Настройка OpenVPN с форвардингом на роутере Zyxel Keenetic Giga II
11 июня 2015 г. OpenVPN VPN Zyxel Linux
Хотите получить из роутера практически полноценный Linux сервер с некоторым набором базовых программ на базе NDMS? В свое время, мой выбор пал на «Zyxel Keenetic Giga», он бюджетный и простой в настройке, да и в целом я в нем не разочаровался.
Однако, два года назад я так и не написал статью о том как получить из него полноценный Linux. Теперь же, мы купили себе вторую версию этого роутера «Zyxel Keenetic Giga II» и я всетаки заставил себя написать о настройке статью, поехали!
О прошивке
Сразу скажу, я усердно пробовал работать с прошивкой V2 (конкретно 2.04), но как бы я не пытался, так и не смог завести dropbear.
Почитав в интернетах о прошивке «V2», я понял что она сырая и не годится для расширения. В итоге я наткнулся на комментарий на 4pda и установил себе на Giga II прошивку «V1.11» (брал от сюда, ставил «Firmware-KEENETIC_GIGA_II-V1.11.RU.NDMS_140108210221.bin»), если файл уже не доступен, то пишите и я расшарю. Некоторые подробности о работе V1 на Giga II можно подчерпунть тут. Прошивку можно поменять в разделе «Система > Конфигурация», подробнее можно ознакомится тут.
Из-за того что мы установили прошивку V1.
11 — дальнейшие инструкции также корректны и для первой версии Giga.Расширяем Keenetic, добавляем sshd и opkg
Берем флешку от 1Гб, форматируем её в ext3 (например в GParted). Можете ознакомится с официальными требованиями к USB носителю.
Далее, идем на страницу документации о системе opkg, действуем по их инструкциям и скачиваем нужный архив тут, у меня это был «ext_init.sh-r2.tar.gz».
Теперь создаем каталоги и копируем содержимое архива:
cd </path/to/you/flash/drive> mkdir -p system/bin cd system/bin wget https://zyxel-keenetic-packages.googlecode.com/files/ext_init.sh-r2.tar.gz tar -xzf ext_init.sh-r2.tar.gz chmod +x ext_init.sh
Проверяем права на файл «ext_init.sh», главное чтобы он был исполняемым (это мы сделали в последней строчке).
Теперь вставляем флешку в первый USB-слот (определится как «DISK_A1»), на главной странице панели администрирования Zyxel, в разделе «USB-накопитель» должна появится наша флешка.
root Starting opkg/linux install root All errors are logged in a file /media/DISK_A1/tmpinstall/err.log root Extracting busybox root Unpacking busybox root Extracting system root Unpacking system root Generating rsa/dss keys for dropbear root Starting dropbear dropbear[2428] Running in background root Connect to keenetic using ssh and run finish_install.sh to finish installation
Теперь вы можете подключится по SSH.
Завершаем установку
Подключаемся по ssh:
ssh [email protected] пароль "zyxel"
Теперь перво-наперво сменим пароль:
# passwd Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully
Запускаем finish_install.sh для завершения установки:
# finish_install.sh Creating swap file. Please wait... 128+0 records in 128+0 records out Setting up swapspace version 1, size = 134213633 bytes Loading current packages list Downloading http://zyxel-keenetic-packages.googlecode.com/svn/binary-packages-r2/Packages.gz. Inflating http://zyxel-keenetic-packages.googlecode.com/svn/binary-packages-r2/Packages.gz. Updated list of available packages in /media/DISK_A1/system/var/opkg-lists/packages.
Обновление системы и установка нужных приложений
Обновляем установленные пакеты:
# opkg update # opkg upgrade
И доустановливаем нужные:
# opkg list | grep <нужный пакет> # opkg install mc screen nano htop openvpn-openssl
Теперь настроим OpenVPN
Создадим файл /media/DISK_A1/system/etc/firewall.d/fw.sh с правилами для
#!/bin/sh iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -j ACCEPT iptables -A INPUT -p udp -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -t nat -F iptables -I FORWARD 1 -i br0 -o tun0 -j ACCEPT iptables -I FORWARD 2 -i tun0 -o br0 -j ACCEPT iptables -I FORWARD 3 -s 192. 168.1.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Чтобы вы могли зайти на свой сервер из под VPN, добавьте перед последней строчкой:
iptables -t nat -A POSTROUTING -o eth3.2 -d "АДРЕС_VPN_СЕРВЕРА" -j MASQUERADE
Сделаем этот файл исполняемым:
# chmod +x /media/DISK_A1/system/etc/firewall.d/fw.sh
В каталоге /media/DISK_A1/system/etc/openvpn надо создать конфиг клиента openvpn.conf и положить туда предварительно сгенерированные (или полученные от какого-либо сервиса) ключи. Вот пример возможного конфига:
client remote <IP-адрес OpenVPN-сервера> port 1194 dev tun proto udp resolv-retry infinite nobind pull user nobody group nogroup persist-key persist-tun ca /media/DISK_A1/system/etc/openvpn/ca.crt cert /media/DISK_A1/system/etc/openvpn/example.crt key /media/DISK_A1/system/etc/openvpn/example.key tls-client tls-auth /media/DISK_A1/system/etc/openvpn/ta. key 1 cipher DES-EDE3-CBC comp-lzo mute 10 verb 0 log openvpn.log
Подробности опций и как сгенерировать нужные ключи можно почитать в моей статье о OpenVPN.
Если вы захотите запустить openvpn без init-скрипта, то столнетесь с проблемой с устройством tun:Эту проблему я быстро решил при помощи этой статьи, для этого надо создать каталог /dev/net и создать там файл устройства:Wed Jun 10 12:41:09 2015 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Но после этого произошла новая проблема:# mkdir /dev/net # mknod /dev/net/tun c 10 200
Я проверил через lsmod наличие модуля «tun» и не обнаружил его:Wed Jun 10 12:41:50 2015 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Значит надо его подгрузить, т.к. modprobe не идет в поставку с нашим Linux, то я воспользовался insmod. Я нашел подходящий модуль и загрузил его:# lsmod | grep tun
Теперь все впорядке, lsmod говорит что модуль подгружен.# find / -name "*tun*. ko" /lib/modules/2.6.22-tc/tun.ko /media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko # insmod /lib/modules/2.6.22-tc/tun.ko
Запускаем OpenVPN
Для того, чтобы после перезапуска системы у нас запускался демон OpenVPN самостоятельно, надо переименовать его init-скрипт из K11openvpn в S11openvpn:# cd /media/DISK_A1/system/etc/init.d/ # mv K11openvpn S11openvpn
Добавлять вызов /media/DISK_A1/system/etc/firewall.d/fw.sh никуда не надо, он запустится автоматически.
Я столкнулся с проблемой запуска модуля tun.ko в init-скрипте. Тот что был там указан выдавал следующее:в результате я нашел альтернативный и он корретно заработал:insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': invalid module format (-1): Exec format error
после чего я поменял в файле# find / -name "*tun*.ko" /lib/modules/2. 6.22-tc/tun.ko /media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko # insmod /lib/modules/2.6.22-tc/tun.ko
S11openvpn на альтернативный модуль: #insmod $MOUNT/lib/modules/2.6.23-rt/tun.ko insmod /lib/modules/2.6.22-tc/tun.ko ... #rmmod $MOUNT/lib/modules/2.6.23-rt/tun.ko rmmod /lib/modules/2.6.22-tc/tun.ko
Впринципе всё, перезапустите роутер и должно все заработать как надо!
Обновление с zyxware на entware
Не особо рекомендую обновляться до entware, т.к. при запуске OpenVPN через init-скрипт я получал Segmentation Fault (правда если просто запускать openvpn openvpn.conf, то проблемы не наблюдалось), разбираться с этим мне не хотелось, т.к. для себя особого смысла обновляться я не видел. Главное отличие entware это большее количество пакетов чем в zyxware, так что если хочется, то попробовать всетаки можно. Ниже расскажу как это сделать:
Для этого вынем нашу флешку из роутера и запишем туда архив, который можно взять отсюда.
Снова подключите флешку в первый USB-слот. В сети рекомендуют обновлятся через telnet, но я обновлялся по ssh:# cd /media/DISK_A1 # wget http://keenetic.zyxmon.org/entware/entware_keenetic.tgz # tar -xzf entware_keenetic.tgz # chmod +x ./entware_keenetic_install.sh # ./entware_keenetic_install.sh
После чего перезапустите роутер из веб-панели Zyxel. На вашей флешке, помимо каталога /system появится еще /opt. Все, теперь вы счастливый обладатель entware!
Keenetic Start KN-1111 технические характеристики роутера Keenetic Start KN-1111
Общая информация
Производитель
Keenetic
Общие характеристики
Тип устройства
Wi-Fi роутер
Процессор ?
