Настройка VPN-сервера PPTP в Keenetic (для версий NDMS 2.11 и более ранних) – Keenetic
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «VPN-сервер PPTP».
Ваша домашняя сеть может быть подключена к сети офиса или другого интернет-центра Keenetic по VPN при любом способе выхода в Интернет. Встроенный сервер PPTP обеспечивает возможность защищенного доступа к домашней сети через Интернет со смартфона, планшета или компьютера откуда угодно, как если бы вы находились у себя дома.
Важно! Начиная с микропрограммы NDMS V2.05.В.9 в PPTP-сервере интернет-центра по умолчанию протокол MPPE работает с ключом 40 бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана. В ОС Windows Vista/7/8 по умолчанию протокол MPPE использует для PPTP-подключений 128-битный ключ. Дополнительную информацию, о подключении к PPTP-серверу интернет-центра серии Keenetic (с микропрограммой NDMS V2.05.В.9 и выше) из Windows, вы найдете в статье: «Особенности подключения к PPTP-серверу интернет-центра из Windows»
Данная возможность доступна в новой линейке устройств Keenetic Ultra (KN-1810), Giga (KN-1010), Extra (KN-1710), Air (KN-1610), City (KN-1510), Omni (KN-1410), Lite (KN-1310), 4G (KN-1210), Start (KN-1110), а также для интернет-центров Keenetic Ultra II, Giga III, Extra II, Air, Viva, Extra, LTE, VOX, DSL, Start II, Lite III, Keenetic III (компонент микропрограммы VPN-cервер доступен для установки начиная с версии NDMS V2.04.B2).
К встроенному серверу VPN PPTP можно подключить до 10 клиентов одновременно.
1. Перед началом настройки необходимо зайти в веб-интерфейс в меню Система > Компоненты и установить компонент микропрограммы VPN-cервер.
2. После установки нужного компонента в разделе Приложения появится вкладка Сервер VPN.
При настройке Сервера VPN нужно указать интерфейс интернет-центра Keenetic, к которому будет организован доступ, и пул IP-адресов, которые будут выдаваться PPTP-клиентам.
Например, разрешим удаленным PPTP-клиентам доступ к основной локальной сети:
Внимание! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами интерфейсов Keenetic, статическими IP-адресами подключенных устройств и используемыми на интерфейсах DHCP-пулами. При пересечении пулов адресов PPTP-сервера и, например, подсети Home клиент локальной сети может получить адрес, уже занятый в сети PPTP. Это приведет к ситуации, когда локальный хост не будет иметь доступа ни к Интернету (включая ping), ни к управлению интернет-центром Keenetic. При этом использовать одну и ту же подсеть IP-адресов не запрещено, если диапазоны IP-адресов PPTP-клиентов и клиентов локальной сети не будут пересекаться (например, указание диапазона 192.168.1.10-192.168.1.20 для PPTP-сервера и 192.168.1.33-192.168.1.52 для Home при использовании маски 24 бита вполне допустимо).
3. Для подключения к PPTP-серверу используются учетныe записи Keenetic. При настройке пользователя нужно разрешить ему доступ к VPN. Таким образом, учетная запись получает возможность подключаться к встроенному PPTP-серверу. Щелкните мышкой по учетной записи пользователя.
Откроется окно Настройка пользователя VPN. Установите галочку в поле Разрешить доступ к VPN и нажмите кнопку Применить.
Дополнительные функции PPTP-сервера в устройстве Keenetic:
2. Возможность указать статический IP-адрес для PPTP-клиента.
3. Отключение обязательного шифрования MPPE. Для этого в интерфейсе командной строки нужно выполнить команду vpn-server mppe-optional (обратная команда no vpn-server mppe-optional).
Ниже представлены ссылки на полезные статьи по настройке встроенного VPN-сервера PPTP интернет-центра серии Keenetic:
KB-3984
Типы VPN-соединений в Keenetic – Keenetic
VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).
Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.
Известно, что сети, использующие протокол IP (Internet Protocol), имеют «слабое место», обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение. В этом случае можно будет не волноваться о безопасности передаваемых данных, т.к. VPN-соединение между клиентом и сервером, как правило, зашифровано.
Интернет-центры Keenetic поддерживают следующие типы VPN-соединений:
- PPTP/SSTP
- L2TP over IPSec (L2TP/IPSec)
- WireGuard
- OpenVPN
- IPSec
- IKEv2
- GRE/IPIP/EoIP *
- IPSec Xauth PSK (Virtual IP)
С помощью интернет-центра Keenetic ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в Интернет.
Во всех моделях Keenetic реализованы как VPN клиенты/серверы для безопасного доступа: PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, так и туннели для объединения сетей: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP).
* — настройка туннелей EoIP, GRE и IPIP доступна только через интерфейс командной строки (CLI) интернет-центра.
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).
Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.
Тип VPN | Клиент | Сервер | Аппаратное ускорение * | Количество одновременных подключений |
PPTP | + | + | — | Клиент: до 128 Сервер: до 100/150/200 в зависимости от модели ** |
SSTP | + | + | — | |
L2TP over IPSec | + | + | + | Клиент: до 128 Сервер: ограничение отсутствует |
WireGuard | + | + | — | до 32 *** |
IPSec | + | + | + | ограничение отсутствует **** |
IKEv2 | + | + | + | до 32 |
GRE/IPIP/EoIP | + | + | — | до 128 |
OpenVPN | + | + | — | до 32 (до 128 для Peak) |
IPSec Xauth PSK | — | + | + | до 32 |
* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak используется аппаратное ускорение всего протокола IPSec.
** — до 200 для Peak, Giant, Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Extra II, Start II, Lite III Rev.B, 4G III Rev.B.
*** — с версии KeeneticOS 3.7 будет увеличено число подключений WireGuard для Peak до 128 и для Giga, Ultra, Viva, Hero 4G, Giant и Speedster до 48.
**** — до версии KeeneticOS 3.3 ограничение составляло до 10 подключений для Giga, Ultra и до 5 для всех остальных моделей.
NOTE: Важно! Число клиентских подключений ограничивается выделенным служебным размером раздела памяти объемом 24 Кбайта для хранения VPN-конфигураций. Особенно это актуально для OpenVPN-соединений, т.к. суммарный размер их конфигураций не должен превышать 24 Кбайта.
Тип VPN | Уровень сложности | Уровень защиты данных | Скорость** | Ресурсо емкость | Интеграция в ОС |
PPTP | для обычных пользователей | низкий | средняя, высокая без MPPE | низкая | Windows, macOS, Linux, Android, iOS (до версии 9 вкл.) |
SSTP | для обычных пользователей | высокий | средняя, низкая при работе через облако | средняя | Windows |
L2TP over IPSec | для обычных пользователей | высокий | высокая, средняя на младших моделях | высокая | Windows, macOS, Linux, Android, iOS |
WireGuard | для опытных пользователей | очень высокий | высокая | низкая | отсутствует* |
IPSec | для профессионалов | очень высокий | высокая | высокая | Windows, macOS, Linux, Android, iOS |
IKEv2 | для обычных пользователей | высокий | высокая | высокая | Windows, macOS, Linux, iOS |
OpenVPN | для опытных пользователей | очень высокий | низкая | очень высокая | отсутствует* |
IPSec Xauth PSK | для обычных пользователей | высокий | высокая | высокая | Android, iOS |
* — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.
** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30 — 50 Мбит/с и высокая — свыше 70 Мбит/с.
Тип VPN | Плюсы | Минусы |
PPTP | популярность, широкая совместимость с клиентами | невысокий уровень защиты данных, в сравнении с другими протоколами VPN |
SSTP | возможность работы VPN-сервера при наличии «серого» IP для доступа в Интернет *, использование протокола HTTPS (TCP/443) | встроенный клиент только в ОС Windows, низкая скорость передачи данных при работе через облако |
L2TP over IPSec | безопасность, стабильность, широкая совместимость с клиентами, простая настройка | используются стандартные порты, что позволяет провайдеру или системному администратору заблокировать трафик |
WireGuard | современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных | не входит в состав современных ОС, разработка является экспериментальной и может проявляться нестабильность |
IPSec | надежность, очень высокий уровень защиты данных | сложность настройки для обычных пользователей |
IKEv2 | надежность, высокий уровень защиты данных, простая настройка, поддержка на устройствах Blackberry | не входит в состав Android (для подключения нужно использовать дополнительное бесплатное ПО), используются стандартные порты, что позволяет провайдеру или администратору блокировать трафик |
OpenVPN | высокий уровень защиты данных, использование протокола HTTPS (TCP/443) | не входит в состав современных ОС, очень ресурсоемкий, невысокие скорости передачи данных |
IPSec Xauth PSK | безопасность, входит в состав современных мобильных ОС | отсутствие поддержки клиентов в ОС для ПК |
* — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступна только для пользователей интернет-центров Keenetic.
Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:
- L2TP over IPSec (L2TP/IPSec), PPTP, IKEv2, IPSec Xauth PSK, SSTP
В ряде моделей Keenetic передача данных по IPSec (в том числе L2TP over IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства, что обеспечивает высокие скорости передачи данных. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.
Если провайдер выдает вам публичный IP-адрес, рекомендуем обратить внимание на серверы IKEv2, L2TP over IPSec и на так называемый виртуальный сервер IPSec (Xauth PSK). Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Для IKEv2 в ОС Android используйте бесплатный популярный VPN-клиент strongSwan.
В качестве самого оптимального универсального варианта можно считать L2TP/IPSec.
Если же интернет-провайдер предоставляет вам только частный «серый» IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP. Основным преимуществом туннеля SSTP является его способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии «серых» IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного «белого» IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Keenetic.
Что касается туннельного протокола PPTP, он наиболее прост и удобен в настройке, но потенциально уязвим, в сравнении с другими типами VPN. Тем не менее лучше использовать его, чем не применять VPN вовсе.
Для опытных пользователей к этому списку можно добавить:
OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Keenetic для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.
Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.
Для объединения сетей и организации Site-to-Site VPN используйте:
- IPSec, L2TP over IP (L2TP/IPSec), WireGuard
Для решения специализированных задач по объединению сетей:
IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIP, GRE, EoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIP, GRE, EoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.
Дополнительную информацию, по настройке разных типов VPN в интернет-центрах Keenetic, вы найдете в инструкциях:
VPN на все случаи жизни
Для чего нужен VPN-клиент? Ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в интернет. До сих пор еще встречаются и провайдеры, дающие интернет именно по технологии VPN.
