Меню

Настройка ipsec vpn zyxel keenetic и iphone



Подключение к VPN-серверу L2TP/IPSec из iOS

NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный «белый» IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме «Прямой доступ». При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.

Встроенный VPN-сервер L2TP/IPSec на Keenetic можно настроить по инструкции «VPN-сервер L2TP/IPsec».

Для подключения к серверу создайте VPN-соединение L2TP/IPSec на iPhone/iPad.

Перейдите в «Настройки» в раздел «Основные».

Нажмите «Добавить конфигурацию VPN. «.

Нажмите по полю «Тип».

Выберите тип подключения L2TP.

Затем настройте VPN-подключение. Укажите «Описание», введите доменное имя или публичный IP-адрес роутера Keenetic. Задайте учетную запись и пароль, для которой разрешен доступ к VPN в настройках Keenetic. Введите «Общий ключ IPSec», который был установлен во время создания подключения на VPN-сервере Keenetic. Для сохранения настроек нажмите «Готово» в правом верхнем углу экрана.

Этих настроек будет достаточно для получения доступа в домашнюю сеть Keenetic.

NOTE: Важно! По умолчанию в настройках VPN включена опция «Для всех данных». В этом случае iPhone/iPad весь трафик будет направлять в VPN-туннель, в том числе и для доступа в Интернет через роутер Keenetic.

На этом настройка VPN-подключения L2TP/IPsec завершена.
Осталось передвинуть переключатель в состояние «Подключено».

После подключения нажмите по значку «i», чтобы убедиться, что соединение с сервером было установлено.

Примечание

Возможность подключиться из Интернета к имеющему «серый» IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с «белым» IP настроен проброс портов на «серый» адрес Keenetic’а. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант — проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.

Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера «белый» адрес и выдавать Keenetic’у «серый». Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.

Другой пример такого маршрутизатора это оптический GPON-роутер или терминал от Ростелеком или МГТС, установленный на входе в квартиру. В таких устройствах проброс настраивается в их веб-интерфейсе.

Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним «белым» IP-адресом такого маршрутизатора. Он пробросит его на «серый» адрес Keenetic’а.

Пользователи, считающие этот материал полезным: 3 из 5

Источник

IPSec VPN клиент/сервер

В Keenetic реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, объединить несколько интернет-центров в одну сеть по туннелю IPSec VPN.
В основном, IPSec VPN применяется для безопасного подключения к офисной сети (например, из домашней сети к корпоративному серверу) или для объединения сетей (например, двух удаленных офисов). С туннелем IPSec VPN можно абсолютно не волноваться о конфиденциальности данных файлового сервера, IP-телефонии или потоков видеонаблюдения. IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования.

Рассмотрим пример объединения двух локальных сетей (192.168.2.x и 192.168.0.x) через IPSec VPN.

NOTE: Важно! Для построения туннеля IPSec VPN через глобальную сеть Интернет, хотя бы на одном из интернет-центров (на внешнем интерфейсе WAN) должен быть публичный белый IP-адрес. Для удобства рекомендуется использовать постоянный (статический) IP-адрес на WAN-интерфейсе, а также воспользоваться службой доменных имен KeenDNS или DDNS для получения постоянного имени. Для работы IPSec-туннеля служба KeenDNS должна работать только в режиме «Прямой доступ» на роутере, который будет ожидать подключения.
Адреса объединяемых сетей должны принадлежать разным подсетям. Не рекомендуется использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.

Для организации подключения IPSec VPN понадобятся два интернет-центра Keenetic. Такой тип подключения называется «точка-точка» (site-to-site).
Один интернет-центр Keenetic будет выступать в роли ожидающего подключение IPSec (назовем его сервером), а другой Keenetic в роли инициатора подключения IPSec (назовем его клиентом).
Интернет-центр, выступающий в роли сервера IPSec, имеет белый (публичный) постоянный IP-адрес для подключения к Интернету. Другой интернет-центр, выступающий в роли клиента IPSec, использует серый IP-адрес.

Итак, перейдем непосредственно к настройке интернет-центров для организации между ними безопасного туннеля IPSec VPN для объединения двух сетей.

На интернет-центрах должен быть установлен компонент системы «IPsec VPN».
Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав «Изменить набор компонентов».

Читайте также:  Настройка логина почты на андроиде

1. Настройка Keenetic в роли сервера (ожидающего подключение IPSec).

На странице «Другие подключения» в разделе «IPsec-подключения» нажмите «Добавить подключение».

Откроется окно «Настройка IPsec-подключения».

В нашем случае этот Keenetic будет выполнять роль сервера, поэтому включите опцию «Ждать подключения удаленного пира» (в этом случае инициатором подключения будет выступать клиент, а сервер будет ожидать подключения).

Опция «Nailed-up» предназначена для поддержания соединения в активном состоянии и восстановления туннеля при разрыве (данный параметр достаточно включить на одном конце туннеля).
Опция «Обнаружение неработающего пира DPD» (Dead Peer Detection) предназначена для определения работоспособности туннеля.

В настройках Фазы 1 в поле «Идентификатор локального шлюза» вы можете использовать любой идентификатор: «IP-адрес», «FQDN» (полное имя домена), «DN» (имя домена), «e-mail» (адрес эл. почты). В нашем примере используется идентификатор «DN» (имя домена) и в пустое поле идентификатора вписано произвольное имя.

NOTE: Важно! Обратите внимание на идентификаторы локального и удаленного шлюзов в настройках 1-й фазы туннеля IPSec. Идентификаторы должны быть разными и указаны «крест-накрест» (крестообразно). Например, выбрав в качестве идентификатора значение «DN», установите на сервере:
Идентификатор локального шлюза: server
Идентификатор удаленного шлюза: client
и на клиенте:
Идентификатор локального шлюза: client
Идентификатор удаленного шлюза: server

При множественных туннелях настройки локального и удаленного идентификаторов должны быть уникальны для каждого туннеля.

В настройках Фазы 2 в поле «IP-адрес локальной сети» нужно указать адрес локальной сети (в нашем примере 192.168.0.0), а в поле «IP-адрес удаленной сети» указать адрес удаленной сети, которая будет находиться за IPSec-туннелем (в нашем примере 192.168.2.0).

NOTE: Важно! На обеих сторонах туннеля IPSec VPN настройки Фазы 1 и Фазы 2 обязательно должны совпадать. В противном случае туннель не будет установлен.

После создания IPsec-подключения переведите переключатель в состояние Включено.

2. Настройка Keenetic в роли клиента (инициатора подключения IPSec).

На странице «Другие подключения» в разделе «IPsec-подключения» нажмите «Добавить подключение».

Откроется окно «Настройка IPsec-подключения». В нашем случае этот Keenetic выполняет роль клиента, поэтому включите опцию «Автоподключение» (в этом случае инициатором подключения выступает клиент).

Опция «Nailed-up» предназначена для поддержания соединения в активном состоянии и восстановления туннеля при разрыве (данный параметр достаточно включить на одном конце туннеля).
Опция «Обнаружение неработающего пира DPD» (Dead Peer Detection) предназначена для определения работоспособности туннеля.

В поле «Удаленный шлюз» укажите IP-адрес или доменное имя удаленного интернет-центра (это может быть имя KeenDNS или DDNS).

NOTE: Важно! В настройках Фазы 1 в полях «Идентификатор локального шлюза» и «Идентификатор удаленного шлюза» нужно указать те же идентификаторы, которые вы использовали на удаленном интернет-центре, но указаны они должны быть «крест-накрест» (крестообразно). Например, выбрав в качестве идентификатора значение «DN» установите на сервере:
Идентификатор локального шлюза: server
Идентификатор удаленного шлюза: client
и на клиенте:
Идентификатор локального шлюза: client
Идентификатор удаленного шлюза: server

При множественных туннелях настройки локального и удаленного идентификаторов должны быть уникальны для каждого туннеля.

В настройках Фазы 2 в поле «IP-адрес локальной сети» нужно указать адрес локальной сети интернет-центра (в нашем примере 192.168.2.0), а в поле «IP-адрес удаленной сети» указать адрес удаленной сети, которая будет находиться за установленным туннелем (в нашем примере 192.168.0.0).

NOTE: Важно! На обеих сторонах туннеля IPSec VPN настройки Фазы 1 и Фазы 2 обязательно должны совпадать. В противном случае туннель не будет установлен.

После создания IPsec-подключения переведите переключатель в состояние Включено.

3. Проверка состояния IPsec-подключения.

Если настройки IPSec-подключения были указаны верно на устройствах, то туннель IPSec VPN должен установиться между интернет-центрами.

На странице «Другие подключения» в разделе «IPsec-подключения» будет показан статус подключения. При установке туннеля статус подключения будет «Подключен».
Пример статуса туннеля на интернет-центре Keenetic (в роли клиента):

Пример статуса туннеля на интернет-центре Keenetic (в роли сервера):

Для проверки работоспособности туннеля выполните пинг интернет-центра или компьютера удаленной сети, находящегося за туннелем IPSec VPN.

TIP: Совет: Широковещательные broadcast-запросы (например, NetBIOS) не будут проходить через VPN-туннель, поэтому в сетевом окружении имена удаленных хостов не будут отображаться (доступ к ним возможен по IP-адресу, например \\192.168.2.27).

Если VPN-туннель IPSec был установлен, но пинг проходит только до удаленного интернет-центра и не проходит на хосты удаленной сети, то вероятнее всего на самих хостах блокирует пинг Брандмауэр Windows или аналогичное ПО (Межсетевой экран или Firewall).

TIP: Совет: Рекомендуем использовать версию протокола IKE v2. Версию IKE v1 используйте только в том случае, когда ваше устройство не поддерживает IKE v2.
Если наблюдаются разрывы VPN-подключения, попробуйте в интернет-центре Keenetic отключить опции «Nailed-up» и «Обнаружение неработающего пира (DPD)».

Пользователи, считающие этот материал полезным: 27 из 32

Источник

VPN-сервер IPsec (Virtual IP)

В интернет-центрах Keenetic есть возможность подключения к виртуальному серверу IPsec Virtual IP, используя аутентификацию Xauth PSK, для доступа к ресурсам домашней сети. IPsec-подключение обеспечивает абсолютно защищенный доступ к домашней сети со смартфона или планшета: в Android и iOS для этого типа VPN есть удобные встроенные клиенты.

Читайте также:  Как вернуть все настройки на китайском айфоне

NOTE: Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме «Прямой доступ». При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Перейдите на страницу «Приложения». Здесь вы увидите панель «VPN-сервер IPsec». Нажмите по ссылке «VPN-сервер IPsec».

В появившемся окне «VPN-сервер IPsec (Virtual IP)» в поле «Общий ключ IPsec» укажите ключ безопасности. Этот ключ безопасности нужно будет указать на клиенте, при настройке VPN-подключения.

NOTE: Важно! Этот ключ также используется VPN-сервером L2TP/IPsec.

В настройках сервера по умолчанию включена опция «NAT для клиентов». Эта настройка служит для доступа клиентов VPN-сервера в Интернет.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

Важно! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

В настройках виртуального VPN-сервера IPsec присутствует поле «DNS-сервер». Это связано с особенностью работы виртуального сервера. Во всех других VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на виртуальном VPN-сервере IPsec адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180 (это IP, который приобретен нами для имени my.keenetic.net). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180 перехватывается всегда. Получив 78.47.125.180, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.

В разделе «Пользователи» выберите учетные записи, которым хотите разрешить доступ к VPN-серверу. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

Нажав на ссылку «Статистика подключений» вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

TIP: Примечание

При настройке подключения к VPN-серверу на Android-устройствах выбирайте тип VPN-подключения «IPsec Xauth PSK», а на iOS-устройствах — «IPsec».

Для подключения к серверу в качестве клиента можно использовать:

Источник

Как сделать настройку VPN на Zyxel Keenetic

Во многих организациях сотрудникам в целях экономии бюджета обеспечивается удаленный доступ к рабочим местам. Для этого необходимо использовать защищенный канал связи, основанный на технологии Virtual Private Net, или VPN. Рассмотрим подробнее, как корректно произвести настройку VPN на Zyxel Keenetic.

Подключаем девайс к сети электропитания. «Патч-корд» одним разъемом вставляем в роутер, а вторым – в сетевой адаптер на компьютере, с которого будет производиться настройка. Кабель, проведенный провайдером, подключается к специальному разъему WAN на сетевых устройствах Zyxel. Схематически должна получиться такая картина:

На следующем этапе открываем браузер и настраиваем соединение с интернетом. Подробные инструкции о том, как настроить доступ к «мировой паутине» на разных моделях роутеров, представлены на нашем сайте. Здесь мы рассмотрим, как настроить VPN на Zyxel всех моделей Keenetic.

После того как доступ к интернету получен, проверяем наличие актуальной версии прошивки для операционной системы. При необходимости производим обновление внутреннего ПО до последней версии, так как только роутеры Zyxel серии Keenetic с микропрограммой NDMS V2.04.B2 и выше поддерживают функцию VPN.

Второй важный пункт: оборудование должно иметь «белый» IP-адрес в «глобальной сети». Это необходимо для того, чтобы при активации удаленного подключения клиент мог однозначно идентифицировать свой VPN Server Keenetic на разных моделях Zyxel. Получают его у провайдера за дополнительную ежемесячную оплату.

Настройка VPN-подключения

Если все вышеуказанные условия соблюдены, переходим к настройке VPN на маршрутизаторе Zyxel Keenetic.

  • Заходим через главное меню в раздел «Система», далее — «Компоненты». Отмечаем, что требуется активация опции «VPN-сервер»:
  • В зависимости от модели Zyxel потребуется перезагрузка для применения внесенных изменений. После этого на вкладке «Приложения» появится новая панель «Сервер VPN»:
  • Далее заходим в нее, выставляем следующие параметры:
  • Активируем VPN-сервер на Zyxel Keenetic, отмечаем, чтобы на каждого пользователя создавался новый канал связи для повышения надежности передачи данных.
  • Подключение происходит с шифрованием, это поднимает уровень безопасности канала связи. Поэтому используется протокол MPPE. Соответственно, пропускаем третий пункт.
  • Поле «Транслировать адреса клиентов (NAT)» активируем, чтобы пользователи подключались через внешнюю сеть.
  • В следующем подразделе – «Доступ к сети» – указывается наименование канала связи, по которому будет производиться выход в интернет. Как пример указана домашняя сеть клиента. Через нее будет осуществляться PPTP-подключение.
  • Следующие два пункта отвечают за перечень IP-адресов, предоставляемые ВПН-сервером для вновь подключившихся. Количество участников зависит от модели роутера: например, Zyxel Keenetic GIGA разрешает максимум 10 соединений.
  • В первом пункте выбираем начальное значение пула IP-адресов, а во втором указываем максимально возможное количество. Таким образом, на роутере зарезервируется десять адресов, которые будут выдаваться PPTP-клиентам.
  • Список IP-адресов для VPN не должен совпадать с пулом адресов DHCP-сервера сетевого устройства. Например, Zyxel раздает IP-адреса в диапазоне 192.168.0.10 – 192.168.0.100. Соответственно, для VPN рекомендуется задать пул, начиная с 192.168.0.150.
  • После внесения всех изменений нажимаем кнопку «Применить», переходим к следующему разделу – «Конфигурации учетных записей пользователей», находящихся ниже параметров VPN:
  • Нажимаем левой кнопкой мыши на имени Admin.
  • Выбираем пункт «Разрешить доступ к VPN». Применяем изменения:
  • Добавить клиентов к перечню разрешенных через меню «Система», раздел «Пользователи»:
  • Указываем имя, придумываем пароль и выставляем права доступа:
  • В нашем случае надо обязательно отметить пункт «VPN-сервер». Далее нажимаем «Сохранить».
Читайте также:  Сброс настроек на андроид самсунг galaxy tab

На этом настройка роутера Zyxel Keenetic завершена, разрешено устанавливать VPN-связь.

Приоритеты подключений

Начиная с версии 2.0, встроенное ПО роутеров компании Zyxel поддерживает функцию распределения приоритетов. По сравнению с первой версией присутствует возможность комбинирования соединений разными способами.

Созданные каналы используют либо физические порты сетевого устройства, либо виртуальные интерфейсы. Каждому каналу связи, создаваемому на оборудовании, присваивается приоритет. Его значение редактируется вручную либо остается без изменений:

На скриншоте наивысший приоритет отдан интерфейсу ISP. Это стандартная настройка для доступа к интернету по сетевому кабелю.

Следующим идет Yota: подключение по беспроводному каналу связи. Если первый вариант перестанет работать, роутер автоматически перейдет на указанный режим. Таким образом настраиваются резервные каналы связи и VPN-соединения.

VPN-туннель IPSec

Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:

Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:

ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:

  1. Активируем сам протокол шифрования.
  2. Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
  3. Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
  4. Тип протокола оставляем, как есть.
  5. В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
  6. Прописываем имя «юзера» и пароль для него.
  7. Секретный ключ придумываем самостоятельно. Например, Test.
  8. Метод проверки подлинности оставляем, как показано на скриншоте.
  9. Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
  10. Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
  11. Отмечаем галочкой последний пункт.

Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.

Несколько слов про OpenVPN

Протоколы, используемые на сетевых оборудованиях Zyxel, осуществляют две функции:

  • PPTP и L2TP – VPN-доступ к серверам провайдера.
  • IPSec и OpenVPN – помогают конфигурировать отдельные серверы для создания защищенных каналов связи под личные «нужды».

Про первый вариант было рассказано выше, здесь остановимся на втором. Способ является дополнительной опцией, доступен не на всех моделях Zyxel. Компонент был добавлен в ОС роутеров, начиная с версии NDMS v2.10.B0. Чтобы проверить его совместимость с моделью роутеров Zyxel, заходим в раздел «Компоненты» и смотрим по наличию. Также пользуемся