Я работаю над проектом, который должен вызывать веб-службу, доступ к которой возможен только при подключении через VPN. Устаревшая платформа, с которой мы мигрируем, работала на OpenBSD и использовала встроенные инструменты IPSec для создания соединения.
Следующая конфигурация показывает, как устанавливается соединение. Может ли кто-нибудь помочь мне в том, как я буду создавать это VPN-соединение на машине с Windows 7. Я проводил исследования в сети, но недостаточно разбираюсь в существующем сценарии, чтобы попытаться создать соединение в Windows. Насколько я понимаю, раньше был инструмент под названием ipseccmd.exe, который, кажется, имеет параметры, соответствующие некоторым из них, но я не думаю, что он включен в более поздние версии Windows?
Вот отрывок из конфигурации OpenBSD: (У меня есть необходимые IP-адреса для переменных $ и т. Д.)
ike esp from $dev_server to $destination_lan peer $destination_peer \
main auth hmac-md5 enc aes-256 group modp1024 \
quick auth hmac-md5 enc aes-256 group modp1024 \
psk "pre_shared_key_goes_here"
"
Используйте правила безопасности подключения брандмауэра Windows для настройки IPsec в Windows 7.
Откройте меню «Пуск» и найдите «Брандмауэр Windows в режиме повышенной безопасности». Открой это. На левой панели щелкните правой кнопкой мыши «Брандмауэр Windows в режиме повышенной безопасности». Выберите «Свойства». Откройте вкладку «Настройки IPsec». Щелкните «Настроить».
В разделе «Обмен ключами (основной режим)» нажмите «Настроить».
Нажмите «Добавить» и выберите «MD5» в качестве алгоритма целостности, «AES-CBC 256» для алгоритма шифрования и «Diffie-Hellman Group 2» для алгоритма обмена ключами. Щелкните "ОК". Щелкните "ОК".
В разделе «Защита данных (быстрый режим)» нажмите «Настроить».
Установите флажок «Требовать шифрование для всех правил безопасности подключения, использующих эти параметры».
Нажмите «Добавить» и выберите «ESP», выберите «MD5» в качестве алгоритма целостности и выберите «AES-CBC 256» для алгоритма шифрования.
Щелкните "ОК". Щелкните "ОК". Щелкните "ОК". Щелкните "ОК".
На левой панели щелкните правой кнопкой мыши «Правила безопасности подключения». Выберите «Новое правило». Выберите «Туннель». Щелкните «Далее>». Щелкните «Далее>». Щелкните «Далее>». Нажмите «Добавить» и введите $ dev_server. Щелкните "ОК". Нажмите верхнюю кнопку «Изменить» и введите $ dev_server. Щелкните нижнюю часть «Редактировать» и введите $ destination_peer. Щелкните «Далее>». Выберите «Дополнительно» и нажмите «Настроить». В разделе «Первая аутентификация» нажмите «Добавить». Выберите «Предварительный ключ». Введите предварительный ключ. Щелкните "ОК". Щелкните "ОК". Щелкните «Далее>». Щелкните «Далее>». Введите имя правила. Нажмите "Готово".
EDIT: добавлены шаги по настройке IPsec.
поочередно используйте правило добавления netsh advfirewall Conc из командной строки. Когда вы набираете именно это, вы получаете полезный текст справки.
Обратите внимание, что вам нужен «расширенный брандмауэр», который поставляется с Windows 7 Professional (я думаю) и Enterprise (я уверен). Не думаю, что это часть «домашнего» издания.
Это сложная тема, и ответ будет зависеть от того, как настроен другой конец вашего туннеля. Я не знаком с реализацией ipsec OpenBSD, но предполагаю, что вам нужно использовать режим «lan-to-lan» в Windows, даже если одна из ваших конечных точек не является локальной сетью, это всего лишь одна машина. (технически я предполагаю, что это / 32 LAN с одним участником :)