MT7628N 575 МГц
Объем оперативной памяти
64 Мбайт DDR2
Объем флеш-памяти
32 Мбайт
Количество портов коммутатора
4 x 100 Мбит/c
Кнопка Wi-Fi/WPS
есть
Mesh Wi-Fi-система
Да, с переключателем на корпусе
Производительность
Скорость сети Wi-Fi 2,4 ГГц
300 Мбит/с
Маршрутизация IPoE/PPPoE
До 95 Мбит/с
Маршрутизация L2TP/PPTP
До 95 Мбит/с
Беспроводная сеть Wi-Fi
Бесшовный роуминг 802. 11 k/r/v
есть
Преднастроенная защита Wi-Fi
есть
WPA2-PSK, WPA2-Enterprise
есть
WPA3-PSK, WPA3-Enterprise, OWE
есть
Multi-SSID и гостевая сеть
есть
Контроль доступа по MAC-адресам
есть
Wi-Fi Multimedia (WMM)
есть
Диагностика и управление
Мобильное приложение для Android и iOS
есть
Веб-конфигуратор с мастером быстрой настройки и HTTPS-защитой
есть
Командная строка (CLI) по TELNET/SSH
есть
Возможность управления из внешней сети
есть
Резервирование и восстановление конфигурации
есть
Автоматическое обновление системы
есть
Журналирование системных событий
есть
Web-интерфейс
есть
Поддержка SNMP
есть
Функции и протоколы
WAN-порт
1 порт WAN 10/100 Мбит/с
IPoE, PPPoE, PPTP, L2TP, 802. 1x
есть
Межсетевой экран (Firewall)
есть
Демилитаризованная зона (DMZ)
есть
Резервирование интернет-подключения
есть
Контроль соединения Ping checker
есть
Поддержка VPN pass through
есть
Транзит PPPoE/PPTP/L2TP
есть
VLAN IEEE 802. 1Q
есть
Таблица маршрутов (DHCP/Ручная)
есть
DHCP (клиент/сервер)
есть
UDP to HTTP proxy
есть
Ручное перенаправление портов
есть
Межсетевой экран SPI с защитой от DoS-атак
есть
Клиент/Сервер PPTP
есть
Клиент/Сервер L2TP over IPSec
есть
Клиент/Сервер OpenVPN
есть
Клиент/Сервер SSTP
есть
Ethernet-over-IP, IP-IP, GRE
есть
Клиент/сервер IPSec VPN
есть
Клиент Dynamic DNS
есть
Прямой или облачный доступ через KeenDNS
есть
HTTPS-защита доступа через KeenDNS
есть
Интернет-фильтр Яндекс. DNS
есть
Родительский контроль SkyDNS
есть
AdGuard ad blocker
есть
Статистика трафика по клиентам
есть
Ограничение скорости по клиентам
есть
Расписание доступа по клиентам или интерфейсам
есть
Гостевой хотспот с авторизацией (Captive Portal)
есть
Дополнительно
Поддержка стандартов
802. 11n
Физические параметры (нетто)
Размеры (ШxВxГ)
107x26x91мм
Вес (нетто)
0. 132 кг
Диапазон рабочих температур
0–40°С
Влажность окружающего воздуха при работе
20%–95% (отсутствие конденсации)
Напряжение электропитания
100–240 В 50/60 Гц
Заводские данные | |
Гарантия АСЦ | 36 мес. |
Дополнительная гарантия производителя | до 12 мес. |
Страна-производитель | Китай |
Общие параметры | |
Тип | |
Модель | Keenetic Giant KN-2610 |
Основной цвет | белый |
Подключение к сети интернет (WAN) | |
Беспроводной выход в интернет | |
Поддержка IPv6 | есть |
Параметры Wi-Fi | |
Wi-Fi | есть |
Стандарт Wi-Fi | |
Класс Wi-Fi | |
Максимальная скорость по частоте 2.4 ГГц | 400 Мбит/с |
Максимальная скорость по частоте 5 ГГц | 867 Мбит/с |
Количество диапазонов 5 ГГц | 1 |
Одновременная работа в двух диапазонах | есть |
Многопотоковая передача данных | |
Тип и количество антенн | внешняя съемная x4 |
Коэффициент усиления антенны | 5 dBi |
Безопасность соединения | |
Порты | |
Количество LAN портов | 9 |
Скорость передачи по проводному подключению | 10 Мбит/с, 100 Мбит/с, 1000 Мбит/с |
Количество SFP портов | 1 |
USB разъем | USB 3. 0 x1, USB 2.0 x1 |
Функции USB | |
Маршрутизация | |
Поддержка DHCP | есть |
Статическая маршрутизация | есть |
Протоколы динамической маршрутизации | |
Dynamic DNS | есть |
Безопасность | |
Межсетевой экран (Firewall) | есть |
NAT | есть |
SPI | есть |
Демилитаризованная зона (DMZ) | есть |
Фильтрация | |
VPN | |
Функции VPN | |
Функции | |
Управление | |
Дополнительно | |
Возможность установки вне помещения | нет |
Комплектация | съемные антенны, инструкция пользователя, кабель Ethernet, адаптер питания |
Дополнительная информация | |
Поддержка MESH | есть |
Мобильное приложение | Keenetic |
Поддержка голосового помощника | нет |
Габариты, Вес | |
Ширина | 253 мм |
Длина/Глубина | 204 мм |
Высота | 51 мм |
Вес | 750 г |
Используем OpenWRT — пакеты в рутерах ZyXel Keenetic на примере OpenVPN
Не так давно компания ZyXel с помощью модуля открытых пакетов поддержала OPKG — пакеты из популярной ОС OpenWRT, предназначенной для домашних маршрутизаторов. Это значит, что часть из них теперь можно ставить на ZyXel Keenetic. В этой статье я опишу процесс включения пакета, настройки репозитория Entware с тысячами пакетов, а также настройки рутера как OpenVPN клиента.
На данный момент проект обитает и обсуждается на этом форуме.
Требования — любой кинетик с последней версией NDMSv2 и USB — портом, кроме моделей 4GII/III. Возможно, на некоторых устройствах для появления нужных компонентов потребуется перейти на бета-ветку прошивки.
Первым делом идём в настройки рутера, и там в обновлениях устанавливаем, выбрав нужные опции, компоненты Open Package support, IPv6, а также все компоненты из секции USB storage. IPv6 нужен для корректной работы netfilter, когда будем загонять трафик в туннель. Также потребуется компонент FTP на устройстве, если файлы конфигурации будут загружаться не на флешку напрямую, а по сети.
На флешке создать ext2/ext3 раздел с любой меткой на латинке (например, keendev), подключить к рутеру и на разделе с меткой keendev создать папку install.
Далее в эту папку надо закинуть файл установки:
— для Keenetic DSL, LTE, VOX — mips;
— для остальных Keenetic`ов — mipsel;
Потом на странице «Приложения > OPKG» поставить галку «Включить». Затем выбрать из списка нужный USB-носитель, в поле «Сценарий initrc:» вписать /opt/etc/init.d/rc.unslung и нажать «Применить».
Если все сделали правильно, то в системном журнале через некоторое время появится строчка »… Установка Entware-Keenetic завершена!»
Теперь можно зайти на кинетик по ssh, логин root, пароль zyxel.
Пароль никак не связан с паролем кинетика. Меняется он, если необходимо, командой passwd.
Первым делом обновим список пакетов: opkg update
Установка пакетов происходит командой opkg install %commandname%
Для работы OpenVPN — клиента необходимы следующие пакеты:
Нужные пакетыdropbear — 2015.71–3
findutils — 4.6.0–1
iptables — 1.4.21–2
ldconfig — 1.0.13–4
libc — 1. 0.13–4
libgcc — 5.3.0–4
liblzo — 2.09–1
libndm — 1.0.22–1
libopenssl — 1.0.2h-1
libpthread — 1.0.13–4
librt — 1.0.13–4
libssp — 5.3.0–4
libstdcpp — 5.3.0–4
ndmq — 1.0.2–1
openvpn-openssl — 2.3.10–1
opt-ndmsv2 — 1.0–4
terminfo — 6.0–1
zlib — 1.2.8–1
Узнать уже установленные можно с помощью opkg list-installed, неустановленные нужно доустановить, не указывая версию в конце, только имя пакета.
В папку /opt/etc/openvpn необходимо создать файл openvpn.conf, в помощь touch и vi, примерно следующего формата:
Пример формата файла конфигурацииclientdev tun
fast-io
persist-key
persist-tun
nobind
remote %serverIP% %port%
remote-random
pull
comp-lzo
tls-client
verify-x509-name Server name-prefix
ns-cert-type server
key-direction 1
route-method exe
route-delay 2
tun-mtu 1500
fragment 1300
mssfix 1450
verb 3
cipher AES-256-CBC
keysize 256
auth SHA512
sndbuf 524288
rcvbuf 524288
——BEGIN CERTIFICATE——
%сертификат%
——END CERTIFICATE——
——BEGIN RSA PRIVATE KEY——
%ключ rsa%
——END RSA PRIVATE KEY——
#
# 2048 bit OpenVPN static key
#
——BEGIN OpenVPN Static key V1——
%ключ%
——END OpenVPN Static key V1——
——BEGIN CERTIFICATE——
%сертификат%
——END CERTIFICATE——
Если ваш провайдер OpenVPN даёт файл router. ovpn, его также можно использовать. Тогда в скрипте запуска /opt/etc/init.d/S20openvpn нужно его указать в строке:
ARGS=»—daemon —cd /opt/etc/openvpn —config router.ovpn»
Для указания в скрипте iptables, какие интерфейсы нужно использовать, нужно их выяснить с помощью команды ifconfig.
Ищем в списке интерфейс с inet addr, совпадающим с локальным адресом вашего рутера. Например, он будет br0.
Теперь нужно прописать скрипт iptables в папке cd /opt/etc/ndm/netfilter.d. Назовём его openvpnfil.sh:
Скрипт iptables#!/bin/sh[ »$table» != filter ] && exit 0
iptables -I FORWARD -i br0 -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
Теперь рутер надо перезагрузить.
После перезагрузки идём опять по ssh и включаем OpenVPN, если он сам не включился при загрузке:
/opt/etc/init.d/S20openvpn start
В логах кинетика (уже в веб-конфигураторе) можно будет посмотреть, всё ли хорошо. Там же будет написано, где и в чём плохо, если что-то пойдёт не так.
Создано по мотивам абы как структурированных данных на http://forums.zyxmon.org/ и http://forum.keenetic.net/
Объединение сетей с помощью L2TP/IPsec на Mikrotik и Keenetic Ultra II
Появилась задача подключить к локальной сети два дополнительных удалённых офиса. Про настройку OpenVPN сервера для желающим поработать из дома или в командировке я уже рассказывал, однако перспектива выдачи каждому пользователю сети отдельного сертификата с последующей настройкой соединения меня совсем не радовала. Потому для подключения филиалов было решено пойти другим путём.
Объединять сети будем через VPN туннели по технологии L2TP/IPsec без поднятия дополнительных серверов и использования дорогостоящего оборудования, непосредственно на роутерах Mikrotik и Keenetic Ultra II. Поводом для такого объединения, помимо удобства пользователей и моей лени, послужила некорректная работа встроенного L2TP/IPsec клиента в Windows.
Как видно из схемы, пользователи в филиалах должны иметь доступ к терминальному серверу, расположенному за роутером Keenetic Ultra II. Так как на «Кинетике» уже был настроен и благополучно работал L2TP/IPsec сервер, то «Микротикам» досталась роль клиентов. Кроме того, такой вариант существенно проще в настройке, по сравнению с поднятием VPN сервера на «микротике».
Обязательное условие: адреса объединяемых сетей не должны пересекаться между собой.
Настройка L2TP VPN-сервера на роутере Keenetic
С подробностями настройки L2TP/IPsec сервера на Keenetic Ultra можно ознакомиться перейдя по этой ссылке. Там всё просто, потому не буду повторяться. В дополнение к той статье, необходимо остановиться на паре существенных моментов, без которых не возможна нормальная работа VPN туннелей:
- Отключить NAT для клиентов, оно тут будет только мешать;
- Снять галочку, напротив поля «Множественный вход», если она там стояла. Это позволит точно указать IP адрес, выдаваемый клиенту L2TP сервером при подключении;
- Настроить статическую маршрутизацию.
Для удалённых филиалов я выбрал имена office_01 и оffice_02 и назначил им соответсенно статические адреса 172.16.2.35 и 172.16.2.35. Эти адреса, указываются в качестве шлюзов при создании статических маршрутов для сетей, расположенных за ними. У office_01 внутренняя сеть 192.168.11.0/24, office_02 — 192.168.0.0/24
Настройка Mikrotik в качестве клиента L2TP/IPsec
Настройку удаленного клиента начнём с добавления нового интерфейса L2TP Client в разделе интерфейсов. Указываем IP-адрес L2TP сервера, свои учётные данные и общий ключ шифрования IPSec.
Если вы думаете, что этого достаточно для успешной установки соединения с сервером, поднятом на Keenetic Ultra II, то глубоко заблуждаетесь, ибо настройка «микротов» это всегда боль и страдания. Складывается впечатление, что компания Mikrotik намеренно лишает себя прибыли. Я не понимаю, что мешает выпустить нормальные пошаговые руководства по настройке своих железок и стать ведущим игроком на рынке.
Далее требуется указать нужные алгоритмы шифрования SA (Security Association) в настройках IP->IPsec->Proposals и изменить значение параметра PFS Group с modp1024 на none.
