSH и перейдите в каталог /etc
. Здесь откройте для редактирования файл ipsec.secrets
.
# cd /etc
# nano ipsec.secrets
И в этот файл дополнительной строкой добавьте нового пользователя, например youruser : EAP "Password1"
. В данном случае замените youruser
на имя создаваемого пользователя, а Password1
– на его пароль.
После чего закройте файл с сохранением внесённых изменений и перезапустите службу StrongSwan.
# systemctl restart strongswan-starter.service
После чего проверьте корректность добавления учётной записи, обновив страницу веб-интерфейса.
С этого момента вы сможете использовать нового пользователя для подключения к своему VPN-каналу.
а есть ли возможность его подключить к роутеру ?
2024-05-13 at 17:57Если роутер поддерживает IKEv2/IPSec, то такая возможность есть.
2024-06-19 at 18:19