Пример организации туннеля IPSec VPN между интернет-центром Keenetic Giga III/Ultra II и шлюзом безопасности. Vpn туннель между двумя роутерами keenetic


Пример организации туннеля IPSec VPN между интернет-центром Keenetic Giga III/Ultra II и шлюзом безопасности

Как настроить туннель IPSec VPN между интернет-центром Keenetic Giga III/Ultra II и удаленным аппаратным шлюзом для безопасного подключения к офисной сети?

В интернет-центрах (роутерах) Keenetic Giga (KN-1010), Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Giga II, Ultra и Keenetic II реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, создавать защищённые соединения по VPN-туннелю. Это может быть удобно для безопасного подключения из домашней сети к корпоративному серверу, который находится в офисной сети.

 

Далее подробно рассмотрим пример подключения из домашней локальной сети к офисной корпоративной сети через туннель IPSec VPN, установленный между интернет-центром Keenetic Giga III и аппаратным шлюзом безопасности.

 

Установить туннель IPSec VPN можно как в пределах локальной сети (когда на внешних интерфейсах WAN роутера и шлюза безопасности используются частные/внутренние IP-адреса, их называют еще "серые"), так и через глобальную сеть Интернет (когда на внешних интерфейсах WAN роутера и шлюза безопасности используются публичные/внешние IP-адреса, их называют также "белые"). Рекомендуется использовать статический/постоянный IP-адрес на WAN-интерфейсах, либо использовать сервис динамических доменных имен DyDNS. Настройка сервиса динамического DNS в интернет-центрах серии Keenetic представлена в статье «Настройка и использование сервиса динамического DNS от No-IP».

 

В нашем примере организация туннеля IPSec VPN будет осуществляться в рамках замкнутой локальной сети, т.е. на внешних интерфейсах WAN устройств будут использоваться частные/внутренние IP-адреса.

Важно! Для построения туннеля IPSec VPN через глобальную сеть Интернет, на внешних интерфейсах устройств, которые будут участвовать в построении VPN-туннеля, нужно использовать публичный/внешний IP-адрес.

Адреса локальной и удаленной сети должны быть из разных подсетей. Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов. Например, в нашем случае домашняя сеть имеет адресное пространство – 192.168.8.0/24, а в офисной сети используется адресное пространство – 192.168.1.0/24.

 

Мы рассмотрим сценарий, в котором аппаратный шлюз безопасности будет выступать в роли сервера IPSec VPN, а интернет-центр Keenetic Giga III в роли клиента.

В нашем случае шлюз работает в сети 192.168.1.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.1.2 и выше) и имеет IP-адрес для управления 192.168.1.1. На внешнем интерфейсе WAN этого шлюза установлен вручную статический IP-адрес из другой подсети 10.10.1.1 (в вашем случае это может быть внешний/публичный IP-адрес).

Роутер Keenetic Giga III работает в домашней сети 192.168.8.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.8.2 и выше) и имеет IP-адрес для управления 192.168.8.1. На внешнем интерфейсе WAN этого роутера установлен вручную статический IP-адрес из подсети 10.10.1.2 (в вашем случае это может быть внешний/публичный IP-адрес).

Необходимо организовать безопасный туннель IPSec VPN между роутером и аппаратным шлюзом безопасности для подключения к офисной сети. Туннель будет устанавливаться между IP-адресами на внешних интерфейсах двух устройств.

 

1. Выполните настройку шлюза безопасности.

 

 

Обращаем ваше внимание, что значения параметров при настройке Фазы 1 и Фазы 2 IPSec-туннеля обязательно должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-подключение не установится.

 

2. Настройка интернет-центра Keenetic Giga III, который будет осуществлять подключение к удаленному шлюзу по туннелю IPSec VPN.

 

Сначала необходимо проверить, что в роутере установлен специальный компонент микропрограммы IPsec VPN (клиент/сервер IPSec VPN для создания защищённых IP-соединений). Проверить наличие компонента можно через встроенный веб-конфигуратор устройства в меню Система > Обновление. Компонент IPsec сервер находится в разделе Applications (приложения). Убедитесь, что около данного компонента установлена галочка. Если галочка отсутствует, установите её и нажмите кнопку Обновить, которая находится в нижней части окна. Запустится процесс обновления компонентов микропрограммы в устройстве. Дополнительную информацию по обновлению компонентов, вы можете найти в статье «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор».

