Windows / iOS / Androidシステムを内部ネットワークに接続するための標準のWindows 7/8ツールを使用したL2TP / IPsec VPNサーバーの実装

最近、私はL2TP / IPsecプロトコルを使用して私のオフィスへの暗号化された接続を作成する可能性の検索に困惑しました。 Windowsクライアントに加えて、ネットワーク上でより多くのiOSおよびAndroidクライアントを起動する必要がある場合、タスクはより複雑になりました。 「外部」IPアドレスを使用してWindows Serverでこれを行う方法については、インターネット上に多くの記事があります。 しかし、私は、Windows 7/8の標準的な手段で、一般的なトポロジーのローカルネットワークへの暗号化されたL2TPトンネルの実装をコミュニティに提供したいと考えています。

ネットワーク構造

Windows Server 2008 Std（まだ注意を払っていません）に基づく専用サーバーと、シンプルなルーターを使用したインターネットアクセスを備えた10台のWindows 7/8クライアントの小規模ネットワーク。 VPNサーバーの場合、Windows 7 Proのマシンの1つを強調表示しました。 Windows 7 ProでL2TP / IPsecサーバーを作成する2つの方法を以下に説明します。

証明書を使用するWindows 7 L2TP / IPsec AES 128ビット

• まず、VPNサーバーでコンピューターとユーザー証明書を生成する必要があります。
  
  これを行うには、無料のSimple Authorityユーティリティを使用します。
  
  インストール、実行。 プログラムはすぐにコンピューター証明書の生成を提案します。 フィールドに入力します。 キーボードをランダムにクリックして、乱数を生成します。 パスワードを入力します（できれば8文字より長い、そうでない場合はグリッチが発生する可能性があります）コンピューター証明書（CA）の準備ができました。 ユーザーが追加されていない場合は、追加します。 右側で、必須フィールドに入力します。 「新しい証明書」をクリックします。 その後、* .cerおよび* .p12拡張子を持つ2つの証明書ファイルがデスクトップに表示されます
• VPNサーバーに証明書をインストールします。
  
  これを行うには、Win + R（「実行」）を実行し、mmcと入力してEnterキーを押します。 コンソールが開きます。
  
  スナップインを追加します（[ファイル]-> [スナップインの削除]を追加）。 「証明書」を選択します。 「追加」をクリックします。 このスナップインが証明書を管理する場所を尋ねられたら、「コンピューターアカウント」項目を選択します。 次に、「個人」->右クリック->すべてのタスク->インポート->拡張子が* .p12の証明書ファイルを選択します（これで完了です）。 パスワードを入力し、「このキーをエクスポート可能としてマークする」ボックスをチェックします。 2つの証明書が[個人]カテゴリに表示されます。 「発行者」フィールドと「発行者」フィールドが同一の証明書は、カテゴリ「信頼されたルート認証局」に転送する必要があります。
• ProhibitIpSec = 1パラメーターが欠落していることを確認する必要があります 。
  
  レジストリに移動します（Win + R-> regedit）。 HKLM \ System \ CurrentControlSet \ Services \ Rasman \ Parametersブランチを探しています。 上記のパラメーターが存在しないか、0である場合、すべて正常です。 それ以外の場合は修正します。
• 着信接続を作成します 。
  
  [ネットワークと共有センター]-> [アダプター設定の変更]に移動します。 Altキーを押すと、メニューがドロップアウトします。 次のファイル->「新しい着信接続」。 必要なユーザーを選択して、「Through the Internet ... VPN」を入力します。 必要なプロトコルを選択します。 TCP / IP v4->では、「ローカルネットワークへのアクセスを許可する」を入力し、クライアントに発行されたアドレスのプールを必ず設定します。 接続を作成したら、必ずそのプロパティを開き、[ユーザー]タブで[ユーザーはパスワードを秘密にする必要がある]チェックボックスが存在することを確認します
• 必要なポートが開いているかどうかを確認してください 。 コマンドラインを開き、 netstat / a / p udpコマンドを使用して、UDP 1701 UDP 4500 UDP 500が開いているかどうかを確認します。

このメソッドのクライアント接続を作成する

• VPNクライアントに証明書をインストールします。 前に作成した証明書をVPNサーバーからコピーします。 サーバーとまったく同じ方法でインストールします。
• VPN接続を作成します。 「ネットワークと共有センター」に移動->新しい接続またはネットワークを構成します。 次に、「職場への接続」->インターネット接続を使用します。 VPNサーバーのアドレスを入力します。 接続の準備ができました。
• VPN接続をセットアップします。 ユーザー名とパスワードは、質問を引き起こさないと思います。 [セキュリティ]タブで、L2TP / IPsec VPNタイプを選択し、追加のパラメーターで[証明書を使用する]を選択し、[証明書名の属性を確認する]をオフにします。 暗号化が必要で、「次のプロトコルを許可する」認証を設定します：MS-CHAPv2。 次に、[ネットワーク]タブ-> [TCP / IPv4プロパティ]-> [詳細]-> [デフォルトゲートウェイを使用する]のチェックを外します。
• 接続が上がらない場合。 次に、Windows 8では、このようなレジストリキーHKLM \ SYSTEM \ CurrentControlSet \ Services \ IPsecを試す価値があります。AssumeUDPEncapsulationContextOnSendRuleという名前で値2のDWORDパラメーターを作成します。Windows7 / Vistaの場合、このパラメーターはHKLM \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent

この方法の結果

Windowsクライアントの場合、これはL2TP / IPsecを実装する良い方法ですが、iOSクライアントの場合はタスクが拡大します。 問題は、iOSは事前に準備されたキーワード（事前共有キー）を使用した暗号化を使用したL2TP経由でのみ接続でき、証明書ではCisco VPNにのみ接続できることです。 2番目の方法は、この問題を解決する方法を示します。

ESP 3DES暗号化および整合性制御を備えたWindows 7 L2TP / IPsec事前共有キー

• 奇跡のパラメーターProhibitIpSec = 1に戻りましょう 。 レジストリ、HKLM \ System \ CurrentControlSet \ Services \ Rasman \ Parametersブランチに移動し、ProhibitIpSecという名前のDWORDパラメーターを作成して値1を割り当てます。その後、OSを再起動するか、RemoteAccessおよびRasManサービスを再起動する必要があります。 このアクションでは、IPsecのローカルのデフォルトIPセキュリティポリシーを無効にします。
• 次に、新しいIPセキュリティポリシーを作成します 。 [実行]-> mmc->スナップインの追加-> [IPセキュリティポリシーの管理]をクリックし、[ローカルコンピューター]を選択します。 次に、「IPセキュリティポリシーを作成します。」 「次へ」->名前を入力->「デフォルトのルールを使用」チェックボックス、設定しない->次->「プロパティの変更」、チェックボックスをそのままにします。 新しいポリシーのプロパティが開きます。 ここで、「ウィザードを使用」および「追加」チェックボックスを削除します。 次に、各タブについて順番に：
  
  
  • IPフィルターのリスト。 名前を入力し、「使用する」のチェックを外します。 マスター」、「追加」。 送信元アドレス：任意。 宛先アドレス：「任意」。 [プロトコル]タブ。 ドロップダウンリストで、[UDP]を選択します。 このポートからのパケット：1701。任意のポートへのパケット。 OK、OK、IPフィルターのリストに戻ります。 ここでは、新しく作成したフィルターに「ドット」を付けて、次のタブに進みます。
  • フィルターアクション。 類推によって。 マスターについての名前、「追加」。 「Coordinate Security」、「Add」を選択します。 「暗号化と整合性」を選択します。 （ESP）。」 わかった セキュリティメソッドのリストの下にドウがないことを確認します。 わかった 同様に、ドットでマークし、次のタブに移動します。
  • 接続のタイプ。 すべてのネットワーク接続。
  • トンネルのパラメーター。 このルールは、IPsecトンネルを指定しません。
  • 認証方法 Kerberosにはまだ注意を払っていません。[追加]をクリックしてください。 [Use this line（Pre-shared key）]を選択し、事前に作成したキーを入力します。 わかった これで、Kerberosを削除できます。 同じタブで、証明書認証を追加できます。 証明書の生成とインストールのプロセスは、最初の方法で説明されています。
• 必ず新しいIPセキュリティポリシーを割り当ててください 。 それを右クリックして、「割り当て」。

このメソッドのクライアント接続を作成する

• これは、証明書を使用する代わりに「...共有キーを使用する」を選択する追加のL2TP / IPsecプロパティでのみ、最初の方法でクライアント接続を作成することとは異なります。

VPNサーバーへのアクセス

ルーターでは、動的DNSサービスを使用しました。なぜなら、 外部IPダイナミック。 接続できるようにするには、ポートUDP 1701 UDP 4500 UDP 500をVPNサーバーに転送するポートを作成する必要があります。 もう一つの大きな問題が待っているフィニッシュステージにたどり着きました。 実際、Windows 7/8では、リモートアクセスの最大接続数に制限があり、1です。WindowsServerにはそのような制限はありません。 ここでフレーズは「地獄はこれをすべて書いたのですか？！」と言います。2つの解決策があります。 最初：一人の良い人が多くの仕事をし、Windows 7 Pro SP1の制限を取り除くパッチを書きました。 ここでは、解決策を見つけるプロセスを詳細に説明し、パッチがあります。 2番目：Windows Serverを使用します。 しかし、「ルーティングとリモートアクセス」のサーバーロールを割り当て、悪魔が足を折る特別なスナップインを使用することについて述べているが、上記の方法を使用する、ほとんどの記事に書かれているように使用されません。 特別な役割を割り当てたり、接続数を制限したりすることなく、Windows Serverでうまく機能します。

リサイクル素材：

• L2TP IPSec VPNサーバーとしてのWindows XP Pro
• Windows 7上のL2TP VPNサーバー
• 事前キー認証を使用したL2TP / IPSec接続の構成
• リモートアクセスサーバーまたはVPNサーバーの役割：リモートアクセスサーバーまたはVPNサーバーを構成する