Подключение к VPN-серверу L2TP/IPSec из Windows

NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный "белый" IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.

Встроенный VPN-сервер L2TP/IPSec можно настроить по инструкции "VPN-сервер L2TP/IPsec".

Рассмотрим пример создания VPN-подключения L2TP/IPSec на компьютере с ОС Windows 10.

Нажмите правой кнопкой мыши на значок "Пуск", выберите раздел "Сетевые подключения" и на появившемся экране VPN.

Выберите пункт "Добавить VPN-подключение".

s1.png

В настройках подключения в качестве поставщика услуг VPN выберите "Windows (встроенные)". Задайте имя подключения, например "Домашняя сеть". Введите доменное имя или IP-адрес Keenetic, в нашем примере myhomerouter.keenetic.link. Выберите тип VPN - "L2TP/IPSec с предварительным ключом". Введите общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic, потом имя пользователя (которому разрешено подключение по VPN) и его пароль. Нажмите кнопку "Сохранить".

s34.png

TIP: Справка: В последних версиях Windows 10 были незначительно изменены названия некоторых параметров. Теперь в поле "Тип VPN" нужно выбрать значение "L2TP/IPSec с общим ключом":

s34-new.png  

Для установления соединения нажмите кнопку "Подключиться".

s5.png

Соединение установлено.

s6.png

NOTE: Важно! В операционной системе Windows существует проблема, когда невозможно установить одновременно более одного соединения к внешнему VPN-серверу L2TP/IPSec с компьютеров под управлением Windows, использующих один выход в Интернет (один внешний IP-адрес). Подробную информацию вы найдете в инструкции "Установка нескольких одновременных L2TP/IPSec-подключений".

TIP: Совет: Если подключение с сервером не устанавливается и завершается ошибкой, попробуйте в свойствах соединения разрешить подключение только с протоколом MS-CHAP v2:

ms-chap-v2-w10.png

Примечание

Возможность подключиться из Интернет к имеющему частный "серый" IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с "белым" IP настроен проброс портов на "серый" адрес Keenetic'а. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант - проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.

Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера "белый" адрес и выдавать Keenetic'у "серый". Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.

Другой пример такого маршрутизатора это оптический GPON-роутер или терминал от Ростелеком или МГТС, установленный на входе в квартиру. В таких устройствах проброс настраивается в их веб-интерфейсе.

Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним "белым" IP-адресом такого маршрутизатора. Он пробросит его на "серый" адрес Keenetic'а.

Правда в случае L2TP/IPSec есть исключение и из этого правила. Такое подключение легко установится со смартфона или планшета, но не установится с Windows-клиента. 

Это известное ограничение Windows. В журнале Keenetic в таком случае попытка соединения заканчивается ошибками:

ipsec11[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec16[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec15[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec15[JOB] deleting half open IKE_SA with 193.0.174.212 after timeout 

Да, L2TP/IPSec из Windows можно установить только если сам Keenetic имеет "белый" адрес. Проброс не поможет. Существуют однако другие, не столь привередливые виды VPN: PPTP, SSTP или OpenVPN. Их можно использовать для подключения Windows к серверу за NAT-ом после проброса. Для PPTP нужно пробросить TCP порт 1723 и GRE-протокол, для SSTP - TCP 443, а для OpenVPN UDP порт 1194 по умолчанию. Впрочем в последнем случае как протокол так и порт могут быть изменены по вашему желанию в конфигурации OpenVPN.

 

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 23 из 30

Еще есть вопросы? Отправить запрос