Настройка sstp на mac os
VPN-соединение позволяет вам безопасно подключаться к другой частной сети через Интернет. Ваш Mac имеет встроенную поддержку для управления подключениями VPN, и в этом руководстве мы рассмотрим, как настроить, управлять и подключаться с помощью VPN. В завершение рассмотрим, как настроить ваш собственный VPN-сервер.
Что такое VPN?
VPN - это виртуальная частная сеть. Если у вас есть файлы на сервере в работе, этот сервер вряд ли будет общедоступным (доступен через Интернет) и, несомненно, будет за брандмауэром. Управление VPN намного безопаснее, чем открытие портов на брандмауэре, что рискованно. Поскольку все больше работников путешествуют и/или работают из дома, компаниям требуется способ предоставить сотрудникам доступ к ресурсам, в которых они нуждаются, при сохранении высокого уровня безопасности.
Введите VPN, способ безопасного подключения к частной сети через Интернет. С VPN-подключением вы словно находитесь в офисе. Представьте, что вы дома и понимаете, что вам нужно что-то от сервера или внутреннего веб-сайта в офисе. VPN-соединение - это вроде очень длинного Ethernet-кабеля, подключенного через ваш Mac к вашей сети.
Использование VPN
Удалённое подключение к сети на работе
Как было отмечено, на работе вы сможете получить доступ к любым существующим файловым серверам. Когда вы находитесь в дороге или дома, то не сможете. Используя VPN-подключение, вы находитесь в одной сети. Когда он подключится, вы сможете получить доступ к любому файловому серверу, используя свой обычный IP-адрес.
С помощью VPN-подключения вы можете установить безопасное соединение с частной (и недоступной) сетью
Шифрование вашего веб-браузера
Поскольку VPN-соединение защищено, любые данные, проходящие через него, зашифрованы. Когда вы находитесь в кафе и просматриваете веб-страницы, ваш трафик может контролироваться. В большинстве программ VPN (таких как OS X) есть опция, чтобы весь ваш интернет-трафик, а не только при доступе к VPN-назначению, передавался через VPN-соединение, таким образом шифруя все ваши веб-браузеры и повышая безопасность всего, что вы делаете онлайн.
Находясь где-то ещё в мире
Поскольку ваш интернет-трафик идёт по VPN-подключению, на большинстве веб-сайтов будет выглядеть так, как будто вы обращаетесь к нему из того места, где находится VPN-сервер. Запутались? Давайте разъясним!
С помощью VPN-подключения вы можете подключиться к сети VPN-сервера и просматривать веб-страницы так, как будто вы находитесь в другой стране
Причина в том, что когда вы подключены через VPN, вы эффективно работаете в этой сети. У вас будет локальный IP-адрес в той сети, который назначен вашему VPN-соединению, и ваш интернет-трафик эффективно ведётся с того места, где находится VPN-сервер. В результате для большинства сайтов ваше местоположение на самом деле там, где находится VPN-сервер. Я объясню это на примере.
Тест скорости показывает ближайший сервер тестирования, а также информацию провайдера
Теперь, когда я подключаюсь через VPN к американскому серверу, убедившись, что весь интернет-трафик отправлен через VPN запускаю тест еще раз, сайт предполагает, что мой ближайший сервер находится в Майами! Это связано с тем, что VPN-сервер основывается на скорости теста.
При использовании VPN-соединения тест скорости считает, что я нахожусь недалеко от Майами
В зависимости от сервера VPN и вашего соединения, вы заметите, что скорость резко падает.
Совет: в странах с ограничениями, таких как Китай, где многие сайты, которые нам привычны (Twitter и Facebook), заблокированы, некоторые пользователи «обходят» это ограничение, используя такие службы, как VPN.
Настройка VPN-подключения
Перед установкой VPN-подключения вам нужно сделать несколько вещей:
Адрес VPN-сервера
Имя пользователя и пароль
Все VPN-подключения имеют имя пользователя и пароль. Они обычно настраиваются вашим IT-администратором.
Тип соединения
Существует два типа VPN-подключений, L2TP и PPTP. Оба обеспечивают безопасное соединение, хотя L2TP обычно считается лучшим. Это связано с тем, что в дополнение к имени пользователя и паролю соединения L2TP могут затребовать shared secret. Это похоже на секретную кодовую фразу, которую любые пользователи VPN должны будут добавить к своему соединению.
