Инструкция внутри.
Перед настройкой служб и соединений на сервере и клиентских машин необходимо установить на них КриптоПро CSP и КриптоПро IPSec!
Настраиваем VPN сервер на Windows Server 2012 R2
Открываем оснастку Server Manager и через мастер добавления ролей выбираем тип установки на основе ролей — Role-based or feature-based installation.
![image](https://habrastorage.org/web/1b4/056/398/1b40563987d84f9ea10430c7866e1dc5.png)
Далее выбираем сервер из пула серверов.
![image](https://habrastorage.org/web/7ea/1ce/41a/7ea1ce41a9594cc8a79b6e167377b7c8.png)
На шаге выбора ролей выбираем роль Remote Access.
![image](https://habrastorage.org/web/13c/a0d/3c9/13ca0d3c95924e78a9ce2a8a4efdaf70.png)
Шаг Features пропускаем без внесения изменений. На шаге выбора служб включаемой роли выберем службу DirectAccess and VPN (RAS).
![image](https://habrastorage.org/web/447/853/eb7/447853eb7d704f739e3dcd40a0defaf5.png)
После выбора службы откроется окно добавления дополнительных компонент связанных с выбранной службой. Согласимся с их установкой нажав Add Features.
![image](https://habrastorage.org/web/f44/6c9/674/f446c9674f6e41bfa5e1554841881c13.png)
Роль Web Server Role (IIS) будет при этом добавлена в мастер добавления ролей. Соответствующий появившийся шаг мастера Web Server Role (IIS) и зависимые опции Role Services пропускаем с предложенными по умолчанию настройками и запускаем процесс установки, по окончании которого будет доступна ссылка на мастер первоначальной настройки служб Remote Access – Open the Getting Started Wizard.
![image](https://habrastorage.org/web/271/776/c8b/271776c8bc0949b082c53cde4de9a205.png)
Мастер настройки RAS можно вызвать щёлкнув по соответствующей ссылке здесь, либо позже из оснастки Server Manager:
![image](https://habrastorage.org/web/cb5/323/e8b/cb5323e8b5804788915ab7e6f996b168.png)
Так как настройка DirectAccess в контексте нашей задачи не нужна, в окне мастера выбираем вариант только VPN – Deploy VPN only.
![image](https://habrastorage.org/web/fa4/1d6/be5/fa41d6be50fb46dcbe9171ae715554dc.png)
Настройка службы Routing and Remote Access
Из Панели управления открываем оснастку Administrative Tools \ Routing and Remote Access, выбираем имя сервера и открываем контекстное меню. Выбираем пункт Configure and Enable Routing and Remote Access.
![image](https://habrastorage.org/web/11d/6df/01b/11d6df01b27846709466c48597380d8a.jpg)
Так как нам нужен только VPN выбираем.
![image](https://habrastorage.org/web/dfc/4ed/b1f/dfc4edb1ff7f4bdaa582c47b8dcae432.jpg)
Выбираем VPN.
![image](https://habrastorage.org/web/40f/3e0/58b/40f3e058b1c848c8ba463d436a6b4ca7.jpg)
Дальше указываем внешний интерфейс, имеющий выход в Интернет, к которому будут подключаться удаленные клиенты.
![image](https://habrastorage.org/web/69b/342/699/69b342699f3b4004ad5920ef9e639fd1.jpg)
Настраиваем диапазон адресов для клиентов.
![image](https://habrastorage.org/web/30a/545/c41/30a545c41f0d4813a2b1321ee2a303e8.jpg)
![image](https://habrastorage.org/web/e8c/db5/8db/e8cdb58db8674207809f646da7b718e2.jpg)
Укажем что не используем RADIUS сервер.
![image](https://habrastorage.org/web/8ce/941/08a/8ce94108a9034f50bd3835e275ee1166.jpg)
Соглашаемся с запуском службы. После запуска необходимо настроить методы аутентификации пользователей.
![image](https://habrastorage.org/web/df0/4cb/bd4/df04cbbd48c54a31a5721d15e9158f45.jpg)
Выпускаем ГОСТовые сертификаты в КриптоПро УЦ 2.0 для VPN.
Для того чтобы IPSec у нас работал нам нужно:
- Корневой сертификат УЦ
- Серверный сертификат
- Клиентский сертификат
И так, создадим два шаблона IPSec client IPSec server в Диспетчере УЦ.
![image](https://habrastorage.org/web/630/0c6/c68/6300c6c6802a449096b38b80a170eef8.jpg)
В настройка шаблона IPSec client добавим параметр Client Authentication (1.3.6.1.5.5.7.3.2). IP security IKE intermediate (1.3.6.1.5.5.8.2.2).
![image](https://habrastorage.org/web/02c/ad9/f4f/02cad9f4fe10414eb04f4dabdd9c5186.jpg)
Шаблон IPSec server такой же но с параметром Server Authentication (1.3.6.1.5.5.7.3.1).
![image](https://habrastorage.org/web/693/5d1/135/6935d113521a422c8a4d1febd1abee5e.jpg)
После проделанной работы в Консоли управления ЦР создаем пользователей для запроса и формирования сертификата.
![image](https://habrastorage.org/web/931/372/a00/931372a00cd24eb7b864d73de7e5e342.jpg)
Далее запрашиваем сертификат для созданных пользователей. При запросе необходимо указать шаблон который мы создавали.
![image](https://habrastorage.org/web/aee/c58/879/aeec588790b444068def9360cef74efa.jpg)
Выберем место хранения (контейнер) для закрытого ключа.
![image](https://habrastorage.org/web/7dc/bd7/91c/7dcbd791c54740c881ca09140339f2f0.jpg)
После нервного дерганья мышкой (это необходимо для СПЧ) задаем пароль для контейнера.
Теперь нам необходимо экспортировать сертификат в закрытый контейнер.
![image](https://habrastorage.org/web/389/d1f/632/389d1f632bfa449e9edbe8cf648d3e3d.jpg)
После копирования сертификата необходимо скопировать весь контейнер в файл для переноса на АРМ удаленного клиента. Экспортируем с помощью КриптоПро CSP в формате pfx.
![image](https://habrastorage.org/web/28b/5cd/43e/28b5cd43e0774670b0c7f97d26526606.jpg)
По такому же алгоритму создаем сертификат для сервера только по другому шаблону и устанавливаем их с помощью оснастки Сертификаты КриптоПро CSP. Не забываем про корневой сертификат который должен быть в Доверенных корневых центры сертификации.
Настройка политики IP-безопасности на сервере
Шаг раз.
![image](https://habrastorage.org/web/14c/39b/b41/14c39bb414024e6cb9e1af9be998e469.jpg)
Шаг два.
![image](https://habrastorage.org/web/8bd/7d7/614/8bd7d76149804182b495cbbd0615e674.jpg)
Шаг три.
![image](https://habrastorage.org/web/511/3c5/22e/5113c522eac0465f8697e2726a19814d.jpg)
На вкладке «Методы проверки подлинности» добавляем Корневой сертификат.
![image](https://habrastorage.org/web/030/a00/9b4/030a009b4b7840fea3f164c67089690d.jpg)
По такому же алгоритму настраиваем политику IP-безопасности на каждой удаленном АРМ.
Корректность установки сертификата и проверка работоспособности IPSec, а так же логирование ошибок можно проверить с помощью утилиты КриптоПро IPSec cp_ipsec_info.exe. После нажатия меню Обновить список, Вы увидите список установленных сертификатов. На против установленного сертификата должна стоять галочка для подтверждений что все хорошо с ним.
![image](https://habrastorage.org/web/886/540/1ea/8865401ea6954de5b94ed86d4dc17743.jpg)
Настройка подключения VPN к серверу
Подключение настраивается стандартно но с небольшими изменениями.
![image](https://habrastorage.org/web/ac1/973/df3/ac1973df3f024ea3a422308c155416d0.jpg)
Вроде рассказал все нюансы, если есть замечания или предложения выслушаю с радостью!
Комментарии (10)
ksg222
17.05.2017 10:18+1Добрый день! В итоге не совсем понятно, какое шифрование используется в вашем решении. В заголовке указано, что гостовое. Но в настройках я увидел только установку сертификатов на базе госта для аутентификации. Как задаётся гостовый алгоритм шифрования непосредственно для IPSec соединения?
kid565
17.05.2017 10:51+1Добрый день! Так как мы установили ПО КриптоПро IPsec, в состав которого входит библиотеки КриптоПро IKE, ESP, AH, используя в качестве СКЗИ КриптоПро CSP, оно обеспечивает защиту пакетов в канале на базе ГОСТ 28147-89, включая шифрование и имитозащиту. Аутентификация участников осуществляется на ключах подписи, в соответствии с ГОСТ.
astalv
17.05.2017 12:16+1Я не мега специалист по этой области, НО, мне помнится что для соответствия законам требуется чтобы решение имело сертификат СКЗИ от ФСБ. И насколько я понимаю у такого решения его не будет так как вы сами устанавливаете крипто драйвера на VPN шлюз.
Поправьте пожалуйста, кто в вопросе разбирается.
kid565
17.05.2017 12:33Сертификат есть -https://www.cryptopro.ru/sites/default/files/docs/certificates/ipsec_1.0_isp3_sf_124_2896_till_2018_03_01.jpg.
AlexeevEugene
а вроде ГОСТ не обязательно совсем. Но MS ipsec это конечно лютая дичь)
kid565
Согласен но, соответствовать нужно ))))