 

Теперь перейдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.Откроется окно Настройка IPsec подключения. В нашем примере Keenetic Giga III выполняет роль клиента, поэтому поставим галочку в поле Автоподключение (в этом случае инициатором подключения выступает клиентский роутер). Опция Nail up поддерживает соединение в активном состоянии и восстанавливает его при разрыве (данный параметр достаточно включить на одном из концов туннеля) и опция Обнаружение неработающего пира DPD (Dead Peer Detection) предназначена для определения работоспособности туннеля. В поле Удаленный шлюз укажите IP-адрес удаленного шлюза, который используется на внешнем интерфейсе WAN (в нашем примере это статический IP-адрес 10.10.1.1, но в вашем случае это может быть внешний/публичный IP-адрес).

 

В настройках Фазы 1 в полях Идентификатор этого шлюза и Идентификатор удаленного шлюза нужно указать тот идентификатор, который вы использовали на удаленном шлюзе (в нашем примере, на шлюзе используется идентификатор адрес IP со значением 0.0.0.0). Главное, чтобы идентификаторы и их значения совпадали на обоих сторонах туннеля. В нашем примере используется версия протокола IKE v1.

В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.8.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за установленным туннелем (в нашем примере 192.168.1.0).

Важно! Адреса локальной и удаленной сети должны быть из разных подсетей. Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.

В нашем примере используются следующие настройки Фаза 1 – Main, DES, MD5, Dh2 и настройки Фаза 2 – Tunnel, DES, SHA1.

На обоих устройствах аналогичные настройки Фазы 1 и Фазы 2 обязательно должны совпадать!

Сделав настройки IPSec-подключения нажмите кнопку Применить.

После создания подключения нужно обязательно в меню Безопасность > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить.

 

3. Мониторинг состояния туннеля IPSec VPN.

 

Итак, настройки IPSec-подключения были выполнены на обоих устройствах. Если они указаны верно, то туннель IPSec VPN должен установиться между устройствами.

Для мониторинга состояния туннеля на Keenetic Giga III перейдите в меню Системный монитор на закладку IPsec VPN.

В нашем примере VPN-туннель IPSec успешно установился. Вот пример статуса туннеля на роутере Keenetic Giga III:

 

Для проверки работоспособности туннеля можно с компьютера локальной домашней сети Keenetic Giga III выполнить пинг какого-нибудь компьютера или сервера корпоративной сети, который находится за туннелем IPSec в сети удаленного шлюза.

 

Примечание

 

Предположим, что аппаратный шлюз и интернет-центр Keenetic Ultra II/Giga III объединены IPSec-туннелем (доступ между подсетями настроен).

Вопрос: Возможно ли выполнить такую настройку, чтобы после установки IPSec-туннеля локальная сеть за Keenetic получила бы выход в Интернет по IPSec-туннелю VPN, т.е. через интернет-провайдера удаленного шлюза?

Ответ: Организовать такую схему подключения с помощью интернет-центра Keenetic нельзя (это домашний роутер и модуль IPSec предназначен для объединения локальных подсетей, в нем реализованы более простые функции туннеля, чем в профессиональных шлюзах).

 

Если на устройстве есть возможность использовать версию протокола IKE v2, используйте её. Если устройство не поддерживает IKE v2, используйте версию IKE v1. Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nail up и Обнаружение неработающего пира (DPD).

 

KB-4858

help.keenetic.net

Настройка туннеля IPSec VPN (IPSec Virtual IP) между Keenetic и мобильным устройством с iOS – Keenetic

Возможность настройки VPN-туннеля IPSec, между интернет-центром Keenetic и мобильным устройством на базе операционной системы iOS, стала доступна с микропрограммы бета-версии NDMS V2.08.B0. На момент написания статьи данная возможность реализована для Keenetic Giga (KN-1010), Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Viva, Extra, Omni II, а также Keenetic III.