Как подключить Mac через VPN
Чтобы настроить VPN-соединение на вашем Mac, понадобятся следующие данные.
- IP-адрес сервера или полное доменное имя
- Имя пользователя и пароль
- Тип соединения (L2TP или PPTP)
Для целей этого урока я буду использовать фиктивную информацию. Хотя существуют «бесплатные» VPN-сервисы, которые мы могли бы использовать, я очень серьезно отношусь к безопасности вашего Mac (и моего)! Если вы хотите больше узнать о платных VPN-сервисах, я расскажу об этом позже.
Все настройки VPN могут быть введены в System Preferences, в разделе Network.
Step 1: Откройте System Preferences и выберите Network
Step 1: Откройте System Preferences и выберите Network
Настройки сети
Шаг 2: Нажмите +, а затем выберите VPN в interface option. Укажите либо PPTP, либо L2TP.
Шаг 2: Нажмите +, а затем выберите VPN в опциях интерфейса. Укажите либо PPTP, либо L2TP
Шаг 3: Выберите Configuration и затем Add Configuration. Назовите его “Server 1”.
Шаг 3: Выберите Configuration и затем Add Configuration. Назовите его "Server 1”
Совет: в приведённых выше шагах я попросил вас добавить конфигурацию с именем “Server 1”. Этот шаг на самом деле является необязательным, и вы можете оставить его с настройками по умолчанию. Причина добавления конфигурации в том, что некоторые пользователи имеют несколько настроек VPN. OS X может управлять несколькими настройками VPN, используя опцию конфигурации. Например, у вас может быть один профиль VPN (другое имя для ваших настроек VPN) для офиса в США и другой в Австралии.
Шаг 4: Введите IP-адрес (или FQDN) VPN-сервера и имя пользователя.
Шаг 4: Введите IP-адрес (или FQDN) VPN-сервера и имя пользователя.
Шаг 5: Выберите Authentication Settings… и затем введите пароль. Примечание: Если вы выбрали L2TP в качестве типа VPN, на этой панели вы должны ввести shared secret.
Шаг 5: Выберите Authentication Settings и введите пароль.
Примечание: Если вы выбрали L2TP в качестве типа VPN, на этой панели вы должны ввести shared secret.
Шаг 6: Убедитесь, что в строке меню выбран Show VPN status in menu bar и нажмите Apply.
Вот и всё, вы готовы! В строке меню вы увидите новый значок, похожий на бирку багажа. Щёлкните по нему, а затем выберите Connect VPN. Как только он подключится, вы увидите запуск таймера.
Когда соединение VPN установлено, появится таймер в строке меню
После установки VPN-соединения вернёмся к System Preferences, и вы увидите некоторую информацию о подключении, включая IP-адрес вашего VPN.
Системные настройки отображают информацию о соединении, такую как IP-адрес и время,
Отправка всего трафика через VPN
По умолчанию ваш Mac будет передавать только необходимый трафик через VPN, например, доступ к файловому серверу или другим машинам или сайтам, которые находятся в той же сети, что и VPN-сервер. Это связано с тем, что большинство VPN-подключений могут быть довольно медленными, поэтому ваш Mac не хочет замедлять работу интернет-ресурса без необходимости. Тем не менее, мы можем это переопределить.
Вернитесь в System Preferences и выберите Advanced….
Вернитесь в System Preferences и выберите Advanced.
Прямо сейчас мы видим возможность Send all traffic over VPN connection. Обрезка этого и сохранение изменений будет означать, что ваш Mac будет передавать весь сетевой трафик через VPN. Как правило, не рекомендуется, так как ваше подключение к Интернету будет очень медленным и вы обнаружите, что доступ к серверам и принтерам в сети, в которой вы физически находитесь, остановлен.
Для всех данных, которые должны передаваться по VPN после того, как опция включена, нам необходимо установить service order. Это порядок, в котором ваш Mac передаёт данные по сети. Мы должны поставить VPN в качестве первой службы в списке. Для этого выберите раскрывающееся меню cog и выберите Set Service Order . Здесь вы можете перетащить сервисы в нужном порядке, удостоверившись, что VPN находится наверху.
