Настройка VPN для безопасного подключения клиента к сети офиса.

Устанавливаем Windows Server 20xx и поднимаем на нём Сервер удалённого доступа / VPN (Маршрутизация и удалённый доступ). Как это делается можно посмотреть тут http://support.microsoft.com/kb/323441 или воспользоваться ссылками, приведёнными в "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности" от КриптоПро IPsec.

Сервер:

На сервер устанавливаем КриптоПро CSP 3.6 R3 и КриптоПро IPsec. Перезагружаем машину по потребности.

КриптоПро IPsec - http://www.cryptopro.ru/products/ipsec/downloads

КриптоПро CSP 3.6 R3 - http://www.cryptopro.ru/products/csp/downloads

Выпуск сертификатов в КриптоПро УЦ:

Для выпуска сертификатов IPsec необходимо произвести настройку КриптоПро ЦР и

КриптоПро ЦС (документация на КриптоПро УЦ доступна по ссылке:

http://cryptopro.ru/products/ca/downloads) :

• создать шаблон сертификата согласно «КриптоПро УЦ ЦР Руководство по эксплуата-

ции» (ЖТЯИ.00067 01 90 05) с OID «IKE-посредник IP-безопасности»

(1.3.6.1.5.5.8.2.2);

• добавить в Политики ЦР разрешение на обработку запроса и отзыв сертификата, со-

держащего OID «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2), согласно

«КриптоПро УЦ ЦР Руководство по эксплуатации» (ЖТЯИ.00067 01 90 05) глава 4.2

«Политики обработки запросов»;

• добавить в Модуль политики КриптоПро ЦС Использование ключа «IKE-посредник

IP-безопасности» (1.3.6.1.5.5.8.2.2) согласно «КриптоПро УЦ ЦС Руководство по

эксплуатации Windows 2003/2008» (ЖТЯИ.00067 01 90 03/ЖТЯИ.00067 01 90 04)

глава 3.1 «Настройка областей использования ключа, политик выдачи и политик

применения в сертификатах открытого ключа»;

• добавить в Модуль политики КриптоПро ЦС Расширения X.509 «Дополнительное

имя субъекта» (2.5.29.17).

Сертификаты IPsec (аутентификация компьютера в IKE) должны удовлетворять следующим требованиям:

• находиться в личном хранилище компьютера с привязкой к закрытому ключу;

• быть действительными

• содержать назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)

• содержать назначение ключа («Key Usage» OID 2.5.29.15) «Цифровая подпись»

• содержать открытый ключ ГОСТ Р 34.10-2001, для которого имеется соответствующий контейнер закрытого ключа компьютера с кэшированным паролем или без пароля 

• содержать «Дополнительное имя субъекта» (2.5.29.17) -> DNS со значениемFQDN (Fully Qualified Domain Name) компьютера.

В сертификате должен быть корректный адрес, для получения CRL (доступный через интернет):

Создаём на сервере "пользователя", например IPSEC, с паролем (без пароля), и в свойствах учётной записи проставим ему «Права доступ к сети» - «Разрешить доступ».

Настройка политики IP-безопасности на «Локальном компьютере»:

Настройка правил фильтрации:

Тип подключения - все сетевые подключения.

На вкладке "Методы проверки подлинности" добавляем Корневой сертификат. 

Клиентская машина:

Настройка VPN подключения на Windows XР.

Создание подключения к VPN проводим согласно инструкции Microsoft «Настройка подключения к виртуальной частной сети (VPN) в Windows XP»

(http://support.microsoft.com/kb/314076).

В Лог cp_ipsec_info можно удостовериться в том, что установленное соединение использует ГОСТ шифрование.