Настройка IPSec-подключения в KeeneticДля настройки интернет-центра необходим установленный компонент микропрограммы IPsec VPN.

В меню Безопасность > IPsec VPN нужно включить галочку для работы туннеля и нажать кнопку Применить.

Далее нужно настроить VPN-подключение в разделе IPsec Virtual IP сервер.

В поле Имя укажите название подключения, в поле Ключ PSK необходимо указать пароль для подключения (минимум 8 символов), в поле Локальная сеть указывается подсеть интернет-центра, к которой нужно организовать доступ (Домашняя, Гостевая или весь трафик). В поле Начальный IP-адрес удалённой подсети и Кол-во IP адресов удаленной подсети описывают виртуальную подсеть (адрес и диапазон), которая будет использоваться в туннеле, а в поле DNS-сервер указывается сервер DNS, который будет использован в туннеле (в нашем примере в качестве DNS-сервера указан интернет-центр).

Галочку Транслировать адреса клиентов (NAT) необходимо ставить, если туннель будет использоваться для выхода в Интернет для клиентов (в поле Локальная сеть выбрано Internet 0.0.0.0/0.0.0.0).

Для использования IPSec в интернет-центре должен быть создан пользователь с правами доступа к IPSec xAuth. Перейдите в меню Система > Пользователи и добавьте нового пользователя с правами IPSec xAuth.

Внимание! Начиная с версии ОС NDMS v2.09 настройка IPSec Virtual IP была перенесена в раздел Приложения > Сервер IPSec и настройка существенно упрощена.

2017-08-09_162011.png

Настройка IPSec-подключения в операционной системе iOS

В меню настроек VPN на вашем мобильном устройстве необходимо создать новое подключение с типом IPSec и заполнить следующие параметры:Описание — название подключения;Сервер — внешний "белый" IP-адрес интернет-центра;Учетная запись и Пароль — логин и пароль (учетная запись) пользователя, созданного в интернет-центре Keenetic для IPSec-подключения.Общий ключ — ключ (пароль), который указывали в настройках интернет-центра в поле Ключ PSK.

После внесения и сохранения настроек включите созданное подключение.

В веб-интерфейсе интернет-центра в меню Безопасность > IPsec VPN при успешном подключении отобразится информация о подключенном клиенте.

С мобильного устройства будет доступна подсеть за интернет-центром.Например, обратимся к интернет-центру по его локальному IP-адресу. 

Со стороны интернет-центра VPN-клиент будет доступен по виртуальному IP-адресу.

KB-5154

help.keenetic.net

Возможно ли с помощью интернет-центров объединять больше двух домашних сетей, используя компонент микропрограммы Сервер PPTP?

Да, при использовании одного устройства серии Keenetic в качестве VPN-сервера к нему можно выполнить до 10 клиентских одновременных PPTP-подключений. Всего, таким образом, возможно объединить до 11 сетей (считая и ту домашнюю сеть, что расположена за VPN-сервером).

 

Далее рассмотрим пример объединения четырех удалённых домашних сетей, имеющих выход в Интернет.Пусть домашняя сеть LAN 1 подключена к Интернету через "белый" публичный IP-адрес и находится за интернет-центром с установленным компонентом Сервер PPTP.Каждая из сетей LAN 2-4 будет подключаться к серверу VPN при помощи PPTP-соединения. Основная задача состоит в обеспечении доступа между всеми объединяемыми сетями LAN 1-4.

 

 

В нашем примере главный интернет-центр (с сервером VPN) будет являться концентратором VPN-подключений (с ним будут устанавливаться все PPTP-подключения, и через него будет осуществляться маршрутизация между всеми подключенными подсетями). В настройках главного интернет-центра потребуется создать столько учетных записей пользователей с правами доступа vpn, сколько сетей вы планируете объединить (в нашем примере для 3 удаленных подсетей созданы 3 учетные записи – net_2, net_3 и net_4).

Пусть сервер VPN выдает каждому из VPN-клиентов указанный IP-адрес: 172.16.1.2, 172.16.1.3 и 172.16.1.4 соответственно (обращаем ваше внимание, что эти IP-адреса принадлежат одной подсети).