Аббревиатура PFS расшифровывается как Perfect Forward Secrecy — что-то связанное со второй фазой обмена ключами в IPsec. Честно говоря, так глубоко в эту тему не вникал и если не ошибаюсь, то на устройствах от Apple данный параметр в настройках IPsec по умолчанию тоже выключен. В общем, чтобы канал до Keenetic Ultra II поднялся, значение параметра PFS Group должно быть none.
Также скорректируем и профиль шифрования по-умолчанию IP->IPsec->Profiles:
Нажимаем «Применить», и если мы всё сделали правильно, соединение должно быть установлено.
Туннель у нас поднялся. Осталась самая малость, чтобы компьютеры за роутером получили доступ в удалённую сеть 192.168.99.0/24, где находится терминальный сервер. Для этого необходимо добавить правило маскарада и новый статический маршрут.
Переходим во вкладку IP->Firewall->NAT:
На вкладке IP->Routes в качестве шлюза указываем созданный интерфейс l2tpMainOffice, а в поле Pref. Source – наш IP-адрес в виртуальной сети:
Аналогичным образом настраивается и клиент для второй сети.
Напоследок хотелось поделиться несколькими ссылками с сайта центра поддержки KEENETIC (https://help.keenetic.com/hc/ru/):
Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Настройка VPN Zyxel Keenetic: пошаговая инструкция
Во многих организациях сотрудникам в целях экономии бюджета обеспечивается удаленный доступ к рабочим местам. Для этого необходимо использовать защищенный канал связи, основанный на технологии Virtual Private Net, или VPN. Рассмотрим подробнее, как корректно произвести настройку VPN на Zyxel Keenetic.
Подключаем девайс к сети электропитания. «Патч-корд» одним разъемом вставляем в роутер, а вторым – в сетевой адаптер на компьютере, с которого будет производиться настройка. Кабель, проведенный провайдером, подключается к специальному разъему WAN на сетевых устройствах Zyxel. Схематически должна получиться такая картина:
На следующем этапе открываем браузер и настраиваем соединение с интернетом. Подробные инструкции о том, как настроить доступ к «мировой паутине» на разных моделях роутеров, представлены на нашем сайте. Здесь мы рассмотрим, как настроить VPN на Zyxel всех моделей Keenetic.
После того как доступ к интернету получен, проверяем наличие актуальной версии прошивки для операционной системы. При необходимости производим обновление внутреннего ПО до последней версии, так как только роутеры Zyxel серии Keenetic с микропрограммой NDMS V2. 04.B2 и выше поддерживают функцию VPN.
Второй важный пункт: оборудование должно иметь «белый» IP-адрес в «глобальной сети». Это необходимо для того, чтобы при активации удаленного подключения клиент мог однозначно идентифицировать свой VPN Server Keenetic на разных моделях Zyxel. Получают его у провайдера за дополнительную ежемесячную оплату.
Настройка VPN-подключения
Если все вышеуказанные условия соблюдены, переходим к настройке VPN на маршрутизаторе Zyxel Keenetic.
- Заходим через главное меню в раздел «Система», далее — «Компоненты». Отмечаем, что требуется активация опции «VPN-сервер»:
- В зависимости от модели Zyxel потребуется перезагрузка для применения внесенных изменений. После этого на вкладке «Приложения» появится новая панель «Сервер VPN»:
- Далее заходим в нее, выставляем следующие параметры:
- Активируем VPN-сервер на Zyxel Keenetic, отмечаем, чтобы на каждого пользователя создавался новый канал связи для повышения надежности передачи данных.
- Подключение происходит с шифрованием, это поднимает уровень безопасности канала связи. Поэтому используется протокол MPPE. Соответственно, пропускаем третий пункт.
- Поле «Транслировать адреса клиентов (NAT)» активируем, чтобы пользователи подключались через внешнюю сеть.
- В следующем подразделе – «Доступ к сети» – указывается наименование канала связи, по которому будет производиться выход в интернет. Как пример указана домашняя сеть клиента. Через нее будет осуществляться PPTP-подключение.
- Следующие два пункта отвечают за перечень IP-адресов, предоставляемые ВПН-сервером для вновь подключившихся. Количество участников зависит от модели роутера: например, Zyxel Keenetic GIGA разрешает максимум 10 соединений.
- В первом пункте выбираем начальное значение пула IP-адресов, а во втором указываем максимально возможное количество. Таким образом, на роутере зарезервируется десять адресов, которые будут выдаваться PPTP-клиентам.
- Список IP-адресов для VPN не должен совпадать с пулом адресов DHCP-сервера сетевого устройства. Например, Zyxel раздает IP-адреса в диапазоне 192.168.0.10 – 192.168.0.100. Соответственно, для VPN рекомендуется задать пул, начиная с 192.168.0.150.
- После внесения всех изменений нажимаем кнопку «Применить», переходим к следующему разделу – «Конфигурации учетных записей пользователей», находящихся ниже параметров VPN:
- Нажимаем левой кнопкой мыши на имени Admin.
- Выбираем пункт «Разрешить доступ к VPN». Применяем изменения:
- Добавить клиентов к перечню разрешенных через меню «Система», раздел «Пользователи»:
- Указываем имя, придумываем пароль и выставляем права доступа:
- В нашем случае надо обязательно отметить пункт «VPN-сервер». Далее нажимаем «Сохранить».
На этом настройка роутера Zyxel Keenetic завершена, разрешено устанавливать VPN-связь.
Приоритеты подключений
Начиная с версии 2.0, встроенное ПО роутеров компании Zyxel поддерживает функцию распределения приоритетов. По сравнению с первой версией присутствует возможность комбинирования соединений разными способами.
Созданные каналы используют либо физические порты сетевого устройства, либо виртуальные интерфейсы. Каждому каналу связи, создаваемому на оборудовании, присваивается приоритет. Его значение редактируется вручную либо остается без изменений:
На скриншоте наивысший приоритет отдан интерфейсу ISP. Это стандартная настройка для доступа к интернету по сетевому кабелю.
Следующим идет Yota: подключение по беспроводному каналу связи. Если первый вариант перестанет работать, роутер автоматически перейдет на указанный режим. Таким образом настраиваются резервные каналы связи и VPN-соединения.
VPN-туннель IPSec
Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:
Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:
ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:
- Активируем сам протокол шифрования.
- Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
- Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
- Тип протокола оставляем, как есть.
- В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
- Прописываем имя «юзера» и пароль для него.
- Секретный ключ придумываем самостоятельно. Например, Test.
- Метод проверки подлинности оставляем, как показано на скриншоте.
- Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
- Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
- Отмечаем галочкой последний пункт.
Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.
Несколько слов про OpenVPN
Протоколы, используемые на сетевых оборудованиях Zyxel, осуществляют две функции:
- PPTP и L2TP – VPN-доступ к серверам провайдера.
- IPSec и OpenVPN – помогают конфигурировать отдельные серверы для создания защищенных каналов связи под личные «нужды».
Про первый вариант было рассказано выше, здесь остановимся на втором. Способ является дополнительной опцией, доступен не на всех моделях Zyxel. Компонент был добавлен в ОС роутеров, начиная с версии NDMS v2.10.B0. Чтобы проверить его совместимость с моделью роутеров Zyxel, заходим в раздел «Компоненты» и смотрим по наличию. Также пользуемся информацией на официальном сайте вендора.
OpenVPN часто применяют как альтернативное подключение к «мировой паутине». Пользователь проверяет, установлен ли он в ОС роутера.
Далее скачиваем с сайта https://www.vpngate.net/en/ конфигурацию сервера OpenVPN, загружаем ее в сетевое устройство. После этого сохраняем, а затем перезапускаем Zyxel.
Более подробно о настройке OpenVPN будет рассказано в отдельной публикации.
Загрузка…Связь IPsec между роутерaми Mikrotik RB1100AHx2(4) и Keenetic Ultra II
Наши серверы стоят в дата-центре компании «Ростелеком». Чтобы контролировать, настраивать, администрировать их из нашего офиса, мы используем связь с роутером и межсетевым экраном в дата-центре по шифрованному каналу IPsec. В нашем офисе мы используем хорошо себя зарекомендовавшую модель Zyxel Keenetic Ultra II — универсальное решение с аппаратным криптомодулем и аппаратными разгрузками NAT и контрольных сумм. Кроме того, в совокупности с модулем Keenetic DECT Plus этот роутер обслуживает и нашу IP-телефонию. Сегодня мы обсудим связку этого роутера и роутера Mikrotik RB1100AHx2, который мы в настоящее время используем в дата-центре.
Дано (все белые IP вымышлены):
Конфигурация RB1100AHx2
Белый IP-адрес WAN-интерфейса 152.12.12.12
Внутренняя сеть 192.168.10.0/23
Конфигурация Keenetic Ultra II
Белый IP-адрес WAN-интерфейса 182.12.12.12
Внутренняя сеть 192.168.80.0/24
Обязательное условие — внутренние сети не должны пересекаться!
Настройка Mikrotik:
Прежде всего идем в IP -> IPsec -> Groups, если там нет ни одной группы, просто жмем плюсик «Добавить», в открывшемся окне, в поле «Name» пишем «default» и жмем Ok, проще говоря добавляем группу default. Иначе в дальнейшем будут глюки при установлении соединения в фазе 1, дело в том, что темплейт policy по умолчанию должен принадлежать какой-то определенной группе. Иначе в поле «Policy Template Group» первой фазы (в настройке Peer) будет значение unknown, а связь не будет устанавливаться. Похоже на какую-то магию, но OS закрытая, доступа к внутренностям у нас нет, что там происходит сказать нельзя, так что просто добавляем группу, если ее нет, и идем дальше.
Добавляем Policy, для чего идем в IP -> IPsec -> Policies, жмем плюсик «Добавить»
Policy — это правило, что именно нужно делать при пересылке данных между подсетями, которые мы указываем на вкладке General. Source Address — локальная сеть в дата-центре, обслуживаемая роутером Mikrotik RB1100AHx2. Destination Address — локальная сеть в офисе, которую обслуживает Zyxel Keenetic Ultra II. Галочку «Template» не ставим, она превращает Policy в темплейт, а нам нужна именно Policy.
На вкладке Action мы указываем действие, которое должно происходить, мы хотим шифровать данные в туннеле (галочка Tunnel), туннель устанавливается между WAN-интерфейсами обоих роутеров, на которых прописаны белые адреса, которые участвуют в создании Security Association (SA), SA Src. Address (белый IP RB1100AHx2), SA Dst. Address (белый IP Keenetic Ultra II). Данные шифруются так, как указано в default proposal.
Далее настраиваем первую фазу IPsec — идем в IP -> IPsec -> Peers, жмем плюсик «Добавить»
Тут настроек уже больше. Address — IP-адрес удаленного роутера, вписываем туда белый IP Keenetic II Ultra. Port — обычный порт ISAKMP, менять его не стоит. Local Address можно не указывать. Придумываем ключ PSK, вписываем в поле Secret, где-нибудь его временно сохраняем — он понадобится, когда будем настраивать Keenetic UItra II. Устанавливаем галочку NAT Traversal, чтобы с роутером смогли связаться устройства, расположенные за NAT. Далее выставляем необходимые алгоритмы шифрования. Аппаратно обоими роутерами поддерживаются хеширование SHA1 (недавно был-таки взломан неутомимыми сотрудниками Google, а еще раньше не менее работоспособными китайцами), SHA256 и шифрование AES128-CBC, AES192-CBC, AES256-CBC — можно указать их все, при установлении SA обычно выбирается максимально возможные алгоритмы. Lifetime — время жизни ключа, по окончании действия ключа он будет перегенерирован. DPD или Dead Peer Detection — своеобразный keepalive, проверка удаленного peer, раз в какое-то время (DPD Interval) устройства спрашивают друг друга «ты там как, жив?» (R-U-THERE), ответ должен быть «да, живой я» (R-U-THERE ACK).