Установите VPN на самое верхнее место в списке сервисов
Однако это необходимо, если вам нужно получить доступ к сайту, который доступен только в стране, где находится ваш VPN-сервер. Возвращаясь к предыдущему примеру, если вы были в Великобритании, и вам нужно было получить доступ к сайту только в США, включение этой опции позволит вам получить к нему доступ.
Получение учетной записи VPN
У многих пользователей, вероятно, будет профиль VPN из отдела IT работодателя. Если вам нужен VPN для личного использования, есть много сервисов, которые предлагают аккаунт VPN за небольшую помесячную плату.
Одна из таких компаний - Strong VPN, предлагает VPN-аккаунты от $7 до $30 в месяц, в зависимости от необходимых функций. Они предлагают VPN-аккаунты во многих странах и их тарифные планы варьируются в зависимости от требуемого сервиса и периода, который вы оплачиваете (дешевле платить ежегодно, чем помесячно).
Совет: Будьте внимательны при выборе VPN провайдера. Пока трафик зашифрован, убедитесь, что вы идёте в компанию с хорошей репутацией, а не в ту, которая выглядит слишком хорошо, чтобы быть правдой!
Включите собственный VPN-сервер
Вы можете использовать OS X Server, но если у вас есть запасной Mac, способный запускать Leopard или выше, можно добавить функциональность VPN-сервера к стандартной версии OS X, используя небольшое приложение под названием iVPN (пробная версия доступна, £14.99).
IVPN имеет чрезвычайно простую настройку, в которой вы можете управлять учётными записями.
Перед использованием iVPN убедитесь, что ваш Mac настроен со стационарным IP-адресом и убедитесь, что вы настроили пересылку портов. Порты, которые вам нужно переслать на Mac, это:
Теперь вы можете подключаться к своей домашней сети через VPN, где бы вы ни находились. Ваш интернет-доступ будет безопасным и если у вас есть Time Capsule или сетевое хранилище, вы также можете получить к ним доступ!
Подведение итогов
В этом руководстве по использованию VPN мы узнали, как установить соединение и даже как настроить новый сервер. Вы используете VPN-подключение для работы или дома? Используете ли вы платного провайдера VPN? Дайте нам знать об этом в комментариях!
У вас есть много причин для использования виртуальной частной сети (VPN) на вашем Mac. Они включают в себя безопасный просмотр по общедоступной сети Wi-Fi, скрытие вашего местоположения, доступ к контенту с блокировкой по регионам и сохранение привычек обмена файлами при себе.
Настроить VPN на вашем Mac очень просто. MacOS имеет встроенную поддержку, а некоторые службы VPN предоставляют собственное программное обеспечение без проблем. Вы также можете установить сторонние инструменты для использования различных протоколов.
Способ 1. Используйте программное обеспечение вашего провайдера VPN
В зависимости от вашего провайдера VPN (ознакомьтесь с нашими лучшими услугами VPN
), они могут предоставлять доступ к программному обеспечению, которое позволяет вам использовать службу. Это программное обеспечение специально для вашего поставщика. Таким образом, вам не нужно возиться с настройкой соединений, вводом IP-адресов или проверкой протоколов, которые вы можете использовать.
Большинство провайдеров VPN предоставляют это программное обеспечение для пользователей Mac и Windows. Пользователям Linux, скорее всего, придется настраивать VPN самостоятельно
Программное обеспечение провайдера позволяет легко перемещаться с сервера на сервер, поскольку программное обеспечение хранит список доступных соединений. Если вы используете VPN для доступа к контенту с региональной блокировкой, это позволяет легко выбрать сервер для подключения. Некоторые провайдеры имеют определенные серверы, которые совместимы с трафиком BitTorrent. Программное обеспечение позволяет легко убедиться, что вы не нарушаете правила.
Способ 2. Использование сетевых инструментов Apple
macOS имеет встроенную поддержку для создания VPN-подключений как часть собственных сетевых инструментов Apple. Вы можете получить к ним доступ, перейдя в Системные настройки> Сеть, затем нажмите на плюс кнопка.
Отсюда вы можете указать VPN выберите тип VPN (протокол) и присвойте имя вашему новому VPN-соединению. Это полезно для описания имени вашего соединения, если вы собираетесь использовать более одного VPN-сервера. Например, вы можете планировать доступ к контенту с блокировкой по регионам в других странах.
macOS включает поддержку L2TP (протокол туннелирования уровня 2) через IPSec, Cisco IPSec и более новый протокол IKEv2 (Internet Key Exchange версия 2) при настройке VPN. L2TP считается достаточно безопасным, хотя сам протокол не обеспечивает никакой защиты. Вместо этого он использует защищенный сетевой протокол IPSec, на который по-прежнему полагаются миллионы пользователей VPN каждый день.
Настольная ОС Apple, используемая для поддержки PPTP (протокол туннелирования точка-точка). Это гораздо более старый и более уязвимый протокол, который когда-то был любим корпоративными сетями, но с тех пор отошел на второй план. Если вы хотите создать PPTP-соединение, вам нужно использовать стороннее приложение (например, Shimo) для этого. Но вы должны избегать этого, если в этом нет необходимости.
Так какой протокол вы должны использовать? Это зависит от того, какие протоколы ваш VPN
Способ 3: использовать стороннее программное обеспечение VPN
Существуют два других протокола VPN, которые не поддерживаются в MacOS: SSTP (протокол туннелирования защищенных сокетов) и OpenVPN.
SSTP является проприетарным стандартом, который в основном работает только с Windows, поскольку принадлежит Microsoft. SSTP использует шифрование SSL 3.0 с закрытым исходным кодом, поэтому он считается очень безопасным (даже если код не открыт для проверки).
Оба эти стандарта более безопасны, чем любые, включенные в macOS. Возможно использование программного обеспечения VPN-провайдера, поэтому вы уже можете использовать OpenVPN или SSTP и даже не догадываться. Но если вам нужен больший контроль над настройкой VPN, попробуйте одно из следующих приложений.
Мы порекомендовали другие бесплатные и открытые клиенты MacOS VPN
если вам нужно больше вариантов.
OpenVPN: Tunnelblick
SSTP: sstp-клиент
Какое VPN-решение следует использовать?
Ваш провайдер VPN, скорее всего, порекомендует вам использовать их собственный клиент, который упрощает подключение и управление вашими VPN-соединениями. Если вы хотите использовать свой собственный клиент, вам необходимо убедиться, что ваше подключение совместимо с выбранным вами протоколом VPN.
Когда предоставляется выбор, OpenVPN обеспечивает лучшую безопасность, чем L2TP или IKEv2. Вы должны всегда стараться обновлять свой VPN-клиент, так как проблемы безопасности могут возникать (и часто быстро получать исправления).
, Это позволяет вам управлять вашим соединением для всей сети, идеально, если вы подключаетесь к локальной сети VPN исключительно в целях безопасности.
Прошло уже более года, после того как мы начали работу с VPN соединениями на базе протокола L2TP/IPsec и авторизацией через RADIUS . Накопился некоторый опыт использования описанной конфигурации, были выявлены её плюсы и минусы, сделаны определённые выводы. Опираясь на эти выводы, в данной заметке мы продолжим развитие темы настройки безопасных VPN соединений и рассмотрим шаги, необходимые для организации возможности работы по протоколу SSTP (Secure Socket Tunneling Protocol).
Опыт использования L2TP/IPsec VPN показал, что при наличии внятной пошаговой инструкции по подключению, большинство пользователей способны без особых проблем настроить такое VPN-подключение самостоятельно. Но всё-таки всегда остаются индивидуумы, которые умудряются наделать ошибок даже в таких условиях, и поэтому мысль о необходимости упрощения процесса создания VPN-подключения всегда мелькала где-то на заднем фоне. К тому же в ряде ситуаций мы столкнулись с проблемой блокировки некоторых портов, необходимых для L2TP/IPsec VPN, обнаруженной на уровне интернет-провайдеров. Причём иногда дело доходило до абсурда, когда у одного и того-же интернет-провайдера трафик L2TP/IPsec в одном конце города транслировался беспрепятственно, а в другом конце города блокировался. Мы уже даже мысленно поделили для себя зоны разных интернет-провайдеров на сегменты, где L2TP/IPsec VPN будет работать без нареканий, и на зоны, где точно будут проблемы и нам потребуется подумать об альтернативных вариантах доступа к ресурсам локальной корпоративной сети. Помимо этого, были и случаи, когда командированные пользователи и "отпускники", удалённо пытающиеся подключиться через "гостиничный интернет", испытывали проблемы в силу всё тех же проблем с блокировкой нужных портов. Разумеется перед внедрением L2TP/IPsec VPN мы понимали все эти риски и в подавляющем большинстве проблемных ситуаций находилось какое-то обходное решение, но "осадочек" от каждой такой ситуации оставался неприятный.