 

Статические маршруты на главном интернет-центре (с сервером VPN) будут включать следующие записи: для каждой из объединяемых сетей, кроме Домашней сети самого сервера, требуется в качестве адреса шлюза указать IP-адрес, выделенный соответствующему пользователю сервером VPN.

 

Внимание! Все объединяемые удаленные подсети (как и пул IP-адресов на VPN-сервере) не должны иметь одинаковые или перекрывающиеся адресные пространства.При настройке устройств для работы по данной схеме мы рекомендуем изменять адресацию в домашней сети по умолчанию (сеть 192.168.1.0/24), приняв за порядковый номер сети число в третьем октете адреса IPv4, то есть LAN 2 – 192.168.2.0/24, LAN 3 – 192.168.3.0/24 и т. п. При 24 битной маске такие сети не перекрываются друг с другом и содержат достаточное количество адресов для хостов в домашней сети.

Далее приведены настройки PPTP-подключения к серверу и маршрутизации на устройствах — клиентах VPN в схеме, слева направо.

 

Настройка клиента VPN из локальной сети LAN 2 (192.168.2.0/24):

 

 

Первые два маршрута указывают на расположение сети LAN 3:

 

 

Для обеспечения связи с подсетью LAN 4 потребуется указать следующие маршруты:

 

 

Настройка клиента VPN из локальной сети LAN 3 (192.168.3.0/24):

 

 

Для обеспечения связи с сетью LAN 2 будут работать следующие маршруты:

 

 

Для обеспечения связи с сетью LAN 4 укажите следующие маршруты:

 

 

Настройка клиента VPN из локальной сети LAN 4 (192.168.4.0/24):

 

 

Для связи с сетью LAN 2 необходимо добавить следующие маршруты:

 

 

Для связи с сетью LAN 3 необходимо добавить следующие маршруты:

 

 

Примечание

 

1. Рекомендуется не включать опцию Использовать для выхода в Интернет при настройке подключений к серверу VPN при работе по данной схеме, т.к. это избавляет от необходимости указывать настройки маршрутизации к сети за сервером явно вручную. При отсутствии этого флажка маршруты к сети за сервером будут переданы на клиентское устройство Keenetic автоматически.

 

2. При выполненных настройках компьютеры и другие хосты в любой из подключенных сетей к серверу VPN будут доступны в каждой из них по IP-адресу. В связи с тем, что в каждой из объединяемых сетей используется отличная от других подсеть, обнаружение устройств в сети Windows по именам компьютеров работать не будет.

 

3. Поскольку на интерфейсе PPTP-клиента по умолчанию включен межсетевой экран, блокирующий все входящие соединения, в настройках клиентских интернет-центров потребуется открыть нужные для работы порты/протоколы. В меню Безопасность > Межсетевой экран нужно создать соответствующие разрешающие правила для входящих подключений по любым протоколам (как правило, достаточно будет открыть доступ по протоколам tcp/icmp/udp). Об этом также написано в статье «Объединение двух локальных сетей при помощи интернет-центров, используя встроенное приложение Сервер VPN»  Например, правило для интернет-центра домашней сети LAN 3 будет выглядеть так:

help.keenetic.net

Настройка туннеля IPSec VPN (IPSec Virtual IP) между Keenetic и компьютером с ОС Windows – Keenetic

Возможность настройки VPN-туннеля IPSec Virtual IP, между интернет-центром Keenetic и мобильным устройством на базе операционной системы Android, стала доступна с микропрограммы версии NDMS v2.08.B0. Данный функционал реализован для Keenetic Giga (KN-1010), Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Viva, Extra, Omni II, а также Keenetic III.

Настройка IPSec-подключения в KeeneticДля настройки интернет-центра необходим установленный компонент микропрограммы IPsec VPN.

В меню Безопасность > IPsec VPN нужно включить галочку для работы туннеля и нажать кнопку Применить.

Далее нужно настроить VPN-подключение в разделе IPsec Virtual IP сервер.

В поле Имя укажите название подключения, в поле Ключ PSK необходимо указать пароль для подключения (минимум 8 символов), в поле Локальная сеть указывается подсеть интернет-центра, к которой нужно организовать доступ (Домашняя, Гостевая или весь трафик). В поле Начальный IP-адрес удалённой подсети и Кол-во IP адресов удаленной подсети описывают виртуальную подсеть (адрес и диапазон), которая будет использоваться в туннеле, а в поле DNS-сервер указывается сервер DNS, который будет использован в туннеле (в нашем примере в качестве DNS-сервера указан интернет-центр).

Галочку Транслировать адреса клиентов (NAT) необходимо ставить, если туннель будет использоваться для выхода в Интернет для клиентов (в поле Локальная сеть выбрано Internet 0.0.0.0/0.0.0.0).

Для использования IPSec в интернет-центре должен быть создан пользователь с правами доступа к IPSec xAuth. Перейдите в меню Система > Пользователи и добавьте нового пользователя с правами IPSec xAuth.

Внимание! Начиная с версии ОС NDMS v2.09 настройка IPSec Virtual IP была перенесена в раздел Приложения > Сервер IPSec и настройка существенно упрощена.

2017-08-09_162011.png

Настройка IPSec-подключения в операционной системе Windows

В нашем примере мы будем использовать бесплатное ПО Shrew VPN Client, скачать его можно на сайте производителя: https://www.shrew.net/download.Установите VPN-клиент и проверьте, что установился специальный драйвер для работы Shrew (в Свойствах сетевого подключения должна стоять галочка напротив Shrew Soft Lightweight Filter).

Запустите VPN Access Manager.

После запуска откроется окно программы.

1. Нажмите кнопку Add для создания VPN-подключения.

2. На вкладке General нужно указать настройки:

"Remote Host / Hostname or IP Address" — внешний IP-адрес или доменное имя Keenetic, на котором запущен сервер.Больше на этой вкладке ничего менять не нужно.

2017-08-09_162622.png

3. На вкладке Client и Name Resolution оставьте значения по умолчанию.

4. На вкладке Authentication укажите следующие параметры:

Authentication Method - Mutual PSK + XAuthLocal Identity > Identification Type:IP Address, и оставляем галочку в Use a discovered local host addressRemote Identity >Identification Type: AnyCredentials > Pre Shared Key: 12345678 (Ключ PSK, указанный в настройках Keenetic)

2017-08-09_163331.png2017-08-09_163346.png2017-08-09_163407.png

5. На вкладке Phase1 укажите:

  • Exchange Type: main
  • DH Exchange: group 2
  • Cipher Algorithm: aes
  • Cipher Key Length" - 128
  • Hash Algorithm: sha1

2017-08-09_163708.png

6. На вкладке Phase 2 укажите:

  • Transform Algorithm: esp-aes
  • Transform Key Length" - 128
  • HMAC Algorithm: sha1
  • PFS Exchange - disabled
  • Compress Algorithm - disabled

2017-08-09_164507.png

7. На вкладке Policy ничего настраивать не нужно.

8. Нажмите Save и в списке подключений выберете созданной и нажмите Connect. В открывшемся окне введите логин и пароль учетной записи, которую создали для подключения на Keenetic.

2017-08-09_165223.png

9. Нажмите Connect и в журнале событий должна быть запись tunnel enabled.

2017-08-09_165436.png

На странице настройки Virtual IP количество подключений должно увеличится с 0 на 1.

2017-08-09_165649.png

Также информация о подключении будет видна в Системном мониторе.

2017-08-09_213219.png

 

KB-5220

help.keenetic.net

Проброс портов через интернет-канал VPN-сервера в удаленную локальную сеть за VPN-клиентом

Есть Keenetic Giga II (локальная сеть 192.168.1.0/24) c доступом в Интернет через "белый" публичный IP-адрес, на котором включен VPN-сервер PPTP. В территориально другом месте установлен Keenetic Omni (локальная сеть 192.168.2.0/24) и подключен к Интернету через другого провайдера с "серым" внутренним IP-адресом. Между Keenetic Giga II и Keenetic Omni установлен VPN-туннель по протоколу PPTP.sch.pngКак из Интернета, обращаясь по "белому" публичному IP-адресу Keenetic Giga II, можно попасть на веб-интерфейс удаленного Keenetic Omni или другого хоста локальной сети, находящейся за VPN-туннелем? Как настроить проброс портов с WAN-интерфейса Keenetic Giga II в локальную сеть за Keenetic Omni?

 

1. Интернет-центр Keenetic Giga II выходит в Интернет через интерфейс ISP c "белым" публичным IP-адресом.

2. В Keenetic Giga II нужно дополнительно в настройках VPN-сервера (в меню Приложения - Сервер VPN) включить механизм NAT для клиентов (Транслировать адреса клиентов), использовать функцию Одно подключение на пользователя и прописать статический IP-адрес для клиента, под которым будет подключаться Keenetiс Omni.

 

3. Также нужно добавить статический маршрут в меню Интернет - Прочее на подсеть 192.168.2.0/24 через IP-адрес, который мы зарезервировали в предыдущем пункте (в нашем примере это IP-адрес 172.16.1.33).

 

4. На Keenetic Omni необходимо в меню Интернет - PPPoE/VPN настроить соединение PPTP к VPN-серверу на Keenetic Giga II и обязательно установить галочку в поле Использовать для выхода в Интернет. Приоритет данного интерфейса нужно выставить больше, чем у интерфейса локального провайдера, иначе ответы на запросы будут уходить к локальному провайдеру по маршруту, который установлен по умолчанию.

 

 

Внимание! Так как на устройстве была установлена галочка в поле "Использовать для выхода в Интернет" и приоритет интерфейса PPTP больше, чем у интерфейса локального провайдера, по умолчанию весь трафик будет идти в VPN-туннель. Если же на Keenetic Omni нужно оставить выход в Интернет через локального провайдера, нужно будет прописать статические маршруты через интерфейс PPTP0 для всех клиентов, которые будут пользоваться пробросом портов (доступом к удаленным хостам). Для этого нужно знать их IP-адреса. Например, мы будем обращаться по открытым портам с удаленного хоста, который имеет IP-адрес выхода в Интернет 95.211.169.65. В этом случае для работы проброса портов на Keenetic, который является PPTP-клиентом, нужно прописать маршрут до этого хоста (с IP 91.211.169.65) в меню Интернет - Прочее - Добавить маршрут через интерфейс PPTP.static-route.png

 

5. Также для интерфейса PPTP0 необходимо разрешить прохождение трафика в меню Безопасность - Межсетевой экран.

 

6. После этого в Keenetic Giga II нужно настроить правило проброса порта на удаленную подсеть в меню Безопасность - Трансляция сетевых адресов.В нашем примере выполним проброс внешнего порта 888 на локальный IP-адрес интернет-центра Keenetic Omni и порт 80 для доступа к его веб-интерфейсу.

 

После данной настройки можно будет из Интернета обращаться по "белому" публичному IP-адресу интернет-центра Keenetic Giga II по порту 888 (http://46.72.x.x:888), чтобы попасть на веб-интерфейс удаленного Keenetic Omni, находящегося за VPN. Подобным образом, можно пробросить порт на любой хост в удаленной локальной сети, находящейся за VPN-туннелем.

 

Примечание

 

Настройка Использовать для доступа в Интернет и указание высшего приоритета для интерфейса PPTP включают маршрут по умолчанию на устройстве через PPTP-туннель. На устройствах серии Keenetic под управлением NDMS V2 возможен лишь один (безусловный) маршрут по умолчанию. Если данную настройку не выполнить, ответы на проброшенные с сервера сквозь туннель запросы будут отправлены клиентом через WAN-интерфейс. Это приведет к проблеме "треугольного маршрута".

Чтобы этого избежать, не выполняя назначение маршрута по умолчанию через туннель к серверу, можно настроить статическую маршрутизацию, если известны IP-адреса хостов, с которых происходят обращения в сеть клиента, для них нужно создать маршруты через интерфейс туннеля PPTP. 

Такую схему можно реализовать, если подключать к серверу устройство сегмента профессионального оборудования.

 

KB-4536

help.keenetic.net

Объединение двух локальных сетей с "серыми" IP-адресами при помощи Keenetic через vpnki

Рассмотрим пример объединения двух локальных сетей с "серыми" IP-адресами при помощи роутеров Keenetic, используя сервис vpnki, и тип подключения PPTP.

vpnki.png

Сервис vpnki позволяет объединять VPN-туннели в единую сеть. В нашем примере VPN-подключение строится с двух интернет-центров Keenetic, расположенных в разных местах и имеющих подключение к Интернету через "серые" IP-адреса провайдеров. Такое подключение позволит получить удаленный доступ к сетевым ресурсам удаленной сети по их внутренним IP-адресам без ограничений.

1. Зарегистрируйтесь на ресурсе https://vpnki.ru/

2017-11-30_14-11-09.png

2. Перейдите в раздел Мои настройки > Настройки туннелей для добавления ваших роутеров/клиентов.

Добавьте первый роутер:

  • Нажмите кнопку "Добавить"
  • Введите название туннеля (например My Home Router)
  • Получите автоматически логин
  • Укажите пароль
  • IP адрес будет назначен автоматически
  • Включите опцию "Настроить маршрут"
  • В разделе "За этим туннелем находится" в поле "Сеть" укажите подсеть Home-сегмента роутера (в нашем примере 192.168.111.0) и в поле "Маска сети" - маску (в нашем примере 255.255.255.0/24)

Нажмите кнопку "Сохранить".

home_one.png

Добавьте второй роутер:

  • Нажмите кнопку "Добавить"
  • Введите название туннеля (например My Home Router Two)
  • Получите автоматически логин
  • Укажите пароль
  • IP адрес будет назначен автоматически
  • Включите опцию "Настроить маршрут"
  • В разделе "За этим туннелем находится" в поле "Сеть" укажите подсеть Home-сегмента роутера (в нашем примере 192.168.209.0) и в поле "Маска сети" - маску (в нашем примере 255.255.255.0/24)

Нажмите кнопку "Сохранить".

home_two_2.png

3. Настройте интерфейсы PPTP в веб-интерфейсе роутера.

Добавьте настройки в первом роутере:

homerouter.png

Добавьте настройки во втором роутере:

homerouter2.png

4. Обязательно убедитесь, что Keenetic получил маршруты от серверов vpnki.

На первом роутере:

route_1.png

На втором роутере:

route_2.png

Получение маршрутов также можно посмотреть через интерфейс командной строки (CLI) роутера, выполнив команду:

show ip route

route_cli.png

Если вы получили три маршрута на интерфейсе PPTP 172.16.0.0/16, 172.16.0.1/32 и IP-адрес/24 Home-сегмента роутера, это значит, что удаленный доступ к локальной сети роутера открыт через туннель.

5. Для доступа к хостам и ресурсам, расположенных за туннелем, нужно в межсетевом экране открыть все порты для PPTP-интерфейсов роутеров MyHomeRouter и MyHomeRouterTwo.

all_port_vpnki.png

all_port_vnki_2.png

 

Вариант настройки подключения vpnki через OpenVPN Client

1. Зайдите в настройки туннелей и в уже настроенном туннеле в подразделе Общие настройки выберите Использовать OpenVPN.

vpnki-ov-01.jpg

2. Скачайте профиль OVPN и откройте его в текстовом редакторе (например в Блокноте или Notepad++).

2017-12-27_9-55-30.jpg

vpnki-ov-03.jpg

3. В интернет-центре Keenetic создайте OpenVPN-подключение.

vpnki-ov-04.jpg

4. Настройте OpenVPN-клиент.

Включите опции:

  • Включить
  • Получать маршруты от удаленной стороны
  • Автоподстройка TCP-MSS

В поле Подключаться через выберите значение Любое интернет-подключение.

Настройте конфигурацию OpenVPN:

Из скаченного профиля vpnki_ваш логин, скопируйте следующее строчки:

clientremote msk.vpnki.ru 33788proto udpcipher AES-128-CBCns-cert-type serverkey-direction 1dev tunauth-user-passexplicit-exit-notify 2reneg-sec 0<ca>-----BEGIN CERTIFICATE-----<--сюда вставить тело сертификата из профиля vpnki_ваш логин-----END CERTIFICATE-----</ca><tls-auth>-----BEGIN OpenVPN Static key V1-----<--сюда вставить тело ключа из профиля vpnki_ваш логин-----END OpenVPN Static key V1-----</tls-auth><auth-user-pass>login — вводите автоматически полученный логин для туннеляpassword — вводите указанный вами пароль для туннеля</auth-user-pass>

В конце обязательно добавьте секцию <auth-user-pass>, которая описана выше.

vpnki-ov-05.jpg

5. Далее перейдите в меню Интернет на вкладку Подключения и поставьте для  интерфейса  OpenVPN приоритет 100 и нажмите кнопку Сохранить приоритеты.

vpnki-ov-06.jpg

 KB-5253

help.keenetic.net

Настройка туннеля IPSec VPN (IPSec Virtual IP) между Keenetic и компьютером с Mac OS – Keenetic

Возможность настройки VPN-туннеля IPSec Virtual IP, между интернет-центром Keenetic и мобильным устройством на базе операционной системы Android, стала доступна с микропрограммы версии NDMS v2.08.B0. Данный функционал реализован для Keenetic Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Viva, Extra, Omni II, а также Keenetic III.

Настройка IPSec-подключения в KeeneticДля настройки интернет-центра необходим установленный компонент микропрограммы IPsec VPN.

В меню Безопасность > IPsec VPN нужно включить галочку для работы туннеля и нажать кнопку Применить.

Далее нужно настроить VPN-подключение в разделе IPsec Virtual IP сервер.

В поле Имя укажите название подключения, в поле Ключ PSK необходимо указать пароль для подключения (минимум 8 символов), в поле Локальная сеть указывается подсеть интернет-центра, к которой нужно организовать доступ (Домашняя, Гостевая или весь трафик). В поле Начальный IP-адрес удалённой подсети и Кол-во IP адресов удаленной подсети описывают виртуальную подсеть (адрес и диапазон), которая будет использоваться в туннеле, а в поле DNS-сервер указывается сервер DNS, который будет использован в туннеле (в нашем примере в качестве DNS-сервера указан интернет-центр).

Галочку Транслировать адреса клиентов (NAT) необходимо ставить, если туннель будет использоваться для выхода в Интернет для клиентов (в поле Локальная сеть выбрано Internet 0.0.0.0/0.0.0.0).

Для использования IPSec в интернет-центре должен быть создан пользователь с правами доступа к IPSec xAuth. Перейдите в меню Система > Пользователи и добавьте нового пользователя с правами IPSec xAuth.

Внимание! Начиная с версии ОС NDMS v2.09 настройка IPSec Virtual IP была перенесена в раздел Приложения > Сервер IPSec и настройка существенно упрощена.

2017-08-09_162011.png

Настройка IPSec-подключения в операционной системе Mac OS

Зайдите в меню Системные настройки (System Preferences) > Сеть (Network).

2017-08-09_210807.png

В открывшемся окне Сеть (Network) нажмите в левом нижнем углу "+".

2017-08-09_211018.png

В открывшемся окне в поле Интерфейс (Interface) выберите значение VPN.

2017-08-09_211244.png

В поле Тип VPN (VPN Type) выберите Cisco IPSec.

2017-08-09_211436.png

В поле Имя службы (Service Name) укажите название туннеля.

2017-08-09_211658.png

Нажмите кнопку Создать (Create). В открывшемся меню введите следующие параметры:

Адрес сервера (Server Address) — внешний адрес или доменное имя Keenetic;Имя учетной записи (Account Name) и Пароль (Password) — учетная запись Keenetic для подключения к туннелю.

2017-08-09_212254.png

Нажмите кнопку Настройки аутентификации (Authentication Settings), введите Общий ключ (Shared Secret) — Ключ PSK, настроенный в Keenetic и нажмите ОK.

2017-08-09_212617.png

Далее нажмите в правом нижнем углу Применить (Apply) и затем Подключить (Connect).

2017-08-09_212657.png

В случае корректной настройки Статус (Status) изменится с Не подключено (Not connected) на Подключено (Connected).

2017-08-09_213125.png

Также информация о подключении будет доступна в Системном мониторе.

2017-08-09_213219.png

 KB-5221

help.keenetic.net


Смотрите также