Kerio Control: настройка сервера и клиентов IPSec VPN

Начиная с 8й версии Kerio Control поддерживает IPSec VPN, в этой статье я расскажу как правильно его настроить на примере Windows, OS X, Linux, iOS и Android.

Включается IPSec на сервере самым обычным чекбоксом. Затем определим общий ключ:

Итак, для начала настроим сервер, для этого перейдем в раздел “Интерфейсы” , включим опцию “Использовать предопределенный ключ” и введем пароль, который будет общим для всех:

Screen Shot 2014-03-01 at 21.42.32

Обратите внимание, для пользователей из локальной базы Kerio, необходимо включить хранение пароль в совместимом с MS-CHAP v2 формате:

Screen Shot 2014-03-01 at 21.44.21

Настройку клиентов наченем рассматривать, разумеется, с Windows.

Я использую Windows 8.1 Enterprise, но инструкция применима и для более ранних версий Windows. Итак, в Панели управления откроем Центр управления сетями и общим доступом и нажмем Настроить новое подключение к сети.. :

Screen Shot 2014-03-01 at 21.22.34

Укажем адрес подключения (разумеется, гораздо лучше использовать имя, а не ip) и имя подключения, которое будет понятно Вам, например, “Работа”:

Screen Shot 2014-03-01 at 21.23.08

После создания подключения, не будем спешить и устанавливать соединение – нам нужно настроить несколько важных параметров:

  1. Укажем тип VPN: у нас это L2TP/IPSec;
  2. Нажмем Дополнительные настройки и укажем общий ключ;
  3. Укажем максимальный уровень шифрования;
  4. Разрешим протокол MS-CHAP v2.

Screen Shot 2014-03-01 at 21.40.06

Теперь можно подключаться, при первом логине будет запрос логина и пароля (указывать домен не обязательно):

Screen Shot 2014-03-01 at 21.24.57

Что ж, проверим результат. Обратите внимание, при подключении по IPSec, DNS Suffix не указывается, в отличии от подключения “родным” клиентом Kerio VPN, так что подключаться к внутренним ресурсам нужно будет используя FQDN имя.

Screen Shot 2014-03-01 at 21.26.26

На OS X все достаточно просто, в моем примере используется 10.9.2, но инструкция применима и для более ранних версий.

Откроем Системные настройки, затем Сеть, нажмем “+” в левом нижнем углу, выберем Интерфейс VPN, тип L2TP over IPSec и укажем имя:

Screen Shot 2014-03-01 at 22.24.52Теперь создадим конфигурацию:

Screen Shot 2014-03-01 at 22.27.51

Укажем адрес подключения и имя пользователя:

Screen Shot 2014-03-01 at 22.35.53

Нажмем Authentication Settings и введем пароль пользователя и общий ключ:
Screen Shot 2014-03-01 at 22.36.13

Нажмем Дополнительно и включим опцию Отправлять весть трафик через VPN:
Screen Shot 2014-03-01 at 22.36.37

Теперь можно подключится и убедится в наличии соединения:Screen Shot 2014-03-01 at 22.37.12

Теперь рассмотрим подключение Linux, на примере Ubuntu 12.04 i386 в которой из коробки доступна возможность только PPTP VPN, что, впрочем, неудивительно:

Screen Shot 2014-03-01 at 21.51.19

Установим вот такую приблуду:

sudo apt-get install l2tp-ipsec-vpn

.. и после перезагрузки перейдем к созданию и настройке подключения (имя подключения не может содержать пробел, но это Linux, удивляться нечему):

Screen Shot 2014-03-02 at 20.30.26

Обратите внимание, включить нужно протокол PAP, а не MS-CHAP v2, что конечно не слишком хорошо:

Screen Shot 2014-03-02 at 20.49.31

На iOS 7 настройка крайне проста (на iOS 6 и ранее – особо не отличается), но увы, начиная с 6.1 отсутствует возможность постоянного подключения (если Вы знаете как это обойти – пишите в комментариях):

20140302_150827000_iOS

20140301_204708000_iOS

20140301_204826000_iOS

Настройка Android 4 аналогична в своей простоте:

Screen Shot 2014-03-02 at 19.32.22

Screen Shot 2014-03-02 at 19.34.18

Screen Shot 2014-03-02 at 19.35.53

На этом все, также рекомендую ознакомится с более подробной информацией о MS-CHAP v2 – http://technet.microsoft.com/ru-ru/library/cc731462(v=ws.10).aspx

7 thoughts on “Kerio Control: настройка сервера и клиентов IPSec VPN

  1. Александр 06.03.2013 at 17:07 - Reply

    Здравствуйте.
    Писал в Вам в Facebook, продублирую и здесь )

    Сам решил опробовать эту новинку в kerio, но столкнулся с проблемой:
    Клиенты к kerio прицепились – android смартфон и ipad, но дальше самого шлюза ничего не видят, хоть я и разрешил всем клиентам vpn доступ к другим vpn клиентам, шлюзам и локальной сети. (так же подключены несколько vpn клиентов и тоннелей родными клиентами, и они то друг друга видят)
    Сам kerio запущен в виртуальной машине под HyperV 2008R2.
    Гипервизор за NAT от Draytek Vigor 2950, порты 500,1701,4500 открыты для виртуальной машины с kerio. Штатные средства VPN драйтека отключены.
    Не пойму, что упустил. Подскажите, пожалуйста, если не затруднит.
    С уважением, Александр.

    • Александр, здравствуйте!

      На Facebook добавляйтесь в друзья, обычные сообщения часто не видны.

      По Вашему вопросу, если клиент подключаться по локальных сети он подключаться напрямую к Керио или через аппаратный маршрутизатор?

      • Александр 07.03.2013 at 11:40 - Reply

        Клиентов подключаю извне сквозь аппаратный маршрутизатор, на котором проброшены соответствующие порты: 4090 tcp/udp для родных клиентов, 500, 1701, 4500 для l2tp over ipsec.
        Попробовал ещё одну схему:
        В локальной сети, на выделенную машину поставил керио, в этой же локалке подключил пару машин родными клиентами, и пару l2tp. И снова – родные клиенты видят друг друга, но не видят l2tp. Сами l2tp не видят никого дальше самого маршрутизатора с керио. Из ssh консоли керио, пингуются все клиенты, родные и l2tp.
        Кстати, как то нигде не освещена возможность объединения сетей с помощью того же l2tp, особенно, интересно объединить сеть за керио, с сетью за микротиком.

        • Александр, мое мнение – используйте единые политики VPN, или старый “родной” или новый IPSec 🙂

          Что касается объединения L2TP, я могу сказать что на TMG это работает, но т.к. TMG уже нет, то Cisco наше все, и больше всего меня радует что я не сетевик поэтому парится с этим мне не придется )

  2. Максим Трофимов 12.04.2013 at 06:30 - Reply

    Добрый день. Подскажите пожалуйста. Настроил все супер работает только клиенты на Windows XP SP3 не как не могут подсоединиться. Пишет истекло время согласования режима безопастности. Код ошибки 792.

    Пожалуйста помогите очень срочно нужно.

    • Максим, я к сожалению постоянно пропускаю комменты, если что-то срочное пишите на Facebook, там очень быстро я отвечаю)

      По теме проверьте (отключите) антивирус и брандмауэр.
      У меня достаточно давно уже ХР выведена из эксплуатации, так что проверить увы негде.

  3. Здравствуйте, когда настраивал в первый раз, вроде все работало, но потом долгое время через керио впн никто не сидел. Тут решил попробовать и выдает что ошибка 789 попытка L2TP подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным ПК. Уже все что можно проверил, но не могу понять куда копать….
    хм… Странно, но через kerio vpn client подключился… А через виндовые настройки так и не хочет

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.