Я начал вспоминать, почему же ранее мой выбор пал именно на L2TP/IPsec. Определяющих факторов было два – приемлемый уровень безопасности и поддержка более широкого круга клиентских ОС. Помню, что в то время меня заинтересовал протокол SSTP, но было пару факторов, которые заставили меня отстраниться от данной технологии. Во первых, на то время у нас было ещё достаточное количество клиентов на базе Microsoft Windows XP, а в этой ОС протокол SSTP, как известно, не поддерживается. Во вторых, у меня не было возможности использовать публичный сертификат с корпоративными доменными именами для защиты SSTP соединений, а заменять его на сертификат внутреннего выделенного ЦС не было желания, так как это влекло за собой проблемы связанные с распространением его корневого сертификата на интернет-клиентов и публикации списка отзыва сертификатов (Certificate Revocation List – CRL) в Интернет.
Но прошло время, клиентов с Windows XP стало на порядок меньше (усиление корпоративной политики ИБ и агрессивные рекламные компании Microsoft по обновлению ОС сделали своё дело), а у меня появилась возможность работы с публичным сертификатом. К тому же на глаза мне попалась информация о том, что на таких OC, как Linux и Apple Mac OS X, клиентское ПО для поддержки SSTP подключений уже давно вполне успешно эксплуатируется, несмотря на то, что в своё время этому протоколу пророчили "Win-изоляцию" в силу его проприетарности.
Основные требования к клиентам и их настройка
Если речь вести о клиентских системах на базе ОС Microsoft Windows, то нужно учесть, что SSTP работает на системах начиная с Windows Vista SP1 и более поздних. Для клиентских систем ниже Windows Vista SP1, в том числе и для ещё "живых мамонтов" в виде Windows XP, как и ранее, предполагается использование протокола L2TP/IPsec со всеми вытекающими обстоятельствами, о которых я говорил выше. От использования протокола PPTP, как уже давно скомпрометированного, предлагается отказаться вовсе. Ссылки на обновлённые инструкции по настройке SSTP соединения на клиентских ОС Windows можно найти в конце этой статьи.
Для клиентских систем на базе ОС Linux вполне жизнеспособным себя показывает проект с открытым исходным кодом SSTP-Client. Мной уже подготовлены пошаговые инструкции для не особо искушённых пользователей Linux-систем на примере настройки в Ubuntu Linux 14.04 и 15.04/15.10 .
По поводу клиентских систем на базе ОС Apple Mac OS внятного пока ничего сказать не могу, так как под руками их у меня попросту нет. По имеющейся поверхностной информации можно использовать SSTP-Client (в качестве консольного варианта), а можно использовать созданный на его основе пакет iSSTP с управлением через графический интерфейс. Надеюсь, что в ближайшее время Виталий Якоб нас порадует соответствующей инструкцией пользователя.
Общее для все клиентов требование - клиент SSTP VPN должен иметь возможность проверять списки отзыва сертификатов (CRL) для подтверждения того, что сертификат предоставляемый VPN-сервером не был отозван. Такого рода проверка может быть отключена на стороне клиента, но это не самое лучшее решение с точки зрения безопасности, и его имеет смысл использовать лишь в крайних случаях.
Основные требования к VPN-серверу и его настройка
Серверную часть VPN-соединения в нашем случае будет представлять собой расширение к созданной ранее конфигурации VPN-сервера на базе Windows Server 2012 R2 с ролью Remote Access.
Из основных требований к VPN-серверу, как уже наверно понятно из всего вышесказанного, является наличие на нём установленного сертификата. Получить такой сертификат можно из публичных ЦС и, как правило, такие сертификаты стоят немалых денег. Но есть и бесплатные варианты, например WoSign Free SSL Certificates . Сам я пока опыта общения с таким ЦС не имел, и поэтому будет интересно выслушать Ваши комментарии по этому поводу.
Требования к сертификату VPN-сервера
Важным для SSTP является то, что при генерации запроса на получение сертификата от стороннего публичного ЦС нужно помнить про то, что в запрашиваемом сертификате должна присутствовать политика применения (Extended Key Usage, EKU) - Server Authentication (1.3.6.1.5.5.7.3.1). Само собой для такого сертификата должен быть разрешён экспорт закрытого ключа, так как возможно нам потребуется установка сертификата на несколько VPN-серверов в случае, если, например, используется кластерная конфигурация.
Обязательным требованием к получаемому сертификату является также то, что список отзыва сертификатов (CRL) указанный в сертификате обязательно должен быть доступен в Интернете, так как в самом начале создания SSTP соединения клиентский компьютер будет пытаться проверить не является ли предоставленный VPN-сервером сертификат отозванным. Не будет доступного CRL – не будет SSTP соединения.
Полученный сертификат устанавливается на VPN-сервере в хранилище сертификатов Local Computer\Personal и должен иметь привязку к закрытому ключу этого сертификата.
Также разумеется, что ЦС выдавшему сертификат должны доверять не только наши VPN-серверы, но и все наши внешние Интернет-клиенты, которые будут подключаться к этим серверам по протоколу SSTP. То есть корневой сертификат (их может быть и несколько) должен присутствовать на всех компьютерах в хранилище сертификатов Local Computer\Trusted Root Certification Authorities. Информацию об этих требованиях можно найти в статье TechNet Library - Configure RRAS with a Computer Authentication Certificate . В большинстве современных клиентских ОС коллекция публичных корневых сертификатов обновляется автоматически при наличии постоянного подключения к Интернет.
Настройка роли Remote Access
После того, как на VPN-сервере установлен сертификат, откроем оснастку Routing and Remote Access и в свойствах сервера VPN на вкладке Security выберем этот сертификат для SSTP в разделе SSL Certificate Binding
Изменение этой опции выведет предложение об автоматическом перезапуске служб RRAS. Соглашаемся с перезапуском служб.
Далее в разделе Ports добавим порты SSTP. В нашем примере под SSTP соединения отдаётся большая часть портов и небольшая часть портов выделяется для клиентов без поддержки SSTP, например Windows XP. Возможность же подключения по протоколу PPTP отключаем совсем.
Информацию о том, как правильно отключить возможность подключения по протоколу PPTP, можно найти в статье Routing How To. Add PPTP or L2TP ports . Пример на скриншоте:
После сделанных изменений проверим TCP прослушиватели (TCP Listener) работающие на нашем VPN-сервере. Среди них должен появиться прослушиватель для 443 порта, на который VPN-сервером будут приниматься клиентские подключения по протоколу SSTP:
Не забываем настроить брандмауэр, включив уже имеющееся после установки и настройки роли Remote Access правило Secure Socket Tunneling Protocol (SSTP-In)
Поимо этого можно отключить разрешающее правило для входящих PPTP-подключений на порт TCP 1723 (в конфигурации по умолчанию это правило называется "Routing and Remote Access (PPTP-In)")
Так как наш VPN-сервер является членом NLB-кластера, нам потребуется дополнительно создать правило разрешающее балансировку порта TCP 443.
Сделанных настроек вполне достаточно для того чтоб наш VPN-сервер смог успешно принимать SSTP подключения.
Проверяем подключение VPN-клиента
На клиентской машине имеющей прямой доступ в интернет по 443 порту настраиваем проверочное VPN-соединение и выполняем подключение…
На стороне сервера при этом убеждаемся в том, что клиент использует один из свободных созданных нами ранее SSTP портов…
Инструкции для пользователей
Как уже отмечалось ранее, для пользователей выполняющих подключение к корпоративным VPN-серверам из Интернет необходимо разработать чёткие пошаговые инструкции. Мне удалось протестировать (и параллельно разработать пошаговые инструкции для пользователей) VPN-подключения в составе следующих операционных систем:
- Windows XP 32-bit RU SP3
(Инструкция переписана с учётом использования L2TP/IPsec, но при отсутствии работающего PPTP. Запрос и установка сертификата делаются в два этапа разными скриптами) - Windows VistaBusiness 32-bit RU SP2 (SSTP)
- Windows 7Pro 32-bit RU SP1 (SSTP)
- Windows 8.1 Pro 64-bit RU (SSTP)
- Ubuntu Desktop Linux14.04 64-bit (SSTP)
- Ubuntu Desktop Linux15.04 64-bit (SSTP)
- Ubuntu Desktop Linux14.10 64-bit (SSTP)
Инструкции в формате DOCX (а также нужными исполняемыми файлами), которые, при желании, вы можете адаптировать под своё окружение можно скачать по ссылке . Часть инструкций доступна для онлайн просмотра и обсуждения на нашем Вики .
Чтобы подключиться к сети VPN, необходимо ввести настройки конфигурации на панели «Сеть». Эти настройки включают адрес сервера VPN, имя учетной записи и другие параметры идентификации, такие как пароль или сертификат. Обратитесь к сетевому администратору организации или поставщику услуг VPN за информацией о настройках, которые Вам необходимо ввести для подключения к VPN.
Если Вы получили файл настроек VPN от администратора сети или поставщика услуг VPN, можно импортировать его для настройки подключения. Если нет, то настройки можно ввести вручную.
Импорт файла настроек VPN
На Mac выполните одно из следующих действий.
Дважды нажмите на файл, чтобы открыть настройки сети и автоматически импортировать настройки.
Выберите меню Apple
> «Системные настройки», нажмите «Сеть» , нажмите всплывающее меню «Действия» , затем выберите «Импортировать конфигурации». Выберите файл, затем нажмите «Импортировать».
Введите настройки VPN автоматически
На Mac выберите меню Apple
> «Системные настройки», затем нажмите «Сеть» .
Нажмите всплывающее меню «Тип VPN», затем выберите тип VPN-подключения, который Вы хотите настроить, в зависимости от сети, к которой Вы подключаете компьютер. Присвойте имя службе VPN, затем нажмите «Создать».
Протокол L2TP — это расширенная версия протокола PPTP, который используется интернет-провайдерами для поддержки VPN через интернет.
Протокол IPSec (Internet Protocol Security) является набором протоколов безопасности.
IKEv2 — это протокол, который настраивает сопоставление безопасности в IPSec.
Введите адрес сервера и имя учетной записи для VPN-подключения.
Нажмите «Настройки аутентификации», затем введите информацию, полученную от администратора сети.
Если Вы получили соответствующие указания от администратора сети, нажмите «Дополнительно» и введите дополнительную информацию, такую как параметры сеанса, настройки TCP/IP, DNS-серверы и прокси.
Дополнительная информация, которую Вы можете ввести, зависит от типа настраиваемого VPN-подключения.
Нажмите «Применить», затем нажмите «ОК».
Выберите «Показывать статус VPN в строке меню», чтобы использовать значок статуса VPN для подключения к сети и переключения между службами VPN.
Для удаления конфигурации VPN выберите службу VPN в списке сетевых служб и нажмите кнопку «Удалить» .
VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).
© Wikipedia
VPN используется для удаленного подключения к рабочему месту, для защиты данных, для обхода фильтров и блокировок, для выдачи себя за гражданина другой страны и вообще — штука незаменимая. Практически повсеместно в качестве простого средства для организации пользовательского VPN используется всем известный OpenVPN, который использовал и я. Ровно до тех пор, пока у меня не появился Macbook и OS X в придачу. Из-за того, что подход Apple к конфигурации DNS сильно отличается от подхода других *nix-систем, проброс DNS через VPN нормально не работал.
После некоторых исследований у меня получилось два варианта:
— Использование DNS «мимо» VPN, что сильно небезопасно, но решает проблему.
— Использование нативных для OS X VPN-протоколов: PPTP и семейства IPSec.
Разумеется, я выбрал второе и разумеется — IPSec, а не устаревший PPTP.
Настройка Linux ( в моем случае — Arch Linux )
Настройка OS X
- Открыть Настройки → Сеть
- Нажать (+) и выбрать VPN/Cisco IPSec
- Заполнить основную информацию ( адрес, имя пользователя и пароль )
- Выбрать «Настройки аутентификации» и указать группу и PSK ( из файла /etc/racoon/psk.key )
- Подключиться
OS X и IPSec
IPSec это не один протокол, а набор протоколов и стандартов, каждый из которых имеет кучу вариантов и опций. OS X поддерживает три вида IPSec VPN:
— IPSec/L2TP
— IKEv2
— Cisco VPN
Первый вариант избыточен — какой смысл пробрасывать ethernet-пакеты для пользовательского VPN?
Второй — требует сертификатов и сильно сложной настройки на стороне клиента, что тоже нехорошо.
Остается третий, который называется «Cisco», а на самом деле — XAuth+PSK. Его и будем использовать.
Препарация OS X
После некоторых неудачных попыток настроить VPN на OS X, я полез изучать систему на предмет того, как же именно там работает VPN.
Недолгий поиск дал мне файлик /private/etc/racoon/racoon.conf, в котором была строчка include "/var/run/racoon/*.conf";.
После этого все стало понятно: при нажатии кнопки OS X генерирует конфиг для racoon и кладет его в /var/run/racoon/, после окончания соединения — удаляет. Осталось только получить конфиг, что я и сделал, запустив скрипт перед соединением.
Внутри я нашел именно ту информацию, которой мне не хватало для настройки сервера: IPSec proposals. Это списки поддерживаемых клиентом ( и сервером ) режимов аутентификации, шифрования и подписи, при несовпадении которых соединение не может быть установлено.
Итоговый proposal для OS X 10.11 и iOS 9.3 получился таким:
encryption_algorithm aes 256;
hash_algorithm sha256;
authentication_method xauth_psk_server;
dh_group 14;
Выбор VDS и настройка VPN
Для VPN-сервера я выбрал VDS от OVH, поскольку они дают полноценную виртуализацию с возможностью ставить любое ядро с любыми модулями. Это очень важно, поскольку ipsec работает на уровне ядра, а не пользователя, как OpenVPN.
Режим «Cisco VPN» (XAuth + PSK) предполагает двухэтапную аутентификацию:
— Используя имя группы и PSK для нее ( этап 1 )
— Используя имя пользователя и пароль ( этап 2 )
Настройка racoon
racoon — демон, который занимается управлением ключами ( IKE ). Именно он дает ядру разрешение на провешивание туннеля после того, как аутентифицирует клиента и согласует все детали протокола ( aka proposal ). racoon входит в стандартный пакет ipsec-tools и есть практически в любом дистрибутиве Linux «из коробки».
Конфигурация racoon
Конфигурация psk-файла
Используя случайные 64 бита группы и 512 бит ключа, я получаю достаточно вариантов, чтоб сделать перебор бессмысленным.
Настройка Linux
— Необходимо разрешить маршрутизацию: sysctl net.ipv4.ip_forward=1
— Необходимо разрешить протокол ESP и входящие соединения на порты 500/udp и 4500/udp: iptables -t filter -I INPUT -p esp -j ACCEPT; iptables -t filter -I INPUT -p udp --dport 500 -j ACCEPT; iptables -t filter -I INPUT -p udp --dport 4500 -j ACCEPT
— Необходимо включить NAT для нашей сети: iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE
— Необходимо создать группу и создать/добавить туда пользователей: groupadd vpn и useradd -G vpn vpn_user
— Необходимо запустить racoon: racoon -vF
Настройка OS X
Настройки → Сеть
Выбрать (+) → VPN → Cisco IPSec → придумать название
Выбрать соединение → ввести адрес сервера, имя пользователя и пароль
Выбрать «Настройки аутентификации» → ввести имя группы и ключ ( именно в таком порядке )
Настройка iOS
Настройки → Основные → VPN → Добавить конфигурацию VPN.
Заполнить форму по аналогии, подключиться.
<<<EOF
Спасибо за внимание, шифруйте свой трафик!
EOF;
Читайте также: