Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Время на прочтение

Структура сети

Маленькая сеть из десяти Windows 7/8 клиентов с выделенным сервером на базе Windows Server 2008 Std (на него пока не обращаем внимание) и с доступом в Интернет средствами простого роутера. Для VPN сервера я выделил одну из машин на Windows 7 Pro. Далее будет описано два способа поднятия L2TP/IPsec сервера на Windows 7 Pro.

Windows 7 L2TP/IPsec AES 128-bit с использованием сертификата

  • Первым делом нужно сгенерировать сертификат компьютера и пользователя на VPN сервере.
    Для этого воспользуемся бесплатной утилитой Simple Authority.
    Устанавливаем, запускаем. Сразу программа предложит сгенерировать сертификат компьютера. Заполняем поля. Хаотично клацаем по клавиатуре, тем самым генерируя случайное число. Вводим пароль (лучше длиннее 8-ми символов, иначе могут быть глюки) Сертификат компьютера (CA) готов. Если пользователь не добавлен, то добавляем. Справа заполняем необходимые поля. Жмем «New certificate». После этого на рабочем столе появится два файла сертификатов с расширениями *.cer и *.p12
  • Проверим, открылись ли нужные нам порты. Открываем командную строку и командой netstat /a /p udp смотрим, открылись ли UDP 1701 UDP 4500 UDP 500.
Создание клиентского подключения для этого способа
  • Установим сертификаты на нашего VPN клиента. Копируем с VPN сервера сертификаты, которые создали ранее. Устанавливаем их точно таким же способом, как и на сервере.
  • Если не поднимается подключение. То на Windows 8 стоит попробовать такой ключ реестра HKLMSYSTEMCurrentControlSetServicesIPsec создаем параметр DWORD с именем AssumeUDPEncapsulationContextOnSendRule и значением 2. Для Windows 7/Vista этот параметр нужно создать в HKLMSYSTEMCurrentControlSetServicesPolicyAgent
Итоги этого способа
  • Вернемся к чудо-параметру ProhibitIpSec=1. Идем в Реестр, в ветку HKLMSystemCurrentControlSetServicesRasmanParameters и создаем там параметр типа DWORD с именем ProhibitIpSec и присваиваем ему значение 1. После этого необходимо или перезагрузить ОС, или перезапустить службы RemoteAccess и RasMan. Этим действием мы отключаем локальную политику IP безопасности по-умолчанию для IPsec.
  • Список IP-фильтров. Вводим имя, снимаем галку «Исп. мастер», «Добавить». Адрес источника: «Любой». Адрес назначения: «Любой». Вкладка протокол. В выпадающем списке выбираем UDP. Пакеты ИЗ этого порта: 1701. Пакеты НА любой порт. ОК, ОК и возвращаемся в список IP-фильтров. Здесь вновь созданный фильтр отмечаем «точкой» и переходим на следующую вкладку.
  • Действие фильтра. По аналогии. Имя, галку про мастер, «Добавить». Выбираем «Согласовать безопасность», «Добавить». Выбираем «Шифрование и обеспечение целостности. (ESP)». ОК. Смотрим, чтоб не стояло никаких галок ниже списка методов безопасности. ОК. Аналогично отмечаем точкой и переходим к очередной вкладке.
  • Тип подключения. Все сетевые подключения.
  • Параметры туннеля. Это правило не указывает туннель IPsec.
  • Методы проверки подлинности. Не обращаем пока внимание на Kerberos, жмем «Добавить». Выбираем «Использовать данную строку (Предварительный ключ)» и вводим наш заранее придуманный Ключ. ОК. И теперь можно удалить Kerberos. В этой же вкладке можно добавить проверку подлинности по Сертификату. Процесс генерации и установки Сертификата описан в первом способе.
  • Обязательно нужно назначить новую политику IP-безопасности. Правой кнопкой мыши по ней, «Назначить».