С точки зрения совместимости, вы можете подключаться по PPTP, OpenVPN, L2TP/IPsec с любого интернет-центра Keenetic. Иметь такой универсальный VPN-клиент особенно полезно, если при соединении сетей (например, чтобы получить доступ из городского дома к дачному) на одной стороне (обычно на даче) нет белого IP-адреса.
Помимо VPN-клиента, любая, даже самая младшая модель Keenetic имеет в арсенале аналогичные VPN-серверы: PPTP, OpenVPN, L2TP/IPsec.
Если вы не знаете, какой тип VPN выбрать, возьмите на карандаш, что во многих моделях Keenetic передача данных по IPSec (в том числе L2TP over IPsec) ускоряется аппаратно. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. PPTP наиболее прост и удобен, но потенциально уязвим. OpenVPN очень популярен в определенных кругах, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPsec.
Если провайдер выдает вам белый IP-адрес, рекомендуем обратить внимание на две опции: так называемый виртуальный сервер IPSec (Xauth PSK) и сервер L2TP over IPSec. Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Если вы вдалеке от дома, в незнакомом или подозрительно месте используете открытую сеть Wi-Fi, ваши данные могут быть перехвачены. Чтобы не волноваться об этом, включите обязательное туннелирование вашего интернет-трафика через домашнюю сеть. Для вас это будет совершенно бесплатно и не опаснее, чем если бы вы выходили в интернет из дома.
Как Настроить VPN Сервер на роутере Zyxel Keenetic?
Приветствую читателей блога, а конкретнее тех, кто является владельцем роутера Zyxel Keenetic — ведь сегодня я мы будем создавать подключение по VPN к устройству именно этого производителя. После настройки данной функции у пользователя появляется возможность соединяться с локальной сетью, настроенной дома или в офисе, удаленно через интернет, не имея при этом прямой связи по WiFi с данным маршрутизатором. Например, забыли дома какой-то важный файл, который был на сетевом накопителе, подключенном к роутеру — тут же зашли на него по VPN и получили нужные данные — удобно!
Настройка VPN на маршрутизаторе Zyxel Keenetic
Для того, чтобы создать VPN сервер на роутере Zyxel Keenetic, необходимо предварительно установить данный компонент в прошивку. По умолчанию его нет среди базового набора.
После перезагрузки в настройках Zyxel Keenetic появится новый раздел — VPN сервер, который расположен в меню «Приложения».
Здесь ставим галку на «Включить» и на «Одно подключение на одного пользователя».
Для доступа к локальной сети выбираем в следующем пункте «Home Network»
- Начальный адрес пула — IP, с которого по порядку начнется выдача адресов подключающимся клиентам. Здесь не должно быть совпадений с назначенными вручную статическими IP внутри локальной сети.
- Размер пула — сколько именно адресов будет выдано для VPN сервера, а если по-русски, то сколько клиентов смогут к нему подключиться одновременно.
- Жмем на кнопку «Применить»
Создание соединения по VPN на новых роутерах Keenetic
В моделях новой линейки маршрутизаторов Keentic уже предустановлен в заводской прошивке. Тут все выглядит немного по-другому, хотя суть остается прежней. Раздел с VPN находится в пункте меню «Интернет — Другие подключения».
Показать результатыПроголосовало: 23388
Для добавления нового соединения жмем на кнопку «Добавить подключение» и вводим необходимые данные:
- Имя подключения
- Протокол
- Адрес сервера
- Имя пользователя
- Пароль
В дополнительных параметрах также можно при необходимости задать расписание работы, выбрать тип подключения и прописать DNS сервера.
Для выхода в интернет через этот VPN туннель, ставим галочку в соответствующей графе.
После создания vpn активируем его переключателем — и можно пользоваться!
После этого настраиваем на компьютере или смартфоне вручную подключение к VPN серверу на роутере Zyxel Keenetic.
Спасибо!Не помоглоЦены в интернете
Александр
Выпускник образовательного центра при МГТУ им. Баумана по специальностям «Сетевые операционные системы Wi-Fi», «Техническое обслуживание компьютеров», «IP-видеонаблюдение». Автор видеокурса «Все секреты Wi-Fi»
Задать вопрос
Настройка и использование PPTP VPN сервера на Zyxel Keenetic Giga II. Реализация PPTP-сервера на устройстве серии Keenetic с микропрограммой NDMS V2
Возьмем за исходные данные следующее состояние роутера:
Используя эти исходные данные мы можем обеспечить прямой доступ из интернета к роутеру и его сервисам. Например на нашем роутере всегда запущен демонстационный ftp сервер — ftp://guest:[email protected] — заходите и проверьте . Также можно обеспечить доступ к любому устройству в локальной сети роутера через настройку проброса портов на роутере, например к IP камере, сетевому хранилищу, серверу баз данных и т.д.
Многие предприятия и частные лица предпочитают обеспечивать своим устройствам, сервисам и данным локальной сети максимальный уровень безопасности, а для именно для этого и предназначена технология виртуальной частной сети VPN — создание защищенной локальной сети поверх общедоступной сети интернет. Все устройства, сервисы и данные локальной сети будут недоступны напрямую из интернета и только установив vpn соединение с vpn сервером на роутере можно получить полноценный доступ из интернета к локальной сети роутера.
По сравнению с прямым доступом из интернета к ресурсам локальной сети по выделенному IP , появляется одно дополнительное необходимое условие — установление впн соединения с роутером на удаленном клиенте, но при этом безопасность доступа к ресурсам локальной сети — максимальна.
На этой странице ниже есть детальное описание настройки vpn сервера на роутере и клиента на windows для установки pptp vpn соединения с роутером с сайта производителя.
После всех настроек мы получили PPTP VPN сервер, имеющий следующие параметры доступа :
Адрес PPTP VPN сервера : russianproxy-zyxel.ddns.net
Имя пользователя : vpn
Пароль : *******
Теперь проверим получившуюся VPN сеть с ноутбука подключенного к интернету через точку доступа на смартфоне :
Установив vpn соединение с vpn сервером на роутере получаем следующую картину:
Теперь работая через впн соединение с роутером, мы можем выходить в интернет через выделенный IP адрес роутера, что видно по сайту internet.yandex.ru на картинке ниже. Также нам доступен, для примера, спутниковый ресивер по его IP адресу в локальной сети 192.168.0.10.
Все вышесказанное подтверждает то, что имея всего лишь ноутбук с установленным на нём впн соединением с роутером, Вы сможете работать точно также, как если бы Вы находились на своём рабочем месте или дома. Вы ни чего не забудите ни дома, ни на работе, так как всегда можете виртуально оказаться и дома, и на рабочем месте. И вообще там, где Вам нужно.
Ниже Вы можете ознакомиться со статьей с сайта производителя роутера http://zyxel.ru/kb/3984 :
Вопрос:
Возможно ли реализовать сервер VPN PPTP на устройстве серии Keenetic с микропрограммой NDMS V2?Ответ:
Внимание! Статья актуальна для интернет-центров Keenetic II, Keenetic Giga II, Keenetic DSL, Keenetic VOX и Keenetic Ultra!
Начиная с микропрограммы NDMS V2.05.В.9 в PPTP-сервере интернет-центра по умолчанию протокол MPPE работает с ключом 40 бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана. В ОС Windows Vista/7/8 по умолчанию протокол MPPE использует для PPTP-подключений 128-битный ключ. Дополнительную информацию, о подключении к PPTP-серверу интернет-центра серии Keenetic (с микропрограммой NDMS V2.05.В.9 и выше) из Windows, вы найдете в статье: БЗ-4605
Начиная с микропрограммы NDMS версии V2.04.B2 для установки доступен компонент микропрограммы Сервер PPTP.
К встроенному серверу VPN PPTP можно подключить до 10 клиентов одновременно.1. Перед началом настройки необходимо зайти в веб-интерфейс в меню Система > Компоненты и установить компонент микропрограммы Сервер PPTP.
О том, как выполнить обновление компонентов микропрограммы NDMS V2 для интернет-центров серии Keenetic, можно прочитать в статье: БЗ-2681
2. После установки нужного компонента в разделе Приложения появится вкладка Сервер VPN.
При настройке Сервера VPN нужно указать интерфейс интернет-центра Keenetic, к которому будет организован доступ, и пул IP-адресов, которые будут выдаваться PPTP-клиентам.
Например, разрешим удаленным PPTP-клиентам доступ к основной локальной сети:
Внимание! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами интерфейсов Keenetic, статическими IP-адресами подключенных устройств и используемыми на интерфейсах DHCP-пулами. При пересечении пулов адресов PPTP-сервера и, например, подсети Home клиент локальной сети может получить адрес, уже занятый в сети PPTP. Это приведет к ситуации, когда локальный хост не будет иметь доступа ни к Интернету (включая ping), ни к управлению интернет-центром Keenetic. При этом использовать одну и ту же подсеть IP-адресов не запрещено, если диапазоны IP-адресов PPTP-клиентов и клиентов локальной сети не будут пересекаться (например, указание диапазона 192.168.1.10-192.168.1.20 для PPTP-сервера и 192.168.1.33-192.168.1.52 для Home при использовании маски 24 бита вполне допустимо).
3.Для подключения к PPTP-серверу используются учетныe записи Keenetic. При настройке пользователя нужно разрешить ему доступ к VPN. Таким образом, учетная запись получает возможность подключаться к встроенному PPTP-серверу. Щелкните мышкой по учетной записи пользователя.
Откроется окно Настройка пользователя VPN. Установите галочку в поле Разрешить доступ к VPN и нажмите кнопку Применить.
О настройках учетных записей пользователей в интернет-центре серии Keenetic с микропрограммой NDMS V2 можно прочитать в статье: БЗ-2353
Дополнительные функции PPTP-сервера в устройстве Keenetic:
1. C одним логином и паролем можно подключить несколько клиентов (мультлогин), но общее число подключений при этом не может превышать 10. Подробную информацию можно найти в статье: БЗ-4162 2. Возможность указать статический IP-адрес для PPTP-клиента. Подробная информация представлена в статье: БЗ-4164 3, Отключение обязательного шифрования MPPE. Для этого в интерфейсе командной строки нужно выполнить команду vpn-server mppe-optional (обратная команда no vpn-server mppe-optional). 4. Включение и отключение трансляции пакетов (NAT), исходящих от PPTP-клиентов в адрес интерфейса VPN-сервера. Эта функция используется для предоставления доступа в Интернет PPTP-клиентам. Данную возможность можно настроить через веб-конфигуратор устройства или через интерфейс командной строки (CLI). В веб-конфигураторе в меню Приложения > Сервер VPN установите галочку в поле Транслировать адреса клиентов (NAT) для включения NAT. В интерфейсе командной строки нужно выполнить команду ip nat vpn (обратная команда no ip nat vpn). Подробное описано можно найти в статье: БЗ-4187
Ниже представлены ссылки на полезные статьи по настройке встроенного VPN-сервера PPTP интернет-центра серии Keenetic:
- Подключение к VPN-серверу для доступа к локальной сети за Keenetic (VPN-сервер) и для доступа в Интернет через интернет-соединение на Keenetic: БЗ-4187
- Подключение к VPN-серверу для доступа к удаленной сети за Keeneitc (VPN-сервер) с доступом в Интернет через локальное интернет-соединение на VPN-клиенте: БЗ-4185
Вопрос:
Как настроить подключение к VPN-серверу интернет-центра серии Keenetic для доступа к удаленной локальной сети и для получения доступа в Интернет через VPN-соединение?Ответ:
Внимание! Данную реализацию можно использовать как частный случай обычной организации VPN-подключений, описанный в статье БЗ-4185.При настройке, приведенной в этой статье, увеличится нагрузка на сам VPN-канал и на интернет-канал, к которому подключен интернет-центр Keenetic с VPN-сервером!
Начиная с микропрограммы NDMS V2.05.В.9 в PPTP-сервере интернет-центра по умолчанию протокол MPPE работает с ключом 40 бит, что вызвано изменениями в законодательстве, действующем на территории Таможенного союза России, Белоруссии и Казахстана. В ОС Windows Vista/7/8 по умолчанию протокол MPPE использует для PPTP-подключений 128-битный ключ. Дополнительную информацию, о подключении к PPTP-серверу интернет-центра серии Keenetic (с микропрограммой NDMS V2.05.В.9 и выше) из Windows, вы найдете в статье: БЗ-4605
Для начала выполните настройку VPN-сервера PPTP на интернет-центре серии Keenetic. Инструкция представлена в статье: БЗ-3984
Затем можно перейти к настройке подключения VPN-клиента к VPN-серверу интернет-центра.
Для подключения к VPN-серверу с удаленного клиента (например, с клиента ОС Windows) необходимо настроить подключение в меню Центр управления сетями и общим доступом > Настройка нового подключения или сети > Подключение к рабочему месту, отметить галочкой пункт Нет, создать новое подключение и далее выбрать Использовать мое подключение к Интернету (VPN).
В настройках подключения нужно указать внешний «белый» IP-адрес интернет-центра Keenetic (при подключении из Интернета) или локальный IP-адрес (при подключении из локальной сети).
После этого необходимо указать параметры учетной записи для подключения к PPTP-серверу:
После создания VPN-подключения для сокращения времени подключения к серверу можно зайти в меню Центр управления сетями и общим доступом > Изменения параметров адаптера, найти созданное подключение, щелкнуть по нему правой кнопкой мыши, зайти в Свойства > Безопасность > Тип VPN и принудительно установить Туннельный протокол точка-точка (PPTP). Без этой настройки ОС Windows будет последовательно перебирать все возможные варианты VPN-соединений, пока не подключится по протоколу PPTP.
После этих настроек можно производить VPN-подключение. Клиент подключится и получит IP-адрес из указанного пула IP-адресов:
Чтобы трафик маршрутизировался в VPN-туннель от PPTP-клиента в удаленную подсеть за PPTP-сервером и в сеть Интернет, нужно в настройках PPTP-подключения обязательно установить галочку в поле Использовать основной шлюз в локальной сети (по умолчанию эта галочка установлена). Щелкните правой кнопкой мыши на созданном PPTP-подключении Keenetic_ PPTP, затем нажмите Свойства > Сеть > Протокол интернет версии 4 (TCP\IPv4) > Свойства > Дополнительно
При этом маршрут в удаленную сеть за PPTP-сервером придет автоматически, и сеть за VPN-сервером будет доступна без необходимости ручного добавления статического маршрута.
Для того чтобы получать Интернет от PPTP-сервера при подключении, нужно в веб-конфигураторе интернет-центра в меню Приложения > Сервер VPN установить галочку в поле Транслировать адреса клиентов (NAT) для включения NAT (или через интерфейс командной строки выполнить команду ip nat vpn).Внимание! По умолчанию для подключения на PPTP-клиенте должны быть включены шифрование MPPE128 и протокол CCP. Клиент Windows 7/8 самостоятельно может подобрать параметры, поэтому настраивать вручную его не обязательно. Но для других клиентов, например другого интернет-центра Keenetic как для PPTP-клиента, нужно явно включить шифрованиe данных MPPE и CCP (БЗ-2332), иначе клиент не сможет подключиться. Для отключения обязательного использования шифрования при подключении к PPTP-серверу в интерфейсе командной строки нужно выполнить команду vpn-server mppe-optional (обратная команда no vpn-server mppe-optional).
Посмотреть статистику VPN-сервера можно через веб-интерфейс в меню Системный монитор > VPN-сервер.
Ключевые слова
gre, ndm, pptp, vpn, туннель
Настройка VPN Zyxel Keenetic: пошаговая инструкция
Во многих организациях сотрудникам в целях экономии бюджета обеспечивается удаленный доступ к рабочим местам. Для этого необходимо использовать защищенный канал связи, основанный на технологии Virtual Private Net, или VPN. Рассмотрим подробнее, как корректно произвести настройку VPN на Zyxel Keenetic.
Подготовка роутера
Прежде чем создавать VPN-сервер на сетевых устройствах Zyxel Keenetic, необходимо провести первоначальную настройку оборудования.
Подключаем девайс к сети электропитания. «Патч-корд» одним разъемом вставляем в роутер, а вторым – в сетевой адаптер на компьютере, с которого будет производиться настройка. Кабель, проведенный провайдером, подключается к специальному разъему WAN на сетевых устройствах Zyxel. Схематически должна получиться такая картина:
На следующем этапе открываем браузер и настраиваем соединение с интернетом. Подробные инструкции о том, как настроить доступ к «мировой паутине» на разных моделях роутеров, представлены на нашем сайте. Здесь мы рассмотрим, как настроить VPN на Zyxel всех моделей Keenetic.
После того как доступ к интернету получен, проверяем наличие актуальной версии прошивки для операционной системы. При необходимости производим обновление внутреннего ПО до последней версии, так как только роутеры Zyxel серии Keenetic с микропрограммой NDMS V2.04.B2 и выше поддерживают функцию VPN.
Второй важный пункт: оборудование должно иметь «белый» IP-адрес в «глобальной сети». Это необходимо для того, чтобы при активации удаленного подключения клиент мог однозначно идентифицировать свой VPN Server Keenetic на разных моделях Zyxel. Получают его у провайдера за дополнительную ежемесячную оплату.
Настройка VPN-подключения
Если все вышеуказанные условия соблюдены, переходим к настройке VPN на маршрутизаторе Zyxel Keenetic.
- Заходим через главное меню в раздел «Система», далее — «Компоненты». Отмечаем, что требуется активация опции «VPN-сервер»:
- В зависимости от модели Zyxel потребуется перезагрузка для применения внесенных изменений. После этого на вкладке «Приложения» появится новая панель «Сервер VPN»:
- Далее заходим в нее, выставляем следующие параметры:
- Активируем VPN-сервер на Zyxel Keenetic, отмечаем, чтобы на каждого пользователя создавался новый канал связи для повышения надежности передачи данных.
- Подключение происходит с шифрованием, это поднимает уровень безопасности канала связи. Поэтому используется протокол MPPE. Соответственно, пропускаем третий пункт.
- Поле «Транслировать адреса клиентов (NAT)» активируем, чтобы пользователи подключались через внешнюю сеть.
- В следующем подразделе – «Доступ к сети» – указывается наименование канала связи, по которому будет производиться выход в интернет. Как пример указана домашняя сеть клиента. Через нее будет осуществляться PPTP-подключение.
- Следующие два пункта отвечают за перечень IP-адресов, предоставляемые ВПН-сервером для вновь подключившихся. Количество участников зависит от модели роутера: например, Zyxel Keenetic GIGA разрешает максимум 10 соединений.
- В первом пункте выбираем начальное значение пула IP-адресов, а во втором указываем максимально возможное количество. Таким образом, на роутере зарезервируется десять адресов, которые будут выдаваться PPTP-клиентам.
- Список IP-адресов для VPN не должен совпадать с пулом адресов DHCP-сервера сетевого устройства. Например, Zyxel раздает IP-адреса в диапазоне 192.168.0.10 – 192.168.0.100. Соответственно, для VPN рекомендуется задать пул, начиная с 192.168.0.150.
- После внесения всех изменений нажимаем кнопку «Применить», переходим к следующему разделу – «Конфигурации учетных записей пользователей», находящихся ниже параметров VPN:
- Нажимаем левой кнопкой мыши на имени Admin.
- Выбираем пункт «Разрешить доступ к VPN». Применяем изменения:
- Добавить клиентов к перечню разрешенных через меню «Система», раздел «Пользователи»:
- Указываем имя, придумываем пароль и выставляем права доступа:
- В нашем случае надо обязательно отметить пункт «VPN-сервер». Далее нажимаем «Сохранить».
На этом настройка роутера Zyxel Keenetic завершена, разрешено устанавливать VPN-связь.
Приоритеты подключений
Начиная с версии 2.0, встроенное ПО роутеров компании Zyxel поддерживает функцию распределения приоритетов. По сравнению с первой версией присутствует возможность комбинирования соединений разными способами.
Созданные каналы используют либо физические порты сетевого устройства, либо виртуальные интерфейсы. Каждому каналу связи, создаваемому на оборудовании, присваивается приоритет. Его значение редактируется вручную либо остается без изменений:
На скриншоте наивысший приоритет отдан интерфейсу ISP. Это стандартная настройка для доступа к интернету по сетевому кабелю.
Следующим идет Yota: подключение по беспроводному каналу связи. Если первый вариант перестанет работать, роутер автоматически перейдет на указанный режим. Таким образом настраиваются резервные каналы связи и VPN-соединения.
VPN-туннель IPSec
Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:
Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:
ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:
- Активируем сам протокол шифрования.
- Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
- Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
- Тип протокола оставляем, как есть.
- В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
- Прописываем имя «юзера» и пароль для него.
- Секретный ключ придумываем самостоятельно. Например, Test.
- Метод проверки подлинности оставляем, как показано на скриншоте.
- Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
- Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
- Отмечаем галочкой последний пункт.
Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.
Несколько слов про OpenVPN
Протоколы, используемые на сетевых оборудованиях Zyxel, осуществляют две функции:
- PPTP и L2TP – VPN-доступ к серверам провайдера.
- IPSec и OpenVPN – помогают конфигурировать отдельные серверы для создания защищенных каналов связи под личные «нужды».
Про первый вариант было рассказано выше, здесь остановимся на втором. Способ является дополнительной опцией, доступен не на всех моделях Zyxel. Компонент был добавлен в ОС роутеров, начиная с версии NDMS v2.10.B0. Чтобы проверить его совместимость с моделью роутеров Zyxel, заходим в раздел «Компоненты» и смотрим по наличию. Также пользуемся информацией на официальном сайте вендора.
OpenVPN часто применяют как альтернативное подключение к «мировой паутине». Пользователь проверяет, установлен ли он в ОС роутера.
Далее скачиваем с сайта https://www.vpngate.net/en/ конфигурацию сервера OpenVPN, загружаем ее в сетевое устройство. После этого сохраняем, а затем перезапускаем Zyxel.
Более подробно о настройке OpenVPN будет рассказано в отдельной публикации.
Подгорнов Илья ВладимировичВсё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.Как настроить VPN-сервер на роутере Zyxel Keenetic
Защита информации в 21 веке стоит наиболее остро, ведь хищение данных может осуществляться совершенно незаметно для пользователя компьютера. Чтобы предотвратить утечку, достаточно правильно настроить цифровое оборудование, в том числе устройства, предназначенные для подключения к сети Интернет. В этой статье пойдет речь о настройке на роутере Keenetic надежного VPN-сервера.
Для чего может понадобиться настройка VPN на роутере
Наиболее часто выполнять операцию по настройке VPN возникает необходимость, когда требуется настроить защищенную сеть для работы сотрудников фирмы из дома. Таким образом, каждый работник, вне зависимости от способа подключения к интернету и своего местонахождения, получает возможность получить доступ к защищенной информации.
Организация защищенной сети передачи данных может понадобиться не только крупным корпорациям. Каждый человек, который заботиться о сохранности данных, может использовать такой способ подключения к сети интернет. В этом случае, он получит возможность работать в защищенной домашней сети даже с мобильного устройства.
Первоначальная настройка роутера
Подготовительный этап является обязательной составляющей при организации защищенной сети с использованием роутера Keenetic. Для установки первоначальных настроек необходимо вначале подключить роутер к сети питания. Затем, используя патч-корд, осуществляется соединение роутера с компьютером. Кабель поставщика услуг связи необходимо подключить к разъему WAN роутера.
На следующем этапе рекомендуется обновить микропрограмму сетевого устройства. Настройка VPN-сервера PPTP роутера Keenetic возможна только на приборах с программой NDMS V 2.04.B2.
Перед настройкой защищенной сети следует также определить тип IP-адреса, предоставляемого оператором интернета. Для использования VPN на оборудовании Keenetic потребуется приобрести у провайдера статический айпи.
Установка VPN-подключения
После подключения и настройки роутера можно приступить к организации на устройстве ZyXEL VPN-сервера. Эту процедуру рекомендуется выполнять в такой последовательности:
- Открыть настройки роутера на компьютере.
- Отметить необходимость активации опции VPN-сервера.
- После перехода по соответствующей вкладке, необходимо указать параметры как на рисунке ниже.На картинке размер пула адресов ограничен десятью, но в зависимости от модели этот параметр может изменяться в широких пределах.
- Когда все необходимые настройки будут внесены, их следует обязательно сохранить. Для этой цели необходимо нажать кнопку «Применить».
На этом внесение необходимых изменений в настройку PPTP-сервера роутера Keenetic можно считать завершенным. Но для правильной работы оборудования потребуется также отредактировать учетные данные пользователей, которые смогут подключаться к защищенной сети.
Настройка учетных записей пользователей
Для того чтобы отредактировать учетные записи пользователей, необходимо также зайти в настройки роутера Keenetic и осуществить следующие действия:
Перейти в раздел «Конфигурации учетных записей пользователей», после чего левой кнопкой мыши нажать на «admin».
В открывшемся окне разрешить доступ к VPN и нажать кнопку «Применить».
Во вкладке «Пользователи» необходимо добавить клиентов сети, нажав на кнопку «Добавить пользователя».
В открывшейся вкладке необходимо указать имя нового пользователя, надежный пароль и права доступа.
Сохранить изменения, нажав на соответствующую кнопку.
После проведения вышеописанных операций оборудование с внесенными в разрешенный список клиентами может быть использовано для организации сети.
Распределение приоритетов
Если программное обеспечение роутера Keenetic обновлено до версии 2.0, то каждому владельцу маршрутизатора этого типа доступна опция распределения приоритета. В обновленном ПО можно создавать каналы, которые будут использовать физические либо виртуальные порты. Вне зависимости от способа организации сети каждому такому каналу можно присваивать тот или иной приоритет.
Эта функция позволяет сделать более стабильным процесс подключения к интернету. Например, в качестве основного способа подключения к сети Интернет можно выбрать кабельного провайдера, но в случае наличия нестабильной связи будет задействован резервный способ, например, беспроводной 4G.
VPN-туннель IPsec
Стандарт VPN-соединения IPSec является одним из самых безопасных. Высокий уровень надежности обеспечивается за счет протоколов, которые добавляют заголовки к IP-пакету (инкапсуляции). Кроме того, такой способ подключения позволяет получить:
- Симметричные алгоритмы.
- Криптографический способ проверки целостности данных.
- Возможность идентификации узла.
Многие модели роутеров Keenetic позволяют создавать VPN-туннели этого типа. Например, новые устройства Keenetic GIGA не только обладают высоким уровнем защиты передаваемых данных, но и обеспечивают скорость до 400 Мб/с. Для первого поколения устройств функция VPN недоступна.
Если ранее передача данных не осуществлялась таким образом, то следует настроить роутер. Для этой цели потребуется выполнить обновление управляющей программы. Чтобы загрузить необходимую опцию, следует обязательно выбрать в настройках загрузки новых функций IPsec.
После успешного обновления ПО оборудование должно автоматически перезагрузиться. Если этого не произошло, то необходимо отключить и снова включить роутер, после чего зайти в настройки оборудования. Для создания VPN-туннеля потребуется перейти в раздел «Интернет» и создать новое соединение с настройками, как показано на рисунке ниже.
Описание соединения может быть любым, этот параметр необходим для идентификации соединения. При указании пароля и секретного ключа следует ввести последовательность символов без ошибок, иначе новый канал связи невозможно будет активировать. Если соединение будет использоваться для выхода в интернет, то следует не забыть отметить галочкой этот пункт при настройке соединения.
Как правило, во всех устройствах, поддерживающих возможность создания VPN-туннеля IPsec, адрес сервера и DNS-адрес формируются в автоматическом режиме.
После создания подключения его можно будет выбрать в соответствующем списке управляющей программы роутера.
Советы и рекомендации
В процессе настройки и использования маршрутизации VPN на роутерах Keenetic не лишним будет знать о некоторых нюансах, например:
- Для проверки наличия пользователя в ОС роутера можно использовать альтернативный доступ в интернет Open VPN.
- Следует не забывать о том, что максимальное количество соединений на оборудовании этого типа не должно превышать 10.
- Секретные данные для входа в сеть (логин и пароль) не следует сохранять на компьютере или мобильном устройстве.
Заключение
Благодаря возможности установки VPN-сети с помощью Keenetic можно осуществлять безопасный вход в домашнюю или рабочую сеть, используя любые подходящие для этой цели устройства. Если настройка оборудования была выполнена правильно, то можно не сомневаться в надежности защиты и бесперебойности работы устройства.
Видео по теме
OpenVPN клиент — Keenetic
OpenVPN — один из самых популярных протоколов для VPN-подключений. Его можно использовать для создания виртуальной частной сети или для соединения локальных сетей. OpenVPN имеет открытый исходный код и распространяется бесплатно по лицензии GNU GPL. Он обеспечивает более высокую скорость соединения, чем другие протоколы VPN. Также OpenVPN можно назвать одним из самых безопасных протоколов. Все передаваемые данные надежно защищены библиотекой шифрования OpenSSL и протоколами SSLv3 / TLSv1, что обеспечивает высокую безопасность и анонимность.
Поддержка клиентовOpenVPN интегрирована в роутеры Keenetic. Для настройки OpenVPN-соединения необходимо установить системный компонент «OpenVPN client». Интернет-центр Keenetic может использоваться как клиент, так и как сервер OpenVPN с этим компонентом. Подробное описание режима сервера можно найти в статье «Сервер OpenVPN». Вы можете установить системный компонент на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».
ПРИМЕЧАНИЕ: Важно! Маршрутизаторы Keenetic используют строгие требования к конфигурации OpenVPN. Ниже приведены некоторые основные требования:
— Конфигурация должна быть в одном файле.
— Сертификаты, ключи и т. Д. Должны быть включены в этот файл.
— Файлы конфигурации с расширением .ovpn обычно совместимы.
— Если интернет-провайдер предлагает файлы для разных маршрутизаторов или систем, в большинстве случаев вы можете использовать файл для OpenWRT.
— В конфигурации следует использовать только параметры, перечисленные в документе: https: // community.openvpn.net/openvpn/wiki/Openvpn24ManPage
— В конфигурации не должно быть директив или неизвестных команд, которые не могут быть обработаны.
Некоторые из описанных выше параметров могут не поддерживаться. Например, наша реализация OpenVPN не поддерживает параметры, связанные с IPv6.
— Порядок опций, включенные сертификаты и ключи не имеют значения.
— Файл конфигурации OpenVPN не сохраняется в файле конфигурации начальной конфигурации. Чтобы получить резервную копию настроек клиентского интерфейса OpenVPN, необходимо сохранить ее отдельно.
Важно! Количество клиентских подключений ограничено размером выделенного раздела служебной памяти в 24 Кбайта для хранения конфигураций VPN. Это особенно важно для соединений OpenVPN, поскольку общий размер их конфигураций не должен превышать 24 Кбайт.
ПровайдерыVPN могут предложить различные варианты конфигураций OpenVPN. Ниже мы рассмотрим некоторые из них.
Вариант 1. Загрузите файл конфигурации с сайта сервера OpenVPN, к которому вы планируете подключиться.
Например, на сайте www.vpngate.net выберите сервер и щелкните «Файл конфигурации OpenVPN».
Затем выберите одну из конфигураций этого сервера, например, с доменным именем DDNS и TCP 1781.
На ваш компьютер будет загружен файл конфигурации с расширением .ovpn. Откройте его в любом текстовом редакторе (например, в Блокноте) и скопируйте все содержимое в буфер обмена, нажав Ctrl-A, а затем Ctrl-C на клавиатуре.
После этого перейдите на страницу «Другие подключения» и нажмите «Создать подключение» в разделе «VPN-подключения».В окне «Настройки VPN-подключения» выберите «OpenVPN» в поле «Тип (протокол)».
Затем введите имя подключения в поле «Имя подключения» и в поле «Конфигурация OpenVPN» вставьте скопированную конфигурацию из буфера обмена, нажав Ctrl-V. Сохраните настройки.
Чтобы настроить график работы или определить интерфейс, через который будет работать соединение, нажмите «Показать дополнительные настройки».
После установления соединения переведите переключатель в положение «Вкл.».
Статус подключения также будет отображаться на этой странице.
СОВЕТ: Совет: Если вы хотите использовать это соединение для доступа в Интернет, назначьте ему наивысший приоритет. Информацию о приоритетах вы найдете в статье «Приоритеты подключения».
Вариант 2. На некоторых сайтах с настройками OpenVPN помимо файла конфигурации указывается логин и пароль. Например, на vpnbook.com.
В этом случае перед копированием содержимого из конфигурационного файла в буфер обмена необходимо удалить строку:
CLI: auth-user-pass
и добавьте раздел, введя необходимые значения логина и пароля.Например:
CLI:
vpnbook
r3d23xs
Вариант 3. Другие интернет-провайдеры, такие как altvpn.com, предоставляют сертификаты и ключи в виде отдельных файлов. В этом случае вам необходимо:
3.1 Закомментируйте строки с именами файлов сертификатов и ключей символом #:
. CLI: #ca ca.crt
#cert xxxxxxxxxxxx.crt
#key xxxxxxxxxxxx.crt
3.2 В конце файла конфигурации добавьте разделы сертификата и ключа и вставьте содержимое соответствующих файлов:
CLI:
—— НАЧАТЬ СЕРТИФИКАТ ——
… <- вставьте сюда тело сертификата из файла ca.crt
—— КОНЕЦ СЕРТИФИКАТА ——
—— НАЧАТЬ СЕРТИФИКАТ— —
… <- вставьте сюда тело сертификата из файла xxxx.crt
—— КОНЕЦ СЕРТИФИКАТА ——
—- -BEGIN RSA PRIVATE KEY ——
… <- вставьте сюда тело ключа из файла xxxx.key
—— END RSA PRIVATE KEY ——
Вариант 4.Провайдер privateinternetaccess.com имеет в своей конфигурации файлы ca.rsa.2048.crt и crl.rsa.2048.pem, содержимое которых должно быть вставлено между разделами
Файл конфигурации OpenVPN будет выглядеть так:
CLI: клиент
dev tun
proto udp
remote sweden.privateinternetaccess.com 1198
resolv-retry infinite
nobind
persist-key
persist-tun
cipher aes-128-cbc
auth sha1
tls-client
remote- cert-tls server
xxxxxx <- введите здесь свой логин
xxxxxx <- введите здесь свой пароль
comp-lzo
verb 1
reneg- сек 0
disable-occ
—— НАЧАТЬ X509 CRL ——
… <- вставьте сюда тело ключа из файла crl.rsa.2048.pem
—— END X509 CRL ——
— —BEGIN CERTIFICATE ——
… <- вставьте сюда тело сертификата из файла ca.rsa.2048.crt
—— END CERTIFICATE ——
< / ca>
СОВЕТ: Типичные ошибки и решения:
1. auth-user-pass без встроенных учетных данных не поддерживается
Файл конфигурации содержит строку для онлайн-ввода логина / пароля, которую Keenetic не поддерживает.Ошибка в файле журнала Keenetic:
OpenVPN0 auth-user-pass без встроенных учетных данных не поддерживается
OpenVPN0 Выход из-за фатальной ошибки
Удалите или закомментируйте все строки этого типа:
auth -user-pass
2. Ошибка параметра block-outside-dns
Параметр block-outside-dns настроен на сервере OpenVPN, который правильно обрабатывается только в Windows. Ошибка в файле журнала Keenetic:
OpenVPN0 Нераспознанная опция или отсутствующие или дополнительные параметры в конфигурации: (строка X): block-outside-dns (2.4.4)
OpenVPN0 Выход из-за фатальной ошибки
Добавьте строку в файл конфигурации клиента OpenVPN:
pull-filter ignore «block-outside-dns»
3. Ошибка при подключении к серверам PrivateTunnel
При попытке подключения отображается ошибка:
OpenVPN0 Нераспознанная опция или отсутствующие или дополнительные параметры в конфигурации: (строка 3): client-ip (2.4.4)
Добавить строку в OpenVPN файл конфигурации клиента:
ignore-unknown-option client-ip block-ipv6
4.При использовании параметра askpass /storage/key.txt возникает ошибка:
Ошибка: не удалось проверить пароль закрытого ключа
Это ограничение текущей реализации OpenVPN в Keenetic. Вы можете использовать ключ только без пароля или с фиксированным паролем: «пароль».
L2TP / IPSec VPN-сервер — Keenetic
В маршрутизаторах Keenetic можно настроить сервер L2TP поверх IPSec VPN (L2TP / IPSec) для доступа к ресурсам домашней сети.
В таком туннеле можно совершенно не беспокоиться о конфиденциальности IP-телефонии или потоков видеонаблюдения. L2TP / IPSec обеспечивает полностью безопасный доступ к вашей домашней сети со смартфона, планшета или компьютера с минимальной конфигурацией: Android, iOS и Windows имеют удобный встроенный клиент для этого типа VPN. Кроме того, многие модели Keenetic предлагают аппаратное ускорение передачи данных по L2TP через IPsec.
ПРИМЕЧАНИЕ: Важно! Интернет-центр Keenetic, на котором размещен сервер IPsec VPN, должен быть подключен к Интернету с глобальным (общедоступным) IP-адресом, а при использовании доменного имени KeenDNS он должен быть настроен в режиме прямого доступа.Если какое-либо из этих условий не выполняется, невозможно будет подключиться к такому серверу из Интернета.
Для настройки сервера необходимо установить системный компонент «L2TP / IPsec VPN-сервер». Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».
Затем перейдите на страницу «Приложения». Здесь вы увидите панель «L2TP / IPsec VPN-сервер». Щелкните ссылку «L2TP / IPsec VPN-сервер».
В появившемся окне «L2TP / IPsec VPN-сервер» укажите ключ безопасности в поле «Общий ключ IPsec». Этот ключ безопасности необходимо указать на клиенте при настройке VPN-соединения.
ПРИМЕЧАНИЕ: Важно! Этот ключ также используется сервером IPsec VPN (виртуальный IP).
Параметр «Множественный вход» управляет возможностью установить несколько одновременных подключений к серверу с использованием одних и тех же учетных данных.Это не рекомендуемый сценарий из-за более низкого уровня безопасности и недостатков мониторинга. Однако во время первоначальной настройки или в тех случаях, когда вы хотите разрешить установку туннеля с нескольких устройств одного и того же пользователя, вы можете оставить этот параметр включенным.
ПРИМЕЧАНИЕ: Важно! Если опция «Множественный вход» отключена, вы можете назначить статический IP-адрес клиенту L2TP / IPsec. Это можно сделать на странице конфигурации L2TP / IPsec VPN-сервера в разделе «Пользователи».
По умолчанию опция «NAT для клиентов» включена в конфигурации сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет. Во встроенном клиенте Windows эта функция включена по умолчанию, и когда туннель установлен, запросы в Интернет будут отправляться через него.
ПРИМЕЧАНИЕ: Важно! Если вы отключите функцию «NAT для клиентов» на сервере, но не переконфигурируете политику маршрутизации по умолчанию в клиенте Windows, доступ в Интернет может не работать после установки туннеля на компьютере.
В настройках сервера в поле «Доступ к сети» при необходимости можно также указать сегмент, отличный от домашнего. В этом случае сеть указанного сегмента будет доступна через туннель.
Общее количество возможных одновременных подключений зависит от настройки размера пула IP-адресов. Как и в случае с начальным IP-адресом, не рекомендуется изменять этот параметр без необходимости.
ПРИМЕЧАНИЕ: Важно! Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов маршрутизатора, так как это может привести к конфликту адресов.
В разделе «Пользователи» выберите пользователей, которым нужно разрешить доступ к серверу L2TP / IPsec и локальной сети. Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль.
После настройки сервера установите переключатель в состояние «Включен».
Нажав на ссылку «Статистика подключений», вы можете увидеть состояние подключения и дополнительную информацию об активных сеансах.
Если вы хотите предоставить клиентам доступ не только к локальной сети VPN-сервера, но и в обратном направлении, т.е.е. из сети VPN-сервера в удаленную сеть VPN-клиента для обеспечения обмена данными между двумя сторонами VPN-туннеля, см. инструкцию «Маршрутизация сетей через VPN».
TIP: Note
Для подключения к серверу в качестве клиента вы можете использовать:
Keenetic router — «Клиент L2TP / IPsec (L2TP over IPsec)»;
Компьютер и мобильное устройство Windows 10 с iOS — «Подключение к встроенному L2TP / IPSec VPN-серверу с устройства на iOS и Windows»;
Компьютер под управлением Windows 7 — «Пример подключения L2TP / IPsec в Windows 7».
типов VPN в роутерах Keenetic — Keenetic
VPN (виртуальная частная сеть) — общее название технологий, которые обеспечивают одно или несколько сетевых подключений (туннелей) через другую сеть (например, Интернет).
Есть много причин для использования виртуальных частных сетей. Наиболее распространенными из них являются безопасность и конфиденциальность данных. Конфиденциальность исходных пользовательских данных гарантируется средствами защиты данных в виртуальных частных сетях.
Известно, что сети IP (Интернет-протокол) имеют «слабое место» из-за структуры протокола. Нет никаких средств защиты передаваемых данных и нет гарантии, что отправитель является тем, кем он себя называет. Данные в IP-сети можно легко подделать или перехватить.
Мы рекомендуем использовать VPN-соединение для подключения из Интернета к домашнему серверу, файлам USB-накопителя, подключенным к маршрутизатору, DVR или рабочему столу компьютера по протоколу RDP.В этом случае вам не нужно беспокоиться о безопасности передаваемых данных, потому что VPN-соединение между клиентом и сервером обычно зашифровано.
УстройстваKeenetic поддерживают следующие типы VPN-подключений:
- PPTP / SSTP
- L2TP через IPSec (L2TP / IPSec)
- WireGuard
- ОткрытьVPN
- IPSec
- IKEv2
- GRE / IPIP / EoIP
- IPSec Xauth PSK (виртуальный IP)
С помощью маршрутизатора Keenetic ваша домашняя сеть может быть подключена через VPN к общедоступной службе VPN, офисной сети или другому устройству Keenetic, независимо от типа подключения к Интернету.
VPN-клиентов / серверов для безопасного доступа (PPTP, L2TP через IPSec, IKEv2, Wireguard, OpenVPN, SSTP), а также туннелей для сетевого взаимодействия (Site-to-Site IPSec, EoIP (Ethernet через IP), GRE, IPIP (IP over IP) реализованы во всех интернет-центрах.
В зависимости от используемых протоколов и цели, VPN может предоставлять соединения в различных сценариях: хост-хост, хост-сеть, хост-сеть, клиент-сервер, клиент-сервер, маршрутизатор-маршрутизатор, маршрутизаторы-маршрутизатор (концентратор VPN). , сеть-сеть (site-to-site).
Если вы не знаете, какой тип VPN выбрать, вам помогут приведенные ниже таблицы и рекомендации.
Тип VPN | Клиент | Сервер | Аппаратное ускорение * | Количество одновременных подключений |
PPTP | + | + | – | Клиент: до 128 Сервер: до 100/150/200 в зависимости от модели ** |
SSTP | + | + | – | |
L2TP через IPSec | + | + | + | Клиент: до 128 Сервер: без ограничений |
WireGuard | + | + | – | до 32 |
IPSec | + | + | + | без ограничений *** |
IKEv2 | + | + | + | без ограничений |
GRE / IPIP / EoIP | + | + | – | Отдо 128 |
OpenVPN | + | + | – | без ограничений |
IPSec Xauth PSK | – | + | + | без ограничений |
* — в моделях Starter, Launcher, Sprinter, Hopper, Glider, Explorer, Carrier используется только ускорение алгоритма AES, а в Skipper, Titan, Hero используется аппаратное ускорение всего протокола IPSec.
** — до 200 для Героя и Титана; до 150 для Hopper DSL и Carrier DSL; до 100 для Starter, Launcher, Sprinter, Hopper, Glider, Explorer и Carrier.
*** — до KeeneticOS 3.3 ограничение составляло 10 подключений для Hero, Titan и 5 для всех остальных моделей.
ПРИМЕЧАНИЕ: Важно! Количество клиентских подключений ограничено выделенным пространством для хранения сервисов (24 Кбайта) для конфигураций VPN. Это особенно важно для соединений OpenVPN, так как общий размер их конфигураций не должен превышать 24 Кбайт.
Тип VPN | Уровень сложности | Уровень защиты данных | Скорость ** | Ресурсоемкость | Интеграция с ОС |
PPTP | для обычных пользователей | низкий | среднее | низкий | Windows, macOS, Linux, Android, iOS (до v9.) |
SSTP | для обычных пользователей | высокая | среднее, низкое, работает через облако | среднее | Окна |
L2TP через IPSec | для обычных пользователей | высокая | высокая | высокая | Windows, macOS, Linux, Android, iOS |
WireGuard | для опытных пользователей | очень высокий | высокая | низкий | нет в наличии * |
IPSec | для профессионалов | очень высокий | высокая | высокая | Windows, macOS, Linux, Android, iOS |
IKEv2 | для обычных пользователей | высокая | высокая | высокая | Windows, macOS, Linux, iOS |
OpenVPN | для опытных пользователей | очень высокий | низкий | очень высокий | нет в наличии * |
IPSec Xauth PSK | для обычных пользователей | высокая | высокая | высокая | Android, iOS |
* — для настройки соединения вам потребуется установить дополнительное бесплатное программное обеспечение в операционных системах Windows, macOS, Linux, Android, iOS.
** — значения являются относительными, а не точными, поскольку скорость VPN-подключений зависит от моделей и нескольких факторов — типа используемых алгоритмов шифрования, количества одновременных подключений, типа подключения к Интернету, скорости и нагрузки. Интернет-канала, нагрузка на сервер и другие факторы.Рассмотрим низкую скорость до 15 Мбит / с, среднюю скорость в районе 30-40 Мбит / с и высокую скорость — более 70 Мбит / с.
Тип VPN | Преимущества | Недостатки |
PPTP | популярность, высокая совместимость с клиентами | низкий уровень защиты данных, по сравнению с другими протоколами VPN |
SSTP | возможность работы VPN-сервера с использованием частного IP-адреса для доступа в Интернет *, по протоколу HTTPS (TCP / 443) | встроенный клиент только для Windows, низкая скорость передачи данных при работе через облако |
L2TP через IPSec | безопасность, стабильность, высокая совместимость с клиентами | используются стандартные порты, что позволяет интернет-провайдеру или системному администратору блокировать трафик |
WireGuard | современные протоколы безопасности данных, низкая ресурсоемкость, высокая скорость передачи данных | не является частью современной ОС, разработка ведется экспериментально, возможна нестабильность |
IPSec | надежность, очень высокий уровень защиты данных | настройка сложна для рядовых пользователей |
IKEv2 | надежность, очень высокий уровень защиты данных, простая настройка, поддержка устройств Blackberry | не входит в состав Android (необходимо использовать дополнительное бесплатное ПО), используются стандартные порты, что позволяет интернет-провайдеру или системному администратору блокировать трафик |
OpenVPN | высокий уровень защиты данных, использование протокола HTTPS (TCP / 443) | не входит в состав современной ОС, очень ресурсоемкая, низкая скорость передачи данных |
IPSec Xauth PSK | security, входит в состав современной мобильной ОС | Отсутствие поддержки клиентов для операционных систем ПК |
* — эта функция реализована на нашем облачном сервере в виде специального программного расширения и доступна только пользователям интернет-центров.
В большинстве случаев для удаленных соединений клиент-сервер мы рекомендуем следующие протоколы:
- L2TP через IPSec (L2TP / IPSec), PPTP, IPSec Xauth PSK, SSTP
Во многих моделях Keenetic передача данных через IPSec (включая L2TP через IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства.Вам не нужно беспокоиться о конфиденциальности потоков IP-телефонии или видеонаблюдения в таком туннеле.
Если ваш интернет-провайдер предоставляет вам общедоступный IP-адрес, мы рекомендуем вам обратить внимание на IKEv2, так называемый виртуальный сервер IPSec (Xauth PSK), и сервер L2TP через IPSec. Они хороши тем, что обеспечивают безопасный доступ к вашей домашней сети со смартфона, планшета или компьютера с минимальной конфигурацией: Android, iOS и Windows имеют удобные встроенные клиенты для этих типов VPN.
Если ваш провайдер предоставляет вам только частный IP-адрес для работы в Интернете, и вы не можете получить общедоступный IP-адрес, вы все равно можете организовать удаленный доступ к своей домашней сети с помощью сервера SSTP VPN.Основным преимуществом туннеля SSTP является его способность работать через облако, то есть он позволяет устанавливать соединение между клиентом и сервером, даже если с обеих сторон есть частные IP-адреса. Для всех остальных серверов VPN требуется общедоступный IP-адрес. Обратите внимание, что эта функция реализована на нашем облачном сервере и доступна только для пользователей интернет-центра.
Что касается туннельного протокола PPTP, то он наиболее простой и удобный в настройке, но потенциально уязвим по сравнению с другими типами VPN.Однако лучше использовать его, чем вообще не использовать VPN.
А для опытных пользователей мы можем добавить эти VPN в список выше:
OpenVPN очень популярен, но чрезвычайно ресурсоемок и не имеет особых преимуществ перед IPSec. Keenetic устройства имеют такие функции, как режим TCP и UDP, аутентификацию TLS, сертификаты и ключи шифрования, чтобы повысить безопасность VPN-соединения для соединений OpenVPN.
Современный протокол WireGuard упростит и ускорит работу с VPN (в несколько раз по сравнению с OpenVPN) без увеличения мощности оборудования в устройстве.
Для объединения сетей и организации Site-to-Site VPN используйте:
- IPSec, L2TP через IP (L2TP / IPSec), WireGuard
Для решения конкретных задач межсетевого взаимодействия:
IPSec — один из самых безопасных протоколов VPN благодаря своим криптозащищенным алгоритмам шифрования. Это лучший вариант для установления соединений Site-to-Site VPN с межсетевыми соединениями. Профессионалы и опытные пользователи могут создавать туннели IPIP, GRE, EoIP как в чистом виде, так и в сочетании с туннелями IPSec, что позволит вам использовать стандарты безопасности IPSec VPN для защиты этих туннелей.Поддержка туннелей IPIP, GRE, EoIP позволяет устанавливать VPN-соединение с аппаратными шлюзами, маршрутизаторами Linux, компьютерами и серверами UNIX / Linux, а также с другим сетевым и телекоммуникационным оборудованием, поддерживающим эти туннели. Настройка туннеля этого типа доступна только в интерфейсе командной строки (CLI) маршрутизатора.
Подробнее о настройке различных типов VPN на устройствах Keenetic читайте в инструкции:
PPTP / L2TP клиент — Keenetic
Вы можете использовать PPTP (протокол туннелирования точка-точка) для подключения к общедоступной службе VPN, офисной сети или другому маршрутизатору Keenetic.PPTP также может использоваться для установления безопасного туннеля между двумя локальными сетями. Преимущество туннеля PPTP — простота настройки и доступность. PPTP обеспечивает безопасную передачу данных через Интернет со смартфона, планшета или компьютера. Протокол MPPE может использоваться для защиты данных трафика PPTP.
В Keenetic, помимо PPTP, вы также можете настроить соединение L2TP (Layer 2 Tunneling Protocol). В отличие от других протоколов VPN, L2TP не использует шифрование данных.
Далее рассмотрим пример PPTP-соединения.Таким же образом выполняется настройка L2TP-соединения.
Чтобы настроить PPTP-соединение, перейдите на страницу «Другие соединения» и нажмите «Создать соединение» в разделе «VPN-соединения». В окне «Настройки VPN-подключения» выберите «PPTP» в поле «Тип (протокол)».
Затем введите имя подключения в поле «Имя подключения», а в поле «Адрес сервера» введите доменное имя или IP-адрес PPTP-сервера. В полях «Имя пользователя» и «Пароль» укажите данные учетной записи, которой разрешен доступ к локальной сети через PPTP.
Чтобы настроить параметры IP, расписание работы или интерфейс, через который должно работать соединение, щелкните «Показать дополнительные параметры».
После установления соединения переведите переключатель в положение «Вкл.».
На этой же странице также отображается статус подключения.
Чтобы проверить соединение, получите доступ к ресурсу в удаленной сети или проверьте связь с хостом в удаленной сети (локальной сети сервера) с клиентского компьютера.
Подробнее о настройке PPTP-серверав интернет-центре Keenetic можно прочитать в статье «VPN-сервер PPTP».
СОВЕТ: Совет: Если вы хотите использовать это соединение для доступа в Интернет, дайте ему наивысший приоритет. Информацию о приоритетах вы найдете в статье «Приоритеты подключения».
IPsec VPN между узлами — Keenetic
Keenetic имеет встроенный клиент / сервер IPsec VPN. Благодаря этой функции можно объединить несколько маршрутизаторов Keenetic в одну сеть через туннель IPsec VPN с соблюдением строжайших требований безопасности.
В большинстве случаев IPsec VPN используется для безопасного подключения к офисной сети (например, из домашней сети на корпоративный сервер) или для объединения сетей (например, двух удаленных офисов). С туннелем IPsec VPN вам не нужно беспокоиться о конфиденциальности данных файлового сервера, IP-телефонии или потоках видеонаблюдения. IPsec — один из самых безопасных протоколов VPN благодаря использованию криптоустойчивых алгоритмов шифрования.
Рассмотрим пример объединения двух локальных сетей (192.168.2.x и 192.168.0.x) через IPsec VPN.
ПРИМЕЧАНИЕ: Важно! Чтобы построить туннель IPsec VPN через Интернет, по крайней мере, один из маршрутизаторов должен иметь общедоступный IP-адрес (на интерфейсе WAN). Для простоты рекомендуется использовать постоянный (статический) IP-адрес на интерфейсе WAN и использовать службу доменных имен KeenDNS для получения постоянного имени.
Адреса подключенных сетей должны принадлежать разным подсетям. Не рекомендуется использовать одно и то же адресное пространство в локальной и удаленной сети, что может привести к конфликту IP-адресов.
Для подключения IPsec VPN потребуются два маршрутизатора Keenetic. Этот тип подключения называется «соединение типа« сеть-сеть »».
Один Keenetic будет действовать как ответчик IPsec (назовем его сервером), а другой Keenetic будет действовать как инициатор соединения IPsec (назовем его клиентом).
Маршрутизатор, действующий как сервер IPsec, имеет общедоступный статический IP-адрес для подключения к Интернету. Второй Keenetc, который действует как клиент IPsec, использует частный IP-адрес.
Итак, перейдем непосредственно к настройке маршрутизаторов, чтобы установить между ними безопасный туннель IPsec VPN и соединить две сети.
На обоих маршрутизаторах должен быть установлен системный компонент IPsec VPN.
Это можно сделать, щелкнув «Параметры компонента» на странице «Общие параметры системы» в разделе «Обновления и параметры компонентов».
1. Настройка Keenetic в качестве сервера (отвечающего, ожидающего подключения IPsec).
На странице «Другие подключения» в разделе «Подключения IPsec» нажмите «Создать подключение».
Откроется окно «Настройка подключения IPsec».
В нашем случае интернет-центр будет действовать как сервер, поэтому включите опцию «Ждать подключения от удаленного узла» (в этом случае клиент будет инициатором подключения, а сервер будет ожидать подключения. ).
Параметр «Прибитый» предназначен для сохранения активного соединения и восстановления туннеля в случае разрыва (этот параметр можно включить на одном конце туннеля).
Опция «Обнаружение мертвого узла» предназначена для определения работоспособности туннеля.
В настройках «Фаза 1» в поле «Идентификатор локального шлюза» можно использовать любой идентификатор: «IP-адрес», «FQDN» (полное доменное имя), «DN» (имя домена), «электронная почта» (электронная почта). -Почта Адрес). В нашем примере мы используем идентификатор DN (доменное имя) и вводим случайное имя в пустое поле идентификатора.
ПРИМЕЧАНИЕ: Важно! Обратите внимание на идентификаторы локального и удаленного шлюза в настройках фазы 1 туннеля IPsec. Идентификаторы должны быть разными и должны быть зачеркнуты.Например, выбрав «DN» в качестве идентификатора, установите для сервера значение «DN»:
Идентификатор локального шлюза: сервер
Идентификатор удаленного шлюза: клиент
и клиент:
Идентификатор локального шлюза: клиент
Идентификатор удаленного шлюза: сервер
В случае нескольких туннелей настройки локальных и удаленных идентификаторов должны быть уникальными для каждого туннеля.
В настройках Фазы 2 в поле «IP локальной подсети» необходимо указать адрес локальной сети (в нашем примере 192.168.0.0), а в поле «IP удаленной подсети» указать адрес удаленной подсети. сеть, которая будет находиться за туннелем IPsec (в нашем примере 192.168.2.0).
ПРИМЕЧАНИЕ: Важно! На обеих сторонах туннеля IPsec VPN настройки фазы 1 и фазы 2 должны быть одинаковыми. В противном случае туннель не будет установлен.
После создания соединения IPsec установите переключатель в положение «Вкл.».
2. Настройка интернет-центра Keenetic в качестве клиента (инициатора подключения IPsec).
На странице «Другие подключения» в разделе «Подключения IPsec» нажмите «Создать подключение».
Откроется окно «Настройка подключения IPsec».В нашем случае интернет-центр действует как клиент, поэтому включите опцию «Автоподключение» (в этом случае соединение инициирует клиент).
Параметр «Прибитый» предназначен для сохранения активного соединения и восстановления туннеля в случае обрыва (этого параметра достаточно для включения на одном конце туннеля).
Опция «Обнаружение мертвого узла (DPD)» предназначена для определения работы туннеля.
В поле «Удаленный шлюз» укажите IP-адрес или доменное имя удаленного интернет-центра.
ПРИМЕЧАНИЕ: Важно! В настройках Этапа 1 поля «Идентификатор локального шлюза» и «Идентификатор удаленного шлюза» должны иметь те же идентификаторы, которые вы использовали на удаленном маршрутизаторе, но они должны быть зачеркнуты. Например, выбрав «DN» в качестве идентификатора, установите его на сервере:
Идентификатор локального шлюза: сервер
Идентификатор удаленного шлюза: клиент
и клиент:
Идентификатор локального шлюза: клиент
Идентификатор удаленного шлюза: сервер
В случае нескольких туннелей настройки локальных и удаленных идентификаторов должны быть уникальными для каждого туннеля.
В настройках Фазы 2 в поле «IP локальной подсети» необходимо указать адрес локальной сети (в нашем примере 192.168.2.0), а в поле «IP удаленной подсети» указать адрес удаленной подсети. сеть, которая будет находиться за туннелем IPsec (в нашем примере 192.168.0.0).
ПРИМЕЧАНИЕ: Важно! На обеих сторонах туннеля IPsec VPN настройки фазы 1 и фазы 2 должны быть одинаковыми. В противном случае туннель не будет установлен.
После создания соединения IPsec установите переключатель в положение «Вкл.».
3. Проверка состояния подключения IPsec.
Если параметры подключения IPsec были установлены правильно на обоих устройствах, между маршрутизаторами должен быть установлен VPN-туннель IPsec.
В разделе «Подключения IPsec» на странице «Другие подключения» отображается состояние подключения. Если туннель установлен, статус подключения будет «Подключено».
Вот пример статуса туннеля в интернет-центре (в качестве клиента):
А вот пример статуса туннеля на интернет-центре (как на сервере):
Чтобы проверить, работает ли туннель, отправьте эхо-запрос на удаленный интернет-центр или компьютер из удаленной сети за туннелем IPsec VPN.
СОВЕТ: Совет: Широковещательные пакеты (например, NetBIOS) не будут проходить через VPN-туннель, поэтому имена удаленных хостов не будут отображаться в сетевой среде (к ним можно получить доступ через IP-адрес, например, \\ 192.168. 2.27).
Если VPN-туннель IPsec был установлен, но вы можете проверить связь только с удаленным Keenetic, а не с хостами в удаленной сети, то наиболее вероятно, что брандмауэр Windows или аналогичное программное обеспечение (брандмауэр или брандмауэр) блокирует трафик ICMP ( ping) на самих хостах.
СОВЕТ: Совет: Мы рекомендуем использовать версию протокола IKE v2. Используйте IKE v1 только в том случае, если ваше устройство не поддерживает IKE v2.
Если у вас возникают перебои в подключении к VPN, попробуйте отключить на маршрутизаторе Keenetic параметры «Прибавленное соединение» и «Обнаружение мертвого узла (DPD)».
IPSec VPN-сервер (виртуальный IP) — Keenetic
В маршрутизаторах Keenetic можно подключиться к виртуальному IP-серверу IPsec с помощью аутентификации Xauth PSK для доступа к ресурсам домашней сети.Соединение IPsec обеспечивает абсолютно безопасный доступ к домашней сети со смартфона или планшета: Android и iOS имеют удобные встроенные клиенты для этого типа VPN.
ПРИМЕЧАНИЕ: Важно! Интернет-центр Keenetic, на котором размещен сервер IPsec VPN, должен быть подключен к Интернету с глобальным (общедоступным) IP-адресом, а при использовании доменного имени KeenDNS он должен быть настроен в режиме прямого доступа. Если какое-либо из этих условий не выполняется, невозможно будет подключиться к такому серверу из Интернета.
Для настройки сервера необходимо установить системный компонент «L2TP / IPsec VPN сервер». Системный компонент. Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».
Затем перейдите на страницу «Приложения». Здесь вы увидите панель «IPsec VPN-сервер». Щелкните ссылку «IPsec VPN-сервер».
В появившемся окне «Сервер IPsec VPN (виртуальный IP)» укажите ключ безопасности в поле «Общий ключ IPsec».Этот ключ безопасности необходимо будет использовать на клиенте при настройке VPN-соединения.
ПРИМЕЧАНИЕ: Важно! VPN-сервер L2TP / IPsec также использует этот ключ.
Параметр «NAT для клиентов» по умолчанию включен в настройках сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет.
Общее количество возможных одновременных подключений ограничено размером пула IP-адресов. Как и исходный IP-адрес, этот параметр не следует изменять без необходимости.
ПРИМЕЧАНИЕ: Важно! Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту IP-адресов.
В разделе «Пользователи» выберите учетные записи, которым вы хотите разрешить доступ к VPN-серверу. Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль.
После настройки сервера переведите переключатель в состояние «Включено».
Нажав на ссылку «Статистика подключений», вы можете увидеть состояние подключения и дополнительную информацию об активных сеансах.
При настройке подключения к VPN-серверу на устройствах Android выберите тип VPN-подключения «IPsec Xauth PSK», а на устройствах iOS — «IPsec».
WireGuard VPN — интернет-центр Keenetic
WireGuard — это бесплатное программное приложение с открытым исходным кодом, протокол виртуальной частной сети (VPN) для передачи зашифрованных данных и создания безопасных соединений точка-точка.
ПРИМЕЧАНИЕ: Важно! Поддержка WireGuard VPN реализована для устройств Keenetic текущего поколения, начиная с KeeneticOS версии 3.3
Особенности и преимущества протокола WireGuard заключаются в использовании современных узкоспециализированных алгоритмов обработки данных. Кодовая база проекта написана с нуля и отличается компактным дизайном.
WireGuard является частью модуля ядра системы. Подключение WireGuard осуществляется с программным ускорением и является многопоточным, т.е. может стабильно работать и использовать ресурсы одного ядра.
Keenetic может работать как VPN-сервер или как VPN-клиент.Термины «клиент» и «сервер» условны из-за специфики протокола. Но обычно сервер — это устройство, которое ожидает соединения, а клиент — это устройство, которое инициирует соединение.
При подключении к VPN-серверу WireGuard в Keenetic в качестве VPN-клиента вы можете использовать компьютер (на базе Windows, Linux, macOS), мобильное устройство (на базе Android и iOS) или устройства Keenetic.
Используя клиент WireGuard VPN в интернет-центре Keenetic, вы можете подключиться к провайдеру VPN, который предоставляет услугу подключения WireGuard VPN, или к другому интернет-центру Keenetic, который работает как сервер VPN, и получить удаленный доступ к его локальной сети.
ПРИМЕЧАНИЕ: Важно! Если вы планируете настроить интернет-центр в качестве сервера VPN, сначала убедитесь, что у него есть общедоступный IP-адрес, а если вы используете службу KeenDNS, работает ли он в режиме прямого доступа. Если вы не соблюдаете какое-либо из этих условий, вы не сможете подключиться к такому серверу из Интернета.
Для настройки защищенных туннелей по протоколу WireGuard в роутерах Keenetic необходимо установить системный компонент WireGuard VPN.Вы можете сделать это в веб-интерфейсе на странице «Настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».
Затем вы найдете раздел «WireGuard» на странице «Другие подключения».
Чтобы настроить интерфейс WireGuard вручную, нажмите кнопку «Добавить соединение». Здесь мы не будем рассматривать настройки подключения, но вы можете найти их в подробной инструкции:
Вы также можете импортировать настройки интерфейса WireGuard из предварительно созданного файла конфигурации.Нажмите кнопку «Загрузить из файла», а затем выберите путь к предварительно настроенному файлу на вашем компьютере.
Основные принципы работы WireGuard VPN:
1. Каждый туннель WireGuard — это системный интерфейс, работающий на третьем (сетевом) уровне модели OSI. В него можно направлять трафик и настраивать политики IP-доступа (экран сети).
Интерфейс WireGuard имеет несколько основных параметров конфигурации, а именно: пара закрытого и открытого ключей, адрес, порт прослушивания.
При создании интерфейса WireGuard вам потребуется создать пару ключей шифрования — частный и открытый, а также назначить внутренний IP-адрес устройства в туннеле VPN и определить номер порта прослушивания на стороне сервера VPN.
Закрытый и открытый ключи используются для защиты соединения. Эти ключи используются для аутентификации участников. Открытый и закрытый ключи — это пара ключей, которые создаются (генерируются) одновременно. Криптографические алгоритмы предполагают совместное использование такой пары ключей.Оба ключа должны «соответствовать» зашифрованной части информации. Например, если шифрование выполняется с помощью закрытого ключа, дешифрование может быть выполнено только с помощью открытого ключа.
Вам необходимо сгенерировать ключи шифрования на обеих сторонах VPN-туннеля. Вам нужно будет только обменяться открытыми ключами на обеих сторонах VPN-туннеля во время установки соединения.
Что касается внутреннего адреса туннельного интерфейса, это должен быть любой подходящий адрес из частного диапазона, но он не должен совпадать с другими подсетями на самом интернет-центре Keenetic.Этот IP-адрес указывается в формате IP / битовой маски (например, 10.11.12.1/24). На VPN-клиенте и VPN-сервере должны быть установлены разные адреса, но они должны быть из одной подсети. Например, 172.16.82.1/24 на сервере и 172.16.82.2/24 на клиенте.
Вам нужно будет указать номер порта прослушивания на стороне сервера VPN, и он будет использоваться для входящих подключений к интерфейсу WireGuard. Вы можете установить случайный номер порта (например, 16632), самое главное, чтобы он не блокировался вашим провайдером и не совпадал с уже открытыми портами других сервисов на роутере.
2. Затем вам нужно добавить одноранговых узлов. Одноранговый узел — это участник или клиент определенного соединения. Вы можете создать несколько одноранговых узлов в одном VPN-соединении, например, для подключения к VPN-серверу с различных компьютеров или мобильных устройств.
Каждый одноранговый узел уникально характеризуется открытым ключом удаленной стороны. Вам нужно будет указать открытый ключ для устройства, внутренний IP-адрес туннеля и разрешенные подсети в настройках однорангового узла на другой стороне VPN-туннеля.
Список разрешенных подсетей (Allowed IPs) — это специальный параметр в настройках однорангового узла.Это адресные области, из которых этот одноранговый узел может получать трафик (исходные IP-адреса) и в которые может быть отправлен трафик (целевые IP-адреса). Технически эти адреса используются для шифрования и дешифрования трафика. Эта технология называется Crypto Routing и является фундаментальной особенностью WireGuard. Вы должны добавить подсеть 0.0.0.0/0, чтобы разрешить передачу на любой адрес.
Важно указать общедоступный IP-адрес или доменное имя сервера WireGuard VPN на стороне клиента VPN и указать порт прослушивания, к которому будет подключаться клиент VPN (например, myrouter01.keenetic.pro:16632). На клиентах VPN это поле обычно называется удаленной конечной точкой.
Также в его настройках необходимо указать интервал попыток проверки активности пира. Это внутренняя проверка доступности удаленной стороны соединения путем отправки пакетов поддержки активности в туннель. По умолчанию значение «Постоянный keepalive» в настройках узла Keenetic составляет 30 секунд, но обычно достаточно 10 или 15 секунд между проверками.
ПРИМЕЧАНИЕ: Важно! Рекомендуется оставить поле Persistent keepalive пустым (пустым) на стороне сервера, если вы настраиваете сервер для подключения клиентов.Это предотвратит ненужное ожидание завершения попытки рукопожатия, когда клиент отключился.
На стороне клиента поле Persistent keepalive должно быть заполнено выбранным значением, чтобы WireGuard VPN работал правильно!
3. WireGuard имеет концепцию маршрутизации ключей шифрования, которая использует привязки закрытых ключей к каждому сетевому интерфейсу. VPN-соединение инициализируется путем обмена открытыми ключами и аналогично модели SSH.
Ключи шифрования назначаются списку IP-адресов VPN, разрешенных в туннеле.Доступ к списку IP-адресов разрешен через сетевой интерфейс. Когда сервер принимает и расшифровывает аутентифицированный пакет, его поле источника проверяется. Если он соответствует тому, который указан в поле «Разрешенные IP-адреса» аутентифицированного однорангового узла, интерфейс WireGuard примет пакет. Когда вы отправляете исходящий пакет, IP-адрес назначения проверяется на его легитимность, и на его основе выбирается соответствующий одноранговый узел. Затем пакет подписывается своим ключом, зашифровывается одноранговым ключом и отправляется на общедоступный адрес и одноранговый порт (в удаленную конечную точку).Все IP-пакеты, полученные на интерфейсе WireGuard, инкапсулируются в UDP и безопасно доставляются другим одноранговым узлам.
WireGuard защищает пользовательские данные с помощью расширенных типов криптографии: Curve25519 для обмена ключами, ChaCha20 для шифрования, Poly1305 для аутентификации данных, SipHash для хэш-ключей и BLAKE2 для хеширования.
Процесс Crypto Routing позволяет предоставить пользователю до 100% доверенного трафика и обеспечивает высокую безопасность и производительность на выходе из интерфейса.
Примеры настроек подключения WireGuard
Подробные инструкции по настройке интернет-центра Keenetic в качестве VPN-сервера и VPN-клиента для соединения двух локальных сетей:
Чтобы настроить подключение к поставщикам VPN, которые могут работать с WireGuard, см. Инструкции:
Вы можете использовать мобильные устройства на базе Android и iOS для подключения к интернет-центру Keenetic по протоколу WireGuard:
Или вы можете использовать компьютеры на базе Windows, Linux, macOS:
Иногда требуется, чтобы клиенты, подключенные к маршрутизатору Keenetic через WireGuard, получали доступ в Интернет через этот VPN-туннель.Вам потребуется произвести дополнительную настройку, см. Статью:
.