Если ответа нет, инициатор переспрашивает некоторое количество раз (DPD Maximun Failures), после чего уничтожает IPsec-сессию, и удаляет обе SAs. После этого устройства будут пытаться восстановить связь, если это прописано в настройках. При DPD Interval «disabled» ключ не будет обновляться в первой фазе при достижении конца Lifetime, так что лучше в этом поле выставить некое значение. DH Group это группа Диффи-Хеллмана, соответствия этих modp номерам в Keenetic есть в этой таблице.
Настройка второй фазы IPsec — идем в IP -> IPsec -> Proposals. Там уже есть default proposal, он был указан при создании Policy, так что можно просто подогнать его под себя. Помним об алгоритмах, обрабатываемых аппаратно, имеет смысл выставить именно их, при использовании аппаратного критомодуля загрузка процессоров обоих роутеров стремится к нулю.
Здесь тоже есть поле Lifetime, по окончании которого ключ будет перегенерирован. Здесь это происходит всегда, в отличии от первой фазы.
Открываем терминал и добавляем правило, разрешающее прохождение пакетов в обход маскарадинга (помним, какие сети мы разрешили в policy):
/ip firewall nat add src-address=192.168.10.0/23 dst-address=192.168.80.0/24 action=accept chain=srcnat comment=»To Office»
Ставим его над маскарадингом, на первое место:
/ip firewall nat move [find comment=»To Office»] 0
На этом настройку Mikrotik можно считать завершенной. Приступаем к
Настройке Keenetic Ultra II
Заходим в WEB-интефейс роутера, в самом низу его находим кнопку со щитом — раздел «Безопасность». Нажимаем ее, ищем вкладку IPsec VPN. Если ее там нет (вот неожиданность!) — идем в раздел Система (кнопка с шестеренкой) -> Обновление, жмем кнопку «Показать компоненты», ищем в списке IPsec VPN и ставим рядом с ним галочку, жмем в самом низу кнопку «Установить». Обычно он устанавливается сразу. Если серверы NDMS живы. Иногда надо подождать, но когда-нибудь вы его установите, если будете достаточно терпеливы.
Компонент установился? Роутер перезагрузили? Он делает это не торопясь, основательно, наверное тщательно расставляет каждый бит по ячейкам памяти… Но вот наконец, снова идем в раздел безопасность и находим-таки там вкладку IPsec
Ставим галочку «Включить», жмем кнопку «Применить». В IPsec-подключениях сначала будет пусто, жмем кнопку «Добавить». Возникнет окно настройки IPsec-подключения
Вписываем имя соединения. Выставляем галочки «Включить» (мы же все еще хотим установить соединение с mikrotik?), Автоподключение, Nail up (для удержания соединения), «Обнаружение неработающего пира (DPD)», задаем необходимый интервал проверки.
В поле «Удаленный шлюз» вписываем белый IP-адрес Mikrotik.
Далее настраиваем фазу 1. Мне лично не удалось заставить работать эти два роутера с протоколом IKE v2, поэтому все настройки приведены для IKE v1. У нас в офисе белый IP-адрес, грех не сделать его идентификатором локального шлюза. Поскольку мы указали белый IP-адрес Mikrotik, то в поле «Идентификатор удаленного шлюза» можно поставить «Any», или «IP-адрес», так же в нашем распоряжении есть три отлично работающих DNS, соответственно все устройства имеют корректные доменные имена, мы могли бы использовать в качестве идентификатора и FQDN. Помните, мы при настройке Mikrotik RB1100AHx2 придумывали ключ PSK, так вот, самое время его вписать в поле «Ключ PSK», кстати, оглянитесь, за плечами у вас нет врагов? Ключ прямо так и будет виден.
Хеш, алгоритмы шифрования и группу Диффи-Хеллмана надо выставить точно такие же, как и на Mikrotik, в настройках Peer, иначе роутеры не смогут друг с другом договориться. Режим согласования лучше оставить Main, Aggressive хоть и ускоряет подключение, но менее безопасен, например ключ передается не по шифрованному каналу, а по открытому, в виде хеша, а мы же зачем-то тут настраиваем IPsec… Так мы плавно перешли к настройке фазы 2
Режим задаем, конечно, туннель, ведь именно IPsec-туннель мы все это время и настраивали. Алгоритмы шифрования, хеши и группа Диффи-Хеллмана здесь должны соответствовать настройкам Proposal в Mikrotik. Вписываем локальную и удаленную подсети в соответствующие поля. Жмем «Применить».
Если все сделали правильно — пойдет инициализация соединения, в логах Mikrotik не должно быть ошибок, в IP -> IPsec -> Remote Peers должен образоваться Peer:
А в IP -> IPsec -> Installed SAs появиться две Security Associations, и должен быть виден обмен данными:
На стороне Keenetic весь процесс соединения отображается в логе, а информацию о соединении мы увидим на странице «Системный монитор» и вкладке «IPsec VPN»:
Со стороны Keenetic можно попробовать достучаться до какой-либо из удаленных машин.
debian — 3proxy через pptp-linux VPN
Добрый день. У меня ситуация: к роутеру (A) подключен комп с debian (K), который раздает сеть 192.168.1.0/24. Есть еще один роутер (B) (у него «белый» ip), раздающий сеть 172.16.1.0/30, на которой работает pptp сервер, на котором включен NAT. Клиент pptp установлен на «K», который создает интерфейс ppp1 с ip 172.16.1.2 (но маска по какой-то причине / 32 также находится на маршруте keenetic («B») от / 32 — очевидно, «к узлу. «).Подключение проходит, пинг идет. Проблема в «треугольном» маршруте (ну я все же так думаю). Когда я подключаюсь к «K» (например, SSH) из сети «A», все работает (eth0 — сеть «A» — маршрут по умолчанию). На роутере «Б» есть нат, перенаправляющий соединения из интернета (на определенные порты) на «К». Только в пакетах «исходник» не меняется на тот, что у роутера. Однако это не решит проблему полностью, потому что «K» имеет http-прокси, задача которого — отправлять трафик с eth0 на ppp1.В настройках прокси (3proxy) я указал ip «вход» и «выход». Должно работать, наверное, но не работает. Маршрут по умолчанию для изменения не является вариантом, поскольку доступ к Интернету через eth0 в 7 раз быстрее + на том же компьютере запланирован еще один сервер openvpn, который будет принимать соединения от ppp1 и создавать соединения через сам eth0.
Спасибо за ответы.
ifconfig:
eth0: flags = 4163 mtu 1500
инет 192.168.1.20 маска сети 255.255.255.0 широковещательная передача 192.168.1.255
эфир 02: 02: 20: 02: 47: 8f txqueuelen 1000 (Ethernet)
Пакеты RX 5248 байт 343827 (335,7 КБ)
Ошибки RX 0 сброшено 0 переполнений 0 кадр 0
Пакеты TX 512 байт 54725 (53,4 КБ)
Ошибки передачи 0 сброшены 0 переполнения 0 несущей 0 коллизий 0
устройство прерывания 37
ppp1: flags = 4305 mtu 1350
inet 172.16.1.2 сетевая маска 255.255.255.255 назначение 172.16.1.1
ppp txqueuelen 3 (протокол точка-точка)
Пакеты приема 8 байтов 118 (118,0 Б)
Ошибки RX 0 сброшено 0 переполнений 0 кадр 0
Пакеты TX 8 байтов 99 (99,0 Б)
Ошибки передачи 0 сброшены 0 переполнения 0 несущей 0 коллизий 0
/etc/3proxy/3proxy.cfg:
сетгид 115
setuid 109
#nserver 192.168.1.1
nсервер 172.16.1.1
nscache 65536
таймауты 1 5 30 60 180 1800 15 60
# Теоретически с этого момента трафик должен проходить через интерфейс ppp1.внешний 172.16.1.2
внутренний 192.168.1.20
пользователи $ / etc / 3proxy / .proxyauth
демон
журнал /var/log/3proxy/3proxy.log D
logformat "- + _L% t.%.% N.% p% E% U% C:% c% R:% r% O% I% h% T"
кеш аутентификации сильный
прокси -n -p8080 -a
И еще: DNS-трафик, отправляемый 3proxy, свободно проходит (идет и возвращается) через ppp1 (отслеживается с помощью tcpdump).
Мы используем пакеты на основе OpenWRT в маршрутизаторах ZyXel Keenetic / Sudo Null IT News
Не так давно ZyXel поддерживал OPKG, модуль с открытым исходным кодом, для пакетов из популярной ОС OpenWRT для домашних маршрутизаторов.Это означает, что на некоторых из них теперь можно делать ставки на ZyXel Keenetic. В этой статье я опишу процесс включения пакета, настройки репозитория Entware с тысячами пакетов и настройки маршрутизатора в качестве клиента OpenVPN.
На данный момент проект заселен и обсуждается в этом форуме.
Требования — любая кинетика с последней версией NDMSv2 и USB-портом, кроме моделей 4GII / III. Возможно, на некоторых устройствах для появления необходимых компонентов потребуется перейти на бета-ветку прошивки.
Первым делом заходим в настройки роутера, а там в обновлениях устанавливаем, выбирая необходимые опции, компоненты поддержки Open Package, IPv6, а также все компоненты из раздела USB-накопитель. IPv6 необходим для правильной работы netfilter, когда мы направляем трафик в туннель. Вам также понадобится FTP-компонент на устройстве, если файлы конфигурации загружаются не напрямую на USB-накопитель, а через сеть.
На флешке создайте раздел ext2 / ext3 с любой меткой на латинице (например, keendev), подключите его к роутеру и создайте установочную папку на разделе с меткой keendev.
Далее в эту папку необходимо загрузить установочный файл:
— для Keenetic DSL, LTE, VOX — mips;
— для других интернет-центров — mipsel;
Затем на странице «Приложения> OPKG» поставьте галку «Включить». Затем выберите из списка нужный USB-накопитель, в поле «Script initrc:» введите /opt/etc/init.d/rc.unslung и нажмите «Применить».
Если все было сделано правильно, то строчка «… Установка Entware-Keenetic завершена!» Через некоторое время появится в системном журнале.
Теперь можно зайти в кинетику по ssh, root логин, пароль zyxel.
Пароль никоим образом не связан с паролем кинетики. При необходимости его можно изменить с помощью команды passwd.
Прежде всего, обновим список пакетов: opkg update
Установка пакетов выполняется с помощью команды opkg install% commandname%.
Для работы клиента OpenVPN необходимы следующие пакеты:
Необходимые пакеты dropbear — 2015.71-3
findutils — 4.6.0-1
iptables — 1.4.21-2
ldconfig — 1.0.13-4
libc — 1.0.13-4
libgcc — 5.3.0-4
liblzo — 2.09-1
libndm — 1.0.22-1
libopenssl — 1.0.2h-1
libpthread — 1.0.13-4
librt — 1.0.13-4
libssp — 5.3.0-4
libstdcpp — 5.3.0-4
ndmq — 1.0.2-1
openvpn-openssl — 2.3. 10-1
opt-ndmsv2 — 1.0-4
terminfo — 6.0-1
zlib — 1.2.8-1
Вы можете узнать уже установленные с помощью opkg list-installed, неустановленные необходимо установить без указания версия в конце, только название пакета.
В папке / opt / etc / openvpn вам нужно создать файл openvpn.conf, чтобы помочь touch и vi, примерно в следующем формате:
Пример формата файла конфигурации clientразработчик тун
fast-io
постоянный ключ
персист-тун
nobind
remote% serverIP %% port%
remote-random
pull
comp-lzo
tls-client
verify-x509-name Префикс имени сервера
ns-cert-type server
key-direction 1
route -method exe
route -delay 2
tun-mtu 1500
фрагмент 1300
mssfix 1450
глагол 3
шифр AES-256-CBC
размер ключа 256
auth SHA512
sndbuf 524288
rcvbuf 524288
—— BEGIN CERTIFIN CERTIFIN % certificate%
—- -END CERTIFICATE ——
—— BEGIN RSA PRIVATE KEY ——
% rsa key%
—— END RSA PRIVATE KEY — —
#
# 2048-битный статический ключ OpenVPN
#
—— НАЧАТЬ OpenVPN Статический ключ V1 ——
% ключ%
—— КОНЕЦ OpenVPN Статический ключ V1 —- —
—— НАЧАЛО СЕРТИФИКАТА ——
% сертификат%
—— КОНЕЦ СЕРТИФИКАТА ——
Если ваш провайдер OpenVPN предоставляет роутер.ovpn, его также можно использовать. Затем в скрипте запуска /opt/etc/init.d/S20openvpn нужно указать его в строке:
ARGS = «- daemon —cd / opt / etc / openvpn —config router.ovpn»
Чтобы указать в скрипте iptables, какие интерфейсы вам нужно использовать, вам нужно выяснить их с помощью команды ifconfig.
Ищем интерфейс с inet addr, совпадающим с локальным адресом вашего роутера. Например, это будет br0.
Теперь вам нужно зарегистрировать скрипт iptables в каталоге cd / opt / etc / ndm / netfilter.d папку. Назовем его openvpnfil.sh:
Iptables script #! / bin / sh [«$ table»! = filter] && exit 0
iptables -I FORWARD -i br0 -o tun + -j ACCEPT
iptables -I FORWARD -i tun + -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun + -j MASQUERADE
Теперь необходимо перезагрузить роутер.
После перезагрузки снова заходим по ssh и включаем OpenVPN, если он не включился при загрузке:
/opt/etc/init.d/S20openvpn start
В логах кинетики (уже в веб-конфигураторе ) можно посмотреть, все ли в порядке.Также будет сказано, где и что плохого, если что-то пойдет не так.
Что такое протокол WireGuard VPN и как его использовать с VPN Unlimited
Мир кибербезопасности развивается, как и KeepSolid VPN Unlimited! Идя в ногу с последними тенденциями в области технологий, мы внедряем протокол VPN нового поколения WireGuard®. Хотя он все еще находится в стадии разработки и тестирования, по прогнозам он превзойдет существующие протоколы по многим параметрам. Что такое WireGuard®, зачем его использовать, какими преимуществами он может похвастаться, как использовать WireGuard® в приложении KeepSolid VPN Unlimited? Читайте и находите ответы в этой статье!
- Что такое протокол WireGuard®
- Зачем использовать протокол WireGuard® VPN: основные преимущества
- Обновленная технология шифрования
- Простая база кода
- Лучшая производительность
- Кросс-платформенное использование
- Как начать использовать протокол WireGuard®
- Итог по протоколу WireGuard® VPN
WireGuard® — это новый протокол VPN с открытым исходным кодом, который использует современную криптографию и стремится быть проще, быстрее и безопаснее, чем существующие протоколы VPN.Считается, что он лучше разработан, чем протокол IPSec, и обеспечивает лучшую производительность, чем OpenVPN.
Разработанный Джейсоном Доненфельдом и представленный в 2018 году, WireGuard® был быстро принят пользователями во всем мире. Он даже привлек внимание Linux Torvalds, разработчика Linux, который назвал это произведением или искусством:
Могу я еще раз заявить о своей любви к нему (WireGuard®) и надеяться, что он скоро будет объединен? Может быть, код не идеален, но я бегло просмотрел его, и по сравнению с ужасами OpenVPN и IPSec, это произведение искусства.
Что такого особенного в WireGuard®? Что ж, у него есть некоторые преимущества перед существующими протоколами VPN.
Зачем использовать протокол WireGuard® VPN: основные преимущества Обновленная технология шифрования Джейсон Доненфельд намеревался обновить то, что он считал устаревшими аспектами протоколов OpenVPN и IPSec. При этом WireGuard® избегает стандартных алгоритмов, которые имеют длительные недостатки, в пользу самых современных и сильнейших криптографических примитивов (низкоуровневых алгоритмов).Как указано на сайте WireGuard®, используются следующие шифры:
- ChaCha20 для симметричного шифрования с использованием Poly1305 для аутентификации
- Curve25519 для ECDH (Эллиптическая кривая Диффи-Хеллмана, протокол согласования ключей для установления общего секрета по незащищенному каналу)
- SipHash34 для хэшируемых ключей
- BLAKE2 для хеширования и хеширования с ключом
- HKDF для получения ключей
Протокол WireGuard® имеет гораздо более легкую сборку, чем большинство протоколов VPN (по крайней мере, с открытым исходным кодом, с видимыми кодами).В целом WireGuard® весит около 4000 строк кода, что резко контрастирует с 600 000 строк OpenVPN и OpenSSL вместе взятых. IPSec также довольно громоздок, насчитывая 400 000 строк вместе с XFRM и StrongSwan.
В чем выгода? Собственно плюсов несколько:
- Меньшее количество строк кода подразумевает гораздо меньшую поверхность атаки по сравнению с OpenVPN и IPSec.
- Меньшую кодовую базу намного легче проверять. OpenVPN потребует группы аудиторов, которые будут проверять его в течение нескольких дней, в то время как один человек может проверить код WireGuard® всего за несколько часов.
- Более простой аудит означает, что легче находить уязвимости и обеспечивать безопасность протокола.
- Менее объемный код также означает, что он с большей вероятностью будет работать должным образом.
Высокоскоростные криптографические примитивы и особенности технологии WireGuard® потенциально могут значительно улучшить производительность как на небольших устройствах, таких как смартфоны, так и на загруженных магистральных маршрутизаторах.
Небольшая база кодаWireGuard® позволяет ему предлагать пользователям довольно приличные скорости.Предполагается, что он должен быть способен быстрее устанавливать соединения и устанавливать связь, в то же время обеспечивая повышенную надежность. Мобильные пользователи особенно выиграют от WireGuard®, так как он менее ресурсоемкий и не потребляет слишком много заряда батареи.
В целом, протокол WireGuard® должен превосходить другие протоколы с точки зрения:
- Скорость
- Надежность
- Более длительное время автономной работы смартфонов и планшетов
- Более быстрое подключение и повторное подключение
Хотя изначально он был выпущен для операционных систем на базе Linux, WireGuard® теперь может быть адаптирован для ряда различных платформ.Например, его можно использовать в системах под управлением macOS, Ubuntu, iOS и Android, таким образом охватывая широкий спектр устройств.
Как начать использовать протокол WireGuard®В настоящее время провайдеров WireGuard® VPN не так много. Однако KeepSolid VPN Unlimited предлагает вам возможность самостоятельно опробовать этот самый современный протокол VPN. Все, что вам нужно сделать, это выполнить несколько простых шагов ниже:
- Загрузите приложение KeepSolid VPN Unlimited.
- Создайте свой KeepSolid ID или войдите в систему.
- Перейдите в меню приложения> Настройки.
- Перейдите в раздел «Протоколы» и выберите WireGuard®.
- Начните знакомство с протоколом нового поколения!
Примечание : В настоящее время мы реализовали протокол WireGuard® в версиях приложения KeepSolid VPN Unlimited для macOS и Android. Хотя WireGuard® уже доступен для пользователей Personal Server и Personal IP, скоро появится WireGuard® для Windows и iOS для всех серверов VPN, следите за обновлениями!
Итог по протоколу WireGuard® VPNОбеспечение высокоскоростного соединения и непревзойденной безопасности одновременно является постоянной проблемой для служб VPN.Однако инновационное решение WireGuard® вносит радикальные изменения в отрасль, предлагая простую сборку, высокую скорость соединения и надежную криптографию.
Погрузитесь в новые расширенные возможности VPN с KeepSolid VPN Unlimited и WireGuard®, протоколом VPN будущего!
«WireGuard» — зарегистрированная торговая марка Джейсона А. Доненфельда.
Keenetic vpn server. OpenVPN сервер
СоединениеIPsec обеспечивает абсолютно безопасный доступ к домашней сети со смартфона или планшета: Android и iOS имеют удобные встроенные клиенты для этого типа VPN.ПРИМЕЧАНИЕ: Важно! Если какое-либо из этих условий не выполняется, невозможно будет подключиться к такому серверу из Интернета. Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента». Затем перейдите на страницу «Приложения».
Этот ключ безопасности необходимо будет использовать на клиенте при настройке VPN-соединения. Параметр «NAT для клиентов» по умолчанию включен в настройках сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет.Общее количество возможных одновременных подключений ограничено размером пула IP-адресов. Как и исходный IP-адрес, этот параметр не следует изменять без необходимости.
Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту IP-адресов. В разделе «Пользователи» выберите учетные записи, которым вы хотите разрешить доступ к VPN-серверу. Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль.Нажав на ссылку «Статистика подключений», вы можете увидеть статус подключения и дополнительную информацию об активных сеансах.
Пожалуйста, войдите, чтобы оставить комментарий. Keenetic Руководство пользователя Приложения. Последнее обновление 5 февраля. После настройки сервера переведите переключатель в состояние «Включено». Остались вопросы?
Отправить запрос. Комментарии 0 комментариев. Его можно использовать для создания виртуальной частной сети или для соединения локальных сетей. Он обеспечивает более высокую скорость соединения, чем другие протоколы VPN.
Кроме того, OpenVPN можно назвать одним из самых безопасных протоколов. ПРИМЕЧАНИЕ: Важно!
KEENETİC MODEM PERFORMANS AYARLARI [İZLEMEDEN KULLANMA]Если какое-либо из этих условий не выполнено, невозможно будет подключиться к такому серверу через Интернет. Подробное описание клиентского режима вы найдете в статье «Клиент OpenVPN». Вы можете установить компонент системы на странице «Общие настройки системы» в разделе «Обновления и компоненты», нажав «Параметры компонента».
Рассмотрим пример подключения OpenVPN типа site-to-site.
PPTP VPN сервер
Подключаем клиент Keenetic 2 Home-сегмент. После установки ПО перезагружаем компьютер. Запустите командную строку Windows от имени администратора. Блокнот скопируйте его содержимое в буфер обмена Ctrl-A, Ctrl-C и вставьте Ctrl-V в соответствующие места файлов конфигурации клиента и сервера. Примеры static-server. Есть другие закомментированные, начинающиеся с ‘;’ Настройки OpenVPN в этих файлах, которые могут быть использованы позже при необходимости.
Затем введите имя подключения в поле «Имя подключения» и вставьте содержимое статического сервера. Сохраните настройки. Чтобы разрешить трафик между домашним интерфейсом и интерфейсами OpenVPN0, которые имеют частный уровень безопасности, выполните команду :.
Если вы планируете использовать этот сервер также для подключения клиента к Интернету, выполните команду :.
На этом настройка туннеля OpenVPN завершена. Об успешной установке туннеля свидетельствуют сообщения в системном журнале на странице «Диагностика»:.
Недостатком вышеупомянутого метода аутентификации с помощью общего секретного ключа является то, что его кража с одного из участвующих VPN-хостов приводит к необходимости изменения этого ключа у всех участников.
Возникает вопрос, как безопасно передать новый ключ через незащищенный Интернет-канал. Поэтому, если необходимо подключить к серверу несколько клиентов, следует выбрать аутентификацию TLS. В этом случае у каждой стороны есть свой закрытый ключ, который никуда не передается.
Передается только сертификат открытого ключа клиента, подписанный ЦС. Такие справки выдаются на определенный срок специализированными организациями за деньги. Но для организации VPN внутри вашей компании, если нет особых требований к безопасности, вы можете использовать собственный удостоверяющий центр.
Теперь рассмотрим пример создания ключей и сертификатов в Windows для подключения двух клиентов: Keenetic-2 и Keenetic-3 к серверу Keenetic-1. В результате мы получим файл vars.Откройте этот файл в Блокноте Windows и укажите папку для их хранения, по умолчанию это «ключи» :. Сгенерированный ca.
Он будет использоваться сервером TLS.
Tesi specialistica relazioni internazionaliВ некоторых случаях процедура может занять некоторое время, например, если размер ключа — биты, она занимает десятки минут, но ее нужно выполнить только один раз :.
Файл dh В конце дважды подтвердите y, что подписываете сертификат. Благодаря этой функции можно объединить несколько интернет-центров Keenetic в одну сеть через туннель IPsec VPN в соответствии со строжайшими требованиями безопасности.
IPsec — один из самых безопасных протоколов VPN благодаря использованию криптоустойчивых алгоритмов шифрования. Давайте рассмотрим пример объединения двух локальных сетей. ПРИМЕЧАНИЕ: Важно! Адреса подключенных сетей должны принадлежать разным подсетям. Не рекомендуется использовать одно и то же адресное пространство в локальной и удаленной сети, так как это может привести к конфликту IP-адресов.
Этот тип соединения называется «соединение типа» сеть-сеть «. Один Keenetic будет действовать как ответчик IPsec, назовем его сервером, а другой Keenetic будет действовать как инициатор соединения IPsec, назовем его клиентом.
Итак, перейдем непосредственно к настройке маршрутизаторов, чтобы установить между ними защищенный туннель IPsec VPN и соединить две сети.
26280 codigo postal mexicoЭто можно сделать, щелкнув «Параметры компонента» на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов». В нашем случае интернет-центр будет действовать как сервер, поэтому включите опцию «Ждать подключения от удаленного узла», в этом случае клиент будет инициатором подключения, а сервер будет ожидать подключения.Параметр «Прибитый» предназначен для поддержания активного соединения и восстановления туннеля в случае разрыва, этот параметр можно включить на одном конце туннеля.
Опция «Обнаружение мертвого узла» предназначена для определения работоспособности туннеля. В нашем примере мы используем идентификатор домена «DN» и вводим случайное имя в пустое поле идентификатора.
Обратите внимание на идентификаторы локального и удаленного шлюза в настройках фазы 1 туннеля IPsec. Идентификаторы должны быть разными и должны быть зачеркнуты.
VPN, когда это необходимо
В случае использования нескольких туннелей настройки локальных и удаленных идентификаторов должны быть уникальными для каждого туннеля. В настройках Фазы 2 в поле «IP локальной подсети» необходимо указать адрес локальной сети в нашем примере. В противном случае туннель не будет установлен. Откроется окно «Настройка подключения IPsec». В нашем случае этот интернет-центр действует как клиент, поэтому включите опцию «Автоподключение», в этом случае клиент инициирует соединение.
Опция «Nailed-up» предназначена для сохранения активного соединения и восстановления туннеля в случае разрыва этого параметра, достаточного для включения на одном конце туннеля.Опция «Dead peer detection DPD» предназначена для определения работы туннеля. В настройках Этапа 1 поля «Идентификатор локального шлюза» и «Идентификатор удаленного шлюза» должны иметь те же идентификаторы, которые вы использовали на удаленном маршрутизаторе, но они должны быть перечеркнуты.
В разделе «Подключения IPsec» на странице «Другие подключения» отображается состояние подключения.
Сервер SSTP VPN
Если туннель установлен, состояние подключения будет «Подключено». Вот пример статуса туннеля в интернет-центре в качестве клиента:.Чтобы проверить, работает ли туннель, отправьте эхо-запрос на удаленный интернет-центр или компьютер из удаленной сети за туннелем IPsec VPN.
СОВЕТ: Совет: широковещательные пакеты e. Если туннель IPsec VPN был установлен, но вы можете проверить связь только с удаленным интернет-центром, а не с хостами в удаленной сети, то наиболее вероятно, что брандмауэр Windows или аналогичное программное обеспечение брандмауэр или брандмауэр блокирует пинг ICMP-трафика на хостах. сами себя.
Пожалуйста, войдите, чтобы оставить комментарий. Руководство пользователя интернет-центра Keenetic.Межсайтовый IPsec VPN. Последнее обновление 16 ноября, настройка Keenetic в качестве ответчика сервера, ожидание подключения IPsec. На странице «Другие подключения» в разделе «Подключения IPsec» нажмите «Создать подключение».
Mariam saab lebaneseОткроется окно «Настройка подключения IPsec». После создания соединения IPsec установите переключатель в положение «Вкл.». Настройка Keenetic в качестве инициатора клиентского IPsec-соединения. В поле «Удаленный шлюз» укажите IP-адрес или доменное имя удаленного интернет-центра.Он позволяет удаленно подключать пользователей к локальной сети.
ПРИМЕЧАНИЕ: Важно! Для подключения к серверу SSTP не нужно устанавливать никаких дополнительных программ в операционной системе Windows. В Android вам потребуется установить дополнительное приложение.
Экстранет inditex agentte aduanalДополнительную информацию можно найти в статье «Клиент SSTP». Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».
Для работы с сервером необходимо зарегистрировать интернет-центр в облачном сервисе KeenDNS и получить доменное имя в интернет-центре.
В противном случае клиент, подключающийся к серверу, не сможет установить надежное HTTPS-соединение. Вы можете сделать это на странице «Пользователи». Параметр «Множественный вход» управляет возможностью установить несколько одновременных подключений к серверу с использованием одних и тех же учетных данных.
Это не рекомендуемый сценарий из-за низкого уровня безопасности и недостатков мониторинга.Однако во время первоначальной настройки или в тех случаях, когда вы хотите разрешить установку туннеля с нескольких устройств одного и того же пользователя, вы можете оставить этот параметр включенным. Вы можете сделать это на странице конфигурации VPN-сервера в разделе «Пользователи».
По умолчанию опция «NAT для клиентов» включена в конфигурации сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет.
Во встроенном клиенте Windows эта функция включена по умолчанию, и когда туннель установлен, запросы в Интернет будут отправляться через него.
В случае настройки службы KeenDNS в режиме «Доступ к облаку» мы рекомендуем не использовать настройку «NAT для клиентов», поскольку пропускная способность туннеля в облачном соединении может быть ниже, чем пропускная способность Интернет-соединения сервера или клиента. Если вы отключите функцию «NAT для клиентов» на сервере, но не переконфигурируете политику маршрутизации по умолчанию в клиенте Windows, доступ в Интернет может не работать после установки туннеля на компьютере.
В настройках сервера в поле «Доступ к сети» при необходимости можно также указать сегмент, отличный от домашнего.В этом случае сеть указанного сегмента будет доступна через туннель.
Общее количество возможных одновременных подключений задается значением размера пула IP-адресов. Особенно полезно иметь универсальный VPN-клиент, если при подключении сетей на одной стороне нет глобального IP-адреса. Их сила в том, что они обеспечивают абсолютно безопасный доступ к домашней сети со смартфона, планшета или компьютера с минимальной конфигурацией: Android, iOS и Windows имеют удобные встроенные клиенты для обоих типов VPN.
Если вы беспокоитесь, что ваши данные могут быть перехвачены, любое интернет-устройство Keenetic может безопасно направлять интернет-трафик вашего мобильного устройства через вашу домашнюю сеть, как если бы вы были настроены дома.
Интернету хватит и для гостей, и для хостов, а безопасность домашней сети останется заблокированной.
Подключайтесь к нескольким интернет-провайдерам одновременно. В случае отказа основной сети интернет-провайдера интернет-центр автоматически переключится на резервный канал. Мы используем файлы cookie на нашем сайте, чтобы предложить вам лучший опыт просмотра, анализировать трафик сайта и предоставлять персонализированный контент, как подробно описано в нашем Уведомлении о конфиденциальности веб-сайта.Если вы нажмете «Принять все файлы cookie», вы соглашаетесь на использование файлов cookie. Чтобы изменить настройки файлов cookie, в том числе для просмотра информации о том, как отключить файлы cookie, нажмите «Настройки файлов cookie».
Мы используем файлы cookie и аналогичные технологии вместе, «Основные файлы cookie», чтобы обеспечить вам оптимальное взаимодействие с сайтом. Основные файлы cookie необходимы, чтобы вы могли использовать наш веб-сайт; поскольку они необходимы, кнопка «Основные файлы cookie» не позволяет вам их выбирать или отключать.
В дополнение к вышеупомянутым основным файлам cookie мы хотели бы использовать другие ненужные файлы cookie и аналогичные технологии в совокупности, называемые дополнительными файлами cookie, для оптимизации нашего маркетинга и анализа веб-трафика.Нажимая кнопку «Подтвердить выбор и продолжить» ниже, вы соглашаетесь с тем, что Keenetic GmbH, Kurt-Blaum-Platz 8, Hanau, Germany, собирает, хранит и обрабатывает информацию, включая ваши личные данные, с помощью дополнительных файлов cookie для целей, выбранных ниже с помощью кнопок и как более подробно описано в разделе «Показать подробности», а также в Уведомлении о конфиденциальности нашего веб-сайта.
Нажимая кнопку «Принять все и продолжить», вы даете согласие на сбор, хранение и обработку персональных данных с помощью дополнительных файлов cookie для всех целей, перечисленных рядом с кнопками.Подтвердите выбор и продолжите Принять все и продолжить. Вы можете отозвать свое согласие в любое время с будущим эффектом, как описано в нашем уведомлении о конфиденциальности.
Отзыв не влияет на законность обработки, выполненной на основании согласия до отзыва. Принимать все файлы cookie. Настройки файлов cookie. Основные файлы cookie. Маркетинговые файлы cookie. Аналитические файлы cookie — в таком туннеле можно абсолютно не беспокоиться о конфиденциальности потоков IP-телефонии или видеонаблюдения.
ПРИМЕЧАНИЕ: Важно! Если какое-либо из этих условий не выполняется, невозможно будет подключиться к такому серверу из Интернета.Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента». Затем перейдите на страницу «Приложения».
Этот ключ безопасности необходимо указать на клиенте при настройке VPN-соединения. Параметр «Множественный вход» управляет возможностью установить несколько одновременных подключений к серверу с использованием одних и тех же учетных данных. Это не рекомендуемый сценарий из-за более низкого уровня безопасности и недостатков мониторинга.Однако во время первоначальной настройки или в тех случаях, когда вы хотите разрешить установку туннеля с нескольких устройств одного и того же пользователя, вы можете оставить этот параметр включенным.
По умолчанию опция «NAT для клиентов» включена в конфигурации сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет. Во встроенном клиенте Windows эта функция включена по умолчанию, и когда туннель установлен, запросы в Интернет будут отправляться через него.
Если вы отключите функцию «NAT для клиентов» на сервере, но не переконфигурируете политику маршрутизации по умолчанию в клиенте Windows, доступ в Интернет может не работать после установки туннеля на компьютере.В настройках сервера в поле «Доступ к сети» при необходимости можно также указать сегмент, отличный от домашнего.
В этом случае сеть указанного сегмента будет доступна через туннель. Общее количество возможных одновременных подключений зависит от настройки размера пула IP-адресов. Как и в случае с начальным IP-адресом, не рекомендуется изменять этот параметр без необходимости.
Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов маршрутизатора, так как это может привести к конфликту адресов.Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль.
Нажав на ссылку «Статистика подключений», вы можете увидеть состояние подключения и дополнительную информацию об активных сеансах. Если вы хотите предоставить клиентам доступ не только к локальной сети VPN-сервера, но и в обратном направлении, т.е. Пожалуйста авторизуйтесь, чтобы оставить комментарий. Keenetic Руководство пользователя Приложения. Последнее обновление 5 февраля. После настройки сервера установите переключатель в состояние «Включено».
Есть еще вопросы?
Оставить заявку. Комментарии 0 комментариев. Встроенный PPTP-сервер обеспечивает безопасный доступ к вашей домашней сети через Интернет с вашего смартфона, планшета или компьютера из любого места, как если бы вы были дома. ПРИМЕЧАНИЕ: Важно! Если какое-либо из этих условий не будет выполнено, подключение к такому серверу из Интернета будет невозможно.
Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».Затем перейдите на страницу «Приложения».
Параметр «Множественный вход» управляет возможностью установить несколько одновременных подключений к серверу с использованием одних и тех же учетных данных. Это не рекомендуемый сценарий из-за более низкого уровня безопасности и недостатков мониторинга. Однако во время первоначальной настройки или в тех случаях, когда вы хотите разрешить установку туннеля с нескольких устройств одного и того же пользователя, вы можете оставить этот параметр включенным. Несколько клиентов могут быть подключены с одним логином и паролем, но общее количество подключений не может превышать. По умолчанию на сервере включена опция «Только с шифрованием».
По умолчанию опция «NAT для клиентов» включена в конфигурации сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет. Во встроенном клиенте Windows эта функция включена по умолчанию, и когда туннель установлен, запросы в Интернет будут отправляться через него. Если вы отключите функцию «NAT для клиентов» на сервере, но не переконфигурируете политику маршрутизации по умолчанию в клиенте Windows, доступ в Интернет может не работать после установки туннеля на компьютере.
В настройках сервера в поле «Доступ к сети» при необходимости можно также указать сегмент, отличный от домашнего. В этом случае сеть указанного сегмента будет доступна через туннель. Общее количество возможных одновременных подключений зависит от настройки размера пула IP-адресов. Как и в случае с начальным IP-адресом, не рекомендуется изменять этот параметр без необходимости.
Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов маршрутизатора, так как это может привести к конфликту адресов.В разделе «Пользователи» выберите пользователей, которым вы хотите разрешить доступ к PPTP-серверу и локальной сети. Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль. Нажав на ссылку «Статистика подключений», вы можете увидеть статус подключения и дополнительную информацию об активных сеансах.
Если вы хотите предоставить клиентам доступ не только к локальной сети VPN-сервера, но и в обратном направлении, т.е. Пожалуйста авторизуйтесь, чтобы оставить комментарий. Keenetic Руководство пользователя Приложения.Последнее обновление 05 февраля, Настраиваем сервер. После настройки сервера установите переключатель в состояние «Включен». Остались вопросы? Отправить запрос. Комментарии 0 комментариев.
Keenetic vpn клиент. Сервер SSTP VPN
Благодаря этой функции можно объединить несколько маршрутизаторов Keenetic в одну сеть через туннель IPsec VPN в соответствии со строжайшими требованиями безопасности. IPsec — один из самых безопасных протоколов VPN благодаря использованию криптоустойчивых алгоритмов шифрования.Давайте рассмотрим пример объединения двух локальных сетей. ПРИМЕЧАНИЕ: Важно! Адреса подключенных сетей должны принадлежать разным подсетям.
Не рекомендуется использовать одно и то же адресное пространство в локальной и удаленной сети, так как это может привести к конфликту IP-адресов. Этот тип подключения называется «соединение типа« сеть-сеть »».
Один Keenetic будет действовать как ответчик IPsec, назовем его сервером, а другой Keenetic будет действовать как инициатор соединения IPsec, назовем его клиентом.Итак, перейдем непосредственно к настройке маршрутизаторов, чтобы установить между ними безопасный туннель IPsec VPN и соединить две сети. Вы можете сделать это, щелкнув «Параметры компонента» на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов».
В нашем случае интернет-центр будет действовать как сервер, поэтому включите опцию «Ждать подключения от удаленного узла», в этом случае клиент будет инициатором подключения, а сервер будет ожидать подключения.
Параметр «Прибитый» предназначен для сохранения активного соединения и восстановления туннеля в случае разрыва, этот параметр можно включить на одном конце туннеля. Опция «Обнаружение мертвого узла» предназначена для определения работоспособности туннеля.
В нашем примере мы используем идентификатор домена «DN» и вводим случайное имя в пустое поле идентификатора. Обратите внимание на идентификаторы локального и удаленного шлюза в настройках фазы 1 туннеля IPsec. Идентификаторы должны быть разными и должны быть зачеркнуты.В случае нескольких туннелей настройки локальных и удаленных идентификаторов должны быть уникальными для каждого туннеля.
В настройках Фазы 2 в поле «IP локальной подсети» необходимо указать адрес локальной сети в нашем примере. В противном случае туннель не будет установлен. Откроется окно «Настройка подключения IPsec». В нашем случае этот интернет-центр действует как клиент, поэтому включите опцию «Автоподключение», в этом случае клиент инициирует соединение.
Invadedlands ipОпция «Nailed-up» предназначена для сохранения активного соединения и восстановления туннеля в случае обрыва этого параметра достаточно для включения на одном конце туннеля.Опция «Dead peer detection DPD» предназначена для определения работы туннеля. В настройках Этапа 1 поля «Идентификатор локального шлюза» и «Идентификатор удаленного шлюза» должны иметь те же идентификаторы, которые вы использовали на удаленном маршрутизаторе, но они должны быть перечеркнуты.
В разделе «Подключения IPsec» на странице «Другие подключения» отображается состояние подключения. Если туннель установлен, статус подключения будет «Подключено».
Вот пример статуса туннеля в интернет-центре в качестве клиента:.
IPsec VPN между узлами
Чтобы проверить, работает ли туннель, отправьте эхо-запрос на удаленный интернет-центр или компьютер из удаленной сети за туннелем IPsec VPN. СОВЕТ: Совет: широковещательные пакеты e. Если туннель IPsec VPN был установлен, но вы можете проверить связь только с удаленным интернет-центром, а не с хостами в удаленной сети, то наиболее вероятно, что брандмауэр Windows или аналогичное программное обеспечение брандмауэр или брандмауэр блокирует пинг ICMP-трафика на хостах. сами себя.
Пожалуйста, войдите, чтобы оставить комментарий.Руководство пользователя интернет-центра Keenetic. IPsec VPN site-to-site. Его можно использовать для создания виртуальной частной сети или для соединения локальных сетей.
Он обеспечивает более высокую скорость соединения, чем другие протоколы VPN. Также OpenVPN можно назвать одним из самых безопасных протоколов. Поддержка клиентов OpenVPN интегрирована в роутеры Keenetic. Подробное описание режима сервера можно найти в статье «Сервер OpenVPN».
Вы можете установить системный компонент на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».ПРИМЕЧАНИЕ: Важно!
Маршрутизаторы Keenetic используют строгие требования к конфигурации OpenVPN. Ниже приведены некоторые основные требования: — Конфигурация должна быть в одном файле. Некоторые из описанных выше параметров могут не поддерживаться.
Чтобы получить резервную копию настроек клиентского интерфейса OpenVPN, необходимо сохранить ее отдельно. Ниже мы рассмотрим некоторые из них. Вариант 1. Загрузите файл конфигурации с сайта сервера OpenVPN, к которому вы планируете подключиться.
Vhd2diskНапример, на www.Файл конфигурации с расширением.
Почтовый индекс 98188Открыть в любом текстовом редакторе e. Блокнот и скопируйте все содержимое в буфер обмена, нажав Ctrl-A, а затем Ctrl-C на клавиатуре.
Типы VPN в интернет-центрах Keenetic
Затем введите имя подключения в поле «Имя подключения» и в поле «Конфигурация OpenVPN» вставьте скопированную конфигурацию из буфера обмена, нажав Ctrl-V. Сохраните настройки. Чтобы настроить график работы или определить интерфейс, через который будет работать соединение, нажмите «Показать дополнительные настройки».Как только соединение будет установлено, переведите переключатель в состояние «Вкл.». Статус подключения также будет отображаться на этой странице.
СОВЕТ: Совет: Если вы хотите использовать это соединение для доступа в Интернет, назначьте ему наивысший приоритет. Информацию о приоритетах вы найдете в статье «Приоритеты подключения». Вариант 2. В таком туннеле можно не беспокоиться о конфиденциальности данных файлового сервера, IP-телефонии или потоков видеонаблюдения. Затем введите имя подключения в поле «Имя подключения», а в поле «Адрес сервера» введите доменное имя или IP-адрес сервера.
В поле «Секретный ключ» укажите предварительно согласованный ключ, который установлен на сервере. Чтобы настроить параметры IP, график работы или интерфейс, через который должно работать соединение, нажмите «Показать дополнительные параметры».
После установления соединения переведите переключатель в положение «Вкл.». На этой же странице также будет отображаться статус подключения. Чтобы проверить соединение, обратитесь к ресурсу в удаленной сети или проверьте связь с хостом в локальной сети удаленного сетевого сервера с клиентского компьютера.Информацию о приоритетах вы найдете в статье «Приоритеты подключения».
Пожалуйста, войдите, чтобы оставить комментарий. Руководство пользователя интернет-центра Keenetic. Последнее обновление 30 октября. Есть еще вопросы? Отправить запрос. Комментарии 0 комментариев. Позволяет удаленно подключать пользователей к локальной сети.
ПРИМЕЧАНИЕ: Важно! Для подключения к серверу SSTP не нужно устанавливать никаких дополнительных программ в операционной системе Windows. В Android вам потребуется установить дополнительное приложение.Более подробную информацию вы можете найти в статье «SSTP-клиент». Вы можете сделать это на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонента».
Для работы с сервером необходимо зарегистрировать интернет-центр в облачном сервисе KeenDNS и получить доменное имя в интернет-центре. В противном случае клиент, подключающийся к серверу, не сможет установить надежное HTTPS-соединение.
Вы можете сделать это на странице «Пользователи». Параметр «Множественный вход» управляет возможностью установить несколько одновременных подключений к серверу с использованием одних и тех же учетных данных.Это не рекомендуемый сценарий из-за более низкого уровня безопасности и недостатков мониторинга.
Комбо для тренажерного зала 40 кгОднако во время начальной настройки или в случаях, когда вы хотите разрешить установку туннеля с нескольких устройств одного и того же пользователя, вы можете оставить этот параметр включенным. Вы можете сделать это на странице конфигурации VPN-сервера в разделе «Пользователи». По умолчанию опция «NAT для клиентов» включена в конфигурации сервера.
Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет.Во встроенном клиенте Windows эта функция включена по умолчанию, и когда туннель установлен, запросы в Интернет будут отправляться через него. В случае настройки службы KeenDNS в режиме «Облачный доступ» мы рекомендуем не использовать настройку «NAT для клиентов», потому что пропускная способность туннеля в облачном соединении может быть ниже, чем пропускная способность интернет-соединения сервера или клиента.
Если вы отключите функцию «NAT для клиентов» на сервере, но не переконфигурируете политику маршрутизации по умолчанию в клиенте Windows, доступ в Интернет может не работать после установки туннеля на компьютере.В настройках сервера в поле «Доступ к сети» при необходимости можно также указать сегмент, отличный от домашнего. В этом случае сеть указанного сегмента будет доступна через туннель. Общее количество возможных одновременных подключений задается значением размера пула IP-адресов.
Как и исходный IP-адрес, этот параметр не следует изменять без необходимости. Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов маршрутизатора, так как это может привести к конфликту адресов.В разделе «Пользователи» выберите пользователей, которым вы хотите разрешить доступ к серверу SSTP и локальной сети. Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль. Нажав на ссылку «Статистика подключений», вы можете увидеть статус подключения и дополнительную информацию об активных сеансах.
Если вы хотите предоставить клиентам доступ не только к локальной сети VPN-сервера, но и в обратном направлении, т.е. Пожалуйста авторизуйтесь, чтобы оставить комментарий. Keenetic Руководство пользователя Приложения.Последнее обновление 05 февраля. Затем перейдите на страницу «Приложения». Теперь перейдем к настройке сервера SSTP. Настройте сервер. Встроенный PPTP-сервер обеспечивает безопасный доступ к вашей домашней сети через Интернет со смартфона, планшета или компьютера из любого места, как если бы вы были дома.
ПРИМЕЧАНИЕ: Важно! Если какое-либо из этих условий не будет выполнено, подключение к такому серверу из Интернета будет невозможно.
Усилитель для наушников Rega mk1Это можно сделать на странице «Общие настройки системы» в разделе «Обновления и параметры компонентов», щелкнув «Параметры компонентов».
Затем перейдите на страницу «Приложения». Параметр «Множественный вход» управляет возможностью установить несколько одновременных подключений к серверу с использованием одних и тех же учетных данных.
Это не рекомендуемый сценарий из-за низкого уровня безопасности и недостатков мониторинга. Однако во время первоначальной настройки или в тех случаях, когда вы хотите разрешить установку туннеля с нескольких устройств одного и того же пользователя, вы можете оставить этот параметр включенным. Несколько клиентов могут быть подключены с одним логином и паролем, но общее количество подключений не может превышать. По умолчанию на сервере включена опция «Только с шифрованием».
По умолчанию опция «NAT для клиентов» включена в конфигурации сервера. Этот параметр используется, чтобы разрешить клиентам VPN-сервера доступ в Интернет. Во встроенном клиенте Windows эта функция включена по умолчанию, и когда туннель установлен, запросы в Интернет будут отправляться через него.
Если вы отключите функцию «NAT для клиентов» на сервере, но не переконфигурируете политику маршрутизации по умолчанию в клиенте Windows, доступ в Интернет может не работать после установки туннеля на компьютере.В настройках сервера в поле «Доступ к сети» при необходимости можно также указать сегмент, отличный от домашнего.
В этом случае сеть указанного сегмента будет доступна через туннель. Общее количество возможных одновременных подключений зависит от настройки размера пула IP-адресов. Как и в случае с начальным IP-адресом, не рекомендуется изменять этот параметр без необходимости. Указанная IP-подсеть не должна совпадать или пересекаться с IP-адресами других интерфейсов маршрутизатора, так как это может привести к конфликту адресов.
В разделе «Пользователи» выберите пользователей, которым нужно разрешить доступ к PPTP-серверу и локальной сети.
Здесь вы также можете добавить нового пользователя, указав имя пользователя и пароль. Нажав на ссылку «Статистика подключений», вы можете увидеть статус подключения и дополнительную информацию об активных сеансах. Если вы хотите предоставить клиентам доступ не только к локальной сети VPN-сервера, но и в обратном направлении, т.е. Пожалуйста авторизуйтесь, чтобы оставить комментарий.Keenetic Руководство пользователя Приложения. Последнее обновление 5 февраля. Настройка сервера. VPN Virtual Private Network — общее название для технологий, которые предоставляют один или несколько туннелей сетевых подключений через другую сеть. E.
Есть много причин для использования виртуальных частных сетей.
L2TP VPN KEENETICНаиболее распространенными из них являются безопасность и конфиденциальность данных. Конфиденциальность исходных пользовательских данных гарантируется средствами защиты данных в виртуальных частных сетях.Известно, что сети Интернет-протокола IP имеют «слабое место» из-за структуры протокола. Нет никаких средств защиты передаваемых данных и нет гарантии, что отправитель является тем, кем он себя называет. Данные в IP-сети можно легко подделать или перехватить. В этом случае вам не нужно беспокоиться о безопасности передаваемых данных, потому что VPN-соединение между клиентом и сервером обычно зашифровано.
С помощью маршрутизатора Keenetic ваша домашняя сеть может быть подключена через VPN к общедоступной службе VPN, офисной сети или другому устройству Keenetic, независимо от типа подключения к Интернету.В зависимости от используемых протоколов и цели, VPN может предоставлять соединения в различных сценариях: хост-хост, хост-сеть, хост-сеть, клиент-сервер, клиент-сервер, маршрутизатор-маршрутизатор, маршрутизатор-маршрутизатор, концентратор VPN, сеть-сеть. -на сайт.
Если вы не знаете, какой тип VPN выбрать, вам помогут приведенные ниже таблицы и рекомендации. ПРИМЕЧАНИЕ: Важно! Количество клиентских подключений ограничено выделенным пространством для хранения сервисов 24 Кбайта для конфигураций VPN. Это особенно важно для соединений OpenVPN, так как общий размер их конфигураций не должен превышать 24 Кбайт.
Они великолепны, потому что обеспечивают безопасный доступ к вашей домашней сети со смартфона, планшета или компьютера с минимальной конфигурацией: Android, iOS и Windows имеют удобные встроенные клиенты для этих типов VPN. Основным преимуществом туннеля SSTP является его способность работать через облако, т.е. Обратите внимание, что эта функция реализована на нашем облачном сервере и доступна только для пользователей интернет-центра.
Что касается туннельного протокола PPTP, то он наиболее простой и удобный в настройке, но потенциально уязвим по сравнению с другими типами VPN.Однако лучше использовать его, чем вообще не использовать VPN.
Настройка туннеля этого типа доступна только в интерфейсе командной строки интерфейса командной строки маршрутизатора. Для получения дополнительной информации о настройке различных типов VPN на устройствах Keenetic прочтите инструкции :. Пожалуйста авторизуйтесь, чтобы оставить комментарий. Руководство пользователя интернет-центра Keenetic. Типы VPN в интернет-центрах Keenetic. Последнее обновление 18 января. Есть еще вопросы?
Отправить запрос. Комментарии 0 комментариев. Тип VPN. Количество одновременных подключений.Клиент: до Сервера: без ограничений. Уровень защиты данных.Особенно полезно иметь универсальный VPN-клиент, если при подключении сетей на одной стороне нет глобального IP-адреса.
Их сила в том, что они обеспечивают абсолютно безопасный доступ к домашней сети со смартфона, планшета или компьютера с минимальной конфигурацией: Android, iOS и Windows имеют удобные встроенные клиенты для обоих типов VPN. Если вы беспокоитесь, что ваши данные могут быть перехвачены, любое интернет-устройство Keenetic может безопасно направлять интернет-трафик вашего мобильного устройства через домашнюю сеть, как если бы вы были настроены дома.
Интернету хватит и для гостей, и для хостов, а безопасность домашней сети останется заблокированной. Подключайтесь к нескольким интернет-провайдерам одновременно. В случае отказа основной сети интернет-провайдера интернет-центр автоматически переключится на резервный канал.
Мы используем файлы cookie на нашем сайте, чтобы предложить вам лучший опыт просмотра, анализировать посещаемость сайта и предоставлять персонализированный контент, как подробно описано в нашем Уведомлении о конфиденциальности веб-сайта.
Если вы нажмете «Принять все файлы cookie», вы соглашаетесь на использование файлов cookie.Чтобы изменить настройки файлов cookie, в том числе для просмотра информации о том, как отключить файлы cookie, нажмите «Настройки файлов cookie». Мы используем файлы cookie и аналогичные технологии вместе, «Основные файлы cookie», чтобы обеспечить вам оптимальное взаимодействие с сайтом. Основные файлы cookie необходимы, чтобы вы могли использовать наш веб-сайт; поскольку они необходимы, кнопка «Основные файлы cookie» не позволяет вам их выбирать или отключать.
В дополнение к вышеупомянутым основным файлам cookie мы хотели бы использовать другие ненужные файлы cookie и аналогичные технологии в совокупности, называемые дополнительными файлами cookie, для оптимизации нашего маркетинга и анализа веб-трафика.Нажимая кнопку «Подтвердить выбор и продолжить» ниже, вы соглашаетесь с тем, что Keenetic GmbH, Kurt-Blaum-Platz 8, Hanau, Germany, собирает, хранит и обрабатывает информацию, включая ваши личные данные, с помощью дополнительных файлов cookie для целей, выбранных ниже с помощью кнопок и как более подробно описано в разделе «Показать подробности», а также в Уведомлении о конфиденциальности нашего веб-сайта.
Нажимая кнопку «Принять все и продолжить», вы даете согласие на сбор, хранение и обработку персональных данных с помощью дополнительных файлов cookie для всех целей, перечисленных рядом с кнопками.