Доступ к VPN серверу

На роутере я использовал службу Dynamic DNS, т.к. внешний IP динамический. Для возможности подключения необходимо сделать проброс портов (Port Forwarding) для портов UDP 1701 UDP 4500 UDP 500 к нашему VPN серверу. Мы подобрались к финишному этапу, где нас ждет еще одна немаленькая проблема. Дело в том, что Windows 7/8 имеет ограничение на максимальное количество подключений для удаленного доступа, и оно равно 1. Такого ограничения нет на Windows Server. Тут и напрашивается фраза «А на фига ты тут всё это написал?!» Есть два способа решения. Первый: один хороший человек провел немаленькую работу и написал патч, снимающий ограничение для Windows 7 Pro SP1. Здесь подробно описан сам процесс поиска решения и присутствует патч. Второй: использовать Windows Server. Но использовать не так, как написано в большинстве статей, где говорится о назначении серверу Роли «Маршрутизации и удаленного доступа» и использовании специальных оснасток, в которых чёрт ногу сломит, а использовать вышеописанный метод. Он отлично работает на Windows Server без назначения специальных ролей и без ограничений на число подключений.

Переработанный материал

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Проблематика

Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовывать работу из дома для своих сотрудников.

Однако отсутствие грамотного подхода в выборе решений для удалённой работы может привести к необратимым потерям. Пароли пользователей могут быть украдены, а это даст возможность злоумышленнику бесконтрольно подключаться к сети и ИТ-ресурсам предприятия.

Именно поэтому сейчас выросла потребность в создании надёжных корпоративных VPN сетей. Я расскажу вам о надёжной, безопасной и простой в использовании VPN сети.

Она работает по схеме IPsec/L2TP, использующей для аутентификации клиентов неизвлекаемые ключи и сертификаты, хранящиеся на токенах, а также передает данные по сети в зашифрованном виде.

Описание системы

VPN будет работать по схеме IPSec + L2TP + PPP. Протокол Point-to-Point Protocol (PPP) работает на канальном уровне модели OSI и обеспечивает аутентификацию пользователя и шифрование передаваемых данных. Его данные инкапсулируются в данные протокола L2TP, который собственно обеспечивает создание соединения в VPN сети, но не обеспечивает аутентификацию и шифрование.

Данные L2TP инкапсулируются в протокол IPSec, который тоже обеспечивает аутентификацию и шифрование, но в отличие от протокола PPP аутентификация и шифрование происходит на уровне устройств, а не на уровне пользователей.

Данная особенность позволяет обеспечить аутентификацию пользователей только с определённых устройств. Мы же будем использовать протокол IPSec как данное и позволим производить аутентификацию пользователей с любого устройства.

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Аутентификация пользователя с помощью смарт-карт будет производиться на уровне протокола PPP с помощью протокола EAP-TLS.

Более подробную информации о работе данной схемы можно найти в этой статье.

Почему данная схема отвечает всем трём требованиям хорошей VPN сети

  • Надёжность данной схемы проверена временем. Она используется для развёртывания VPN сетей с 2000 года.
  • Ещё совсем недавно данную сеть могли использовать только пользователи Windows, но наши коллеги из МГУ Василий Шоков и Александр Смирнов нашли старый проект L2TP клиента для Linux и доработали его. Совместными усилиями мы исправили множество багов и недочетов в работе клиента, упростили установку и настройку системы, даже при сборке из исходников. Наиболее существенными из них являются:
    Исправлены проблемы совместимости старого клиента с интерфейсом новых версий openssl и qt.Удалена передача pppd PIN-кода токена через временный файл.Исправлен некорректный запуск программы запроса пароля через графический интерфейс. Это было сделано за счет установки корректного окружения для xl2tpd сервиса.Сборка демона L2tpIpsecVpn теперь осуществляется совместно со сборкой самого клиента, что облегчает процесс сборки и настройки.Для удобства разработки подключена система Azure Pipelines для тестирования корректности сборки.Добавлена возможность принудительно понижать security level в контексте openssl. Это полезно для корректной поддержки новых операционных систем, где стандартный security level установлен на 2, с VPN сетями, в которых используются сертификаты, не удовлетворяющие требованиям безопасности данного уровня. Данная опция будет полезна для работы с уже существующими старыми VPN сетями.
  • Исправлены проблемы совместимости старого клиента с интерфейсом новых версий openssl и qt.
  • Удалена передача pppd PIN-кода токена через временный файл.
  • Исправлен некорректный запуск программы запроса пароля через графический интерфейс. Это было сделано за счет установки корректного окружения для xl2tpd сервиса.
  • Сборка демона L2tpIpsecVpn теперь осуществляется совместно со сборкой самого клиента, что облегчает процесс сборки и настройки.
  • Для удобства разработки подключена система Azure Pipelines для тестирования корректности сборки.
  • Добавлена возможность принудительно понижать security level в контексте openssl. Это полезно для корректной поддержки новых операционных систем, где стандартный security level установлен на 2, с VPN сетями, в которых используются сертификаты, не удовлетворяющие требованиям безопасности данного уровня. Данная опция будет полезна для работы с уже существующими старыми VPN сетями.
Читать также:  Эмаль КО-8101

Исправленную версию можно найти в данном репозитории.

Данный клиент поддерживает использование смарт-карт для аутентификации, а также максимально скрывает все тяготы и невзгоды настройки данной схемы под Linux, делая настройку клиента максимально простой и быстрой.

Конечно, для удобной связи PPP и GUI клиента не обошлось и без дополнительных правок каждого из проектов, но тем не менее их удалось минимизировать и свести к минимуму:

Теперь можно приступить к настройке.

Настройка сервера

Установим все необходимые пакеты.

Установка strongswan (IPsec)

В первую очередь, настроим firewall для работы ipsec

Затем приступим к установке

sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan

После установки необходимо задать конфигурацию для strongswan (одну из реализаций IPSec). Для этого отредактируем файл /etc/strongswan/ipsec.conf :

config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Также зададим общий пароль для входа. Общий пароль должен быть известен всем участникам сети для аутентификации. Данный способ и является заведомо ненадёжным, т.к. данный пароль с лёгкостью может стать известным личностям, которым мы не хотим предоставлять доступ к сети.
Тем не менее, даже этот факт не повлияет на безопасность организации сети, т.к. основное шифрование данных и аутентификация пользователей осуществляется протоколом PPP. Но справедливости ради стоит заметить, что strongswan поддерживает более безопасные технологии для аутентификации, например, с помощью приватных ключей. Так же в strongswan имеется возможность обеспечить аутентификацию с помощью смарт-карт, но пока поддерживается ограниченный круг устройств и поэтому аутентификация с помощью токенов и смарт-карт Рутокен пока затруднительна. Зададим общий пароль через файл /etc/strongswan/ipsec.secrets:

# ipsec.secrets — strongSwan IPsec secrets file
%any %any : PSK «SECRET_PASSPHRASE»

sudo systemctl enable strongswan
sudo systemctl restart strongswan

Установка xl2tp

sudo dnf install xl2tpd

Сконфигурируем его через файл /etc/xl2tpd/xl2tpd.conf:

sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd

Настройка PPP

UPD: предложенные нами изменения были приняты начиная с версии pppd 2.4.9. Поэтому пакет pppd можно взять из репозиториев.

Желательно поставить последнюю версию pppd. Для этого выполним следующую последовательность команд:

sudo yum install git make gcc openssl-devel
git clone «https://github.com/jjkeijser/ppp»
cd ppp
./configure —prefix /usr
make -j4
sudo make install

Впишите в файл /etc/ppp/options.xl2tpd следующее (если там присутствуют какие-то значения, то их можно удалить):

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

Выписываем корневой сертификат и сертификат сервера:

#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj «/C=RU/CN=L2TP CA»

#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj «/C=RU/CN=centos.vpn.server.ad»
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

Таким образом, мы закончили с основной настройкой сервера. Остальная часть конфигурации сервера связана с добавлением новых клиентов.

Добавление нового клиента

Чтобы добавить нового клиента в сеть, необходимо записать его сертификат в список доверенных для данного клиента.

Если пользователь хочет стать участником VPN сети, он создаёт ключевую пару и заявку на сертификат для данного клиента. Если пользователь доверенный, то данную заявку можно подписать, а получившийся сертификат записать в директорию сертификатов:

sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial

Добавим строчку в файл /etc/ppp/eaptls-server для сопоставления имени клиента и его сертификата:

«client» * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *

NOTE
Чтобы не запутаться, лучше чтобы: Common Name, имя файла с сертификатом и имя пользователя были уникальными.

Также стоит проверить, что в других файлах аутентификации нигде не фигурирует имя пользователя, которого мы добавляем, иначе возникнут проблемы со способом аутентификации пользователя.

Этот же сертификат необходимо отправить пользователю обратно.

Генерация ключевой пары и сертификата

Для успешной аутентификации клиенту необходимо:

  • сгенерировать ключевую пару;
  • иметь корневой сертификат УЦ;
  • иметь сертификат для своей ключевой пары, подписанный корневым УЦ.

Для клиента на Linux

Для начала сгенерируем ключевую пару на токене и создадим заявку на сертификат:

Появившуюся заявку client.req отправьте в УЦ. После того как вы получите сертификат для своей ключевой пары, запишите его на токен с тем же id, что и у ключа:

pkcs11-tool —module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem —id 45

Для клиентов Windows и Linux (более универсальный способ)

Данный способ является более универсальным, т.к. позволяет сгенерировать ключ и сертификат, который будет успешно распознаваться у пользователей Windows и Linux, но он требует наличие машины на Windows для проведения процедуры генерации ключей.

Перед генерацией запросов и импортом сертификатов необходимо добавить корневой сертификат VPN сети в список доверенных. Для этого откроем его и в открывшемся окне выберем опцию «Установить сертификат»:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В открывшемся окне выберем установку сертификата для локального пользователя:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Установим сертификат в хранилище доверенных корневых сертификатов УЦ:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

После всех этих действий соглашаемся со всеми дальнейшими пунктами. Теперь система настроена.

Создадим файл cert.tmp со следующим содержимым:

После этого сгенерируем ключевую пару и создадим заявку на сертификат. Для этого откроем powershell и введём следующую команду:

Читать также:  Как скачать бесплатную утилиту справку о прививке от коронавируса на телефон?

certreq.exe -new -pin $PIN .cert.tmp .client.req

Отправьте созданную заявку client.req в ваш УЦ и дождитесь получения сертификата client.pem. Его можно записать на токен и добавить в хранилище сертификатов Windows с помощью следующей команды:

certreq.exe -accept .client.pem

Стоит заметить, что аналогичные действия можно воспроизвести с помощью графического интерфейса программы mmc, но данный способ является более времязатратным и менее программируемым.

Настройка клиента Ubuntu

NOTE
Настройка клиента на Linux в данный момент является достаточно длительной по времени, т.к. требует сборки отдельных программ из исходников. Мы постараемся в ближайшее время добиться, чтобы все изменения попали в официальные репозитории.

Для обеспечения подключения на уровне IPSec к серверу — используется пакет strongswan и демон xl2tp. Для упрощения подключения к сети с помощью смарт-карт – будем использовать пакет l2tp-ipsec-vpn, обеспечивающий графическую оболочку для упрощенной настройки подключения.

Начнём сборку элементов поэтапно, но перед этим установим все необходимые пакеты для непосредственной работы VPN:

sudo apt-get install xl2tpd strongswan libp11-3

Установка ПО для работы с токенами

Установите последнюю версию библиотеки librtpkcs11ecp.so с сайта, также библиотеки для работы со смарт-картами:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Подключите Рутокен и проверьте, что он распознается системой:

pkcs11-tool —module /usr/lib/librtpkcs11ecp.so -O -l

Установка пропатченного ppp

sudo apt-get -y install git make gcc libssl-dev
git clone «https://github.com/jjkeijser/ppp»
cd ppp
./configure —prefix /usr
make -j4
sudo make install

Установка клиента L2tpIpsecVpn

В данный момент клиента тоже нужно собирать из исходников. Делается это с помощью следующей последовательности команд:

sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone «https://github.com/Sander80/l2tp-ipsec-vpn»
cd l2tp-ipsec-vpn
make -j4
sudo make install

Настройка клиента L2tpIpsecVpn

Запускаем установленный клиент:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

После запуска у вас должен открыться апплет L2tpIpsecVPN. Нажмём на него правой кнопкой мыши и произведём настройку соединения:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Для работы с токенами, в первую очередь, укажем путь opensc движка OpenSSL и PKCS#11 библиотеки. Для этого откройте вкладку «Preferences» для настройки параметров openssl:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

После этого данная сеть станет доступна в панели настроек. Дважды кликнем правой кнопкой мыши по новой сети, чтобы настроить её. На первой вкладке необходимо произвести настройки IPsec. Зададим адрес сервера и общий ключ:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

После этого переходим на вкладку настройки PPP и укажем там имя пользователя, под которым мы хотим зайти в сеть:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

После этого откроем вкладку Properties и укажем путь до ключа, сертификата клиента и УЦ:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Закроем данную вкладку и выполним финальную настройку, для этого откроем вкладку «IP settings» и поставим галочку напротив опции «Obtain DNS server address automatically»:

После всех настроек закроем все вкладки и перезагрузим клиент:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Подключение к сети

После настроек можно произвести подключение к сети. Для этого откроем вкладку апплета и выберем сеть, к которой мы хотим подключиться:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В процессе установки соединения клиент попросит ввести нас PIN-код Рутокен:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Если в статус-баре появится оповещение о том, что соединение успешно установлено, значит, настройка была произведена успешно:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В противном случае стоит разобраться, почему соединение не было установлено. Для этого стоит посмотреть лог программы, выбрав в апплете команду «Connection information»:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Настройка клиента Windows

Настройка клиента в Windows осуществляется гораздо проще, чем в Linux, т.к. весь необходимый софт уже встроен в систему.

Настройка системы

Установим все необходимые драйверы для работы с Рутокенами скачав их c оф. сайта.

Импорт корневого сертификата для аутентификации

Скачаем корневой сертификат сервера и установим в систему. Для этого откроем его и в открывшемся окне выберем опцию «Установить сертификат»:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В открывшемся окне выберем установку сертификата для локального пользователя. Если хочется, чтобы сертификат был доступен всем пользователям на компьютере, то тогда следует выбрать установку сертификата на локальный компьютер:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Настройка VPN соединения

Для настройки VPN соединения перейдите в панель управления и выберите пункт для создания нового соединения.

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Во всплывшем окне выберите опцию создания соединения для подключения к рабочему месту:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В следующем окне выберете подключение по VPN:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

и введите данные VPN соединения, а также укажите опцию для использования смарт-карты:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

На этом настройка не закончена. Осталось указать общий ключ для протокола IPsec, для этого перейдём на вкладку “Настройки сетевых подключений” и затем перейдём на вкладку “Свойства для данного соединения”:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В открывшемся окне перейдём на вкладку «Безопасность», укажем в качестве типа сети «Сеть L2TP/IPsec» и выберем «Дополнительные параметры»:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В открывшемся окне укажем общий ключ IPsec:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

После завершения настройки можно попробовать подключиться к сети:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

В процессе подключения от нас потребуют ввести PIN-код токена:

Подключениям которые используют этот протокол l2tp через ipsec требуется установка сертификата

Мы с вами настроили безопасную VPN сеть и убедились в том, что это несложно.

Благодарности

Хотелось бы ещё раз поблагодарить наших коллег Василия Шокова и Александра Смирнова за совместно проделанную работу для упрощения создания VPN соединений для клиентов Linux.

Список часто встречаемых ошибок VPN(PPTP) и PPPOE

Ошибка 619 Неправильно настроены параметры безопасности VPN соединения, VPN-трафик блокируется на пути к шлюзу, либо настройки VPN не вступили в действие.

Возможны причины появления ошибки

  • 1. Неправильные настройки параметров безопасности
  • 2. Неработающая служба «Брандмауэр Windows» (WinXP)
  • 3. VPN(PPPOE) подключение блокирует «Firewall»

Неправильные настройки параметров безопасности

Шаг 1. Открываем «Панель управления» (Пуск — Настройка — Панель управления)

Шаг 2. Открываем «Сетевые подключения» двойным щелчком мыши

Шаг 3. Щелкните правой кнопкой по подключению, выберите пункт меню «Свойства», перейдите на вкладку «Безопасность». Снимаем галочку с пункта «Требуется шифрование данных (иначе отключаться)».

Шаг 4. Жмем «ОК». Пробуем подключиться.

Неработающая служба «Брандмауэр Windows»

* пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) не отображается в списке Службы панели управления; * пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) отображается в списке Службы, но не удается запустить службу; * при попытке доступа к параметрам брандмауэра Windows выводится следующее сообщение об ошибке: Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.

Для решения этой проблемы воспользуйтесь одним из приведенных ниже способов:

Способ 1. Вызов функции «Setup API InstallHinfSection» для установки брандмауэра Windows.

Чтобы установить брандмауэр Windows, выполните следующие действия:

1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК. 2. Введите следующую команду в командной строке и нажмите клавишу ВВОД: Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%inf
etrass.inf 3. Перезагрузите Windows. 4. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК. 5. В командной строке введите следующую команду и нажмите клавишу ВВОД: Netsh firewall reset 6. В меню Пуск выберите пункт Выполнить, введите команду firewall.cpl и нажмите клавишу ВВОД. В диалоговом окне Брандмауэр Windows выберите вариант Включить (рекомендуется) и нажмите кнопку ОК.

Читать также:  Этот сертификат содержит недопустимую цифровую подпись

Способ 2. Добавление записи брандмауэра Windows в реестр.

Внимание! При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантируют разрешения этих проблем. Ответственность за изменение реестра несет пользователь.

Чтобы добавить запись брандмауэра Windows в реестр, выполните следующие действия:

Ошибка 623 Не удается найти запись в телефонной книге.

  • Откройте папку «Сетевые подключения»
  • Щелкните правой кнопкой по любому подключению удаленного доступа
  • Выберите пункт «Сделать подключением по умолчанию»
  • Выберите пункт «Не использовать по умолчанию»
  • Перезагрузитесь.

Ошибка 678 Удаленный компьютер не отвечает.

  • Рекомендуется пересоздать подключение согласно инструкциям.
  • Проверить правила безопасности у всех «Firewall»

Ошибка 718 Превышено время ожидания PPP.

  • Сбросить все настройки.
  • Попытаться восстановить протокол.

Сбросить все настройки

Откройте командную строку (Пуск — Выполнить — cmd) Последовательно выполните следующие команды:

* netsh int ip reset resetlog.txt * netsh winsock reset

После этого перезагружаем компьютер и настраиваем подключение по локальной сети так как выполнение этой команды приводит к перезаписи параметров реестра, которые используются стеком протоколов TCP/IP, что равнозначно его удалению и повторной установке. P.S. При надобности пересоздайте VPN подключение. Предупреждение! Выполнение команды netsh winsock reset может отрицательно повлиять на работу программ, осуществляющих доступ в Интернет или отслеживающих данные в Интернете: антивирусных программ, брандмауэров и прокси-клиентов. В случае неправильной работы одной из этих программ после использования рассматриваемого метода переустановите программу, чтобы восстановить ее работоспособность.

Попытаться восстановить протокол

Ошибка свидетельствует о повреждении разделов реестра, в которых хранится конфигурация Winsock. Решение: Этап 1: Проверка целостности раздела Winsock2 1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Command и нажмите кнопку ОК. 2. Введите команду netdiag /test:winsock и нажмите клавишу ВВОД. Средство Netdiag отобразит результаты проверки ряда сетевых компонентов, в том числе Winsock. Для получения дополнительных сведений о данной проверке наберите команду netdiag в следующем виде: /v: netdiag /test:winsock /v Примечание: средство netdiag находится в папке SupportTools установочного диска ОС Если средство Netdiag сообщает об ошибке необходимо восстановить раздел реестра Winsock2. Для этого следуйте инструкциям, изложенным далее. Этап 2: Восстановление поврежденной конфигурации Winsock Введите в командной строке netsh winsock reset Примечание: После выполнения команды перезагрузите компьютер. Предупреждение: Выполнение команды netsh winsock reset может плохо отразиться на программах, которые используют или контролируют доступ к Интернету, например на антивирусных программах, брандмауэрах или клиентах прокси. В случае неправильной работы одной из этих программ после использования рассматриваемого метода переустановите программу, чтобы восстановить ее работоспособность. Если эти операции не решают проблемы, следуйте инструкциям, изложенным далее. Удалите поврежденные разделы реестра и переустановите протокол TCP/IP. Удаление поврежденных разделов реестра 1. В редакторе реестра найдите следующие разделы, щелкните каждый из них правой кнопкой мыши и выберите пункт Удалить: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock2 2. После удаления разделов реестра перезагрузите компьютер. После перезагрузки Windows XP создаст эти разделы заново. Установка TCP/IP 1. Щелкните правой кнопкой мыши сетевое подключение и выберите команду Свойства. 2. Нажмите кнопку Установить. 3. Выберите пункт Протокол и нажмите кнопку Добавить. 4. Нажмите кнопку Установить с диска. 5. Введите C:Windowsinf и нажмите кнопку ОК. 6. В списке протоколов выберите Протокол Интернета (TCP/IP) и нажмите кнопку ОК.

4. Интересный вариант решения (повторяет мысль изложенную в п.3, но цель достигается другими способами): любителям тонкой настройки должна помочь информация с форума локальной сети студентов ИАТЭ от MusicMan

«Вообще говоря эта ошибка возникает из-за рассогласования протоколов. Самый простой случай это отсутствие протокола PPTP или его корявые настройки. В общем вот какое то решение из инета.

Ошибка 720 Попытка подключения не удалась поскольку удаленному и локальному компьютерам не удалось согласовать управляющие протоколы РРР. Пляски с бубном, вроде удаления стека TCPIP протоколов, пересоздания VPN соединения и изменения параметров шифрования, ничего не дали. Возникло предположение, что что-то не то с PPTP протоколом, это подтвердил лог попытки подключения.

Отступление Включается он, кстати, так: netsh ras set tracing ppp enabled а выключается так: netsh ras set tracing ppp disabled После этого в папке %systemroot% racing создаётся файл PPP.log, в который и записывается подробная информация о PPP соединениях. Конец отступления.

Поиск в интернете ничего не дал, кроме того, что для переустановки PPTP протокола следует переустановить Windows, но это уже не наш путь, поэтому два дня было потрачено на выяснение того, как этот протокол можно „поправить“ не идя на столь радикальную меру, как переустановка. К сожалению интернет в этом помочь не может никак. То есть вообще информация об этом отсутствует.

Вот тут-то и начались проблемы.

Попытка установить драйвер для Минипорт WAN (PPTP) окончилась неудачей, так как в списке сетевых „устройств“ производства Microsoft этот драйвер отсутствует, но, если обновлять драйвер для любого из оставшихся „минипортов“, то совершенно волшебным образом драйвер Минипорт WAN (PPTP), в списке возможных для установки, появляется. С помощью filemon удалось выяснить, что при обновлении драйвера Windows обращается к файлу netrasa.inf, при открытии которого можно увидеть „волшебную строку“ MS_PptpMiniport. Казалось бы, подсунь этот файл при установке драйвера и проблема решена, но когда я так сделал, окно со списком драйверов было девственно чистым. То есть в файле явно есть информация о драйвере, но она не отображается.

И тогда я открыл для себя страшную тайну фирмы Microsoft, эта тайна называется ExcludeFromSelect = все устройства, названия которых в inf файле заканчиваются на символ идущий после знака равенства (в данном случае ) в окне установки драйверов не отображаются.

Утомил, наверное? Тогда не буду рассказывать, как я лопатил реестр в поисках записи о Минипорт WAN (PPTP) и дам, наконец, решение.

Ошибки 769 и 800 Не удалось создать VPN-подключение. VPN-сервер недоступен, или параметры безопасности для данного подключения настроены неверно.

  • Отключен сетевой кабель (или сетевая карточка) у абонента.
  • Брандмауэр блокирует исходящие запросы на VPN соединения, что в принципе случается, но не так часто.
  • Запрос по какой-либо причине не доходит до сервера, т.е. возможно шлюз вашего сегмента не пропускает запрос в силу возникшей нагрузки или сбоя. Что тоже может случаться, но очень-очень редко.
  • Сервер отправляет ответ о невозможности подключиться т.к. в данный момент наблюдается большое число одновременных попыток соединения.
  • Проверить вставлен ли кабель в компьютер, есть ли у него физические повреждения.
  • Проверить работает ли локальная сеть в этот момент времени. Попробуйте зайти на сайт www.pioneernet.ru
  • Проверить прохождение сигнала командой ping до вашего сервера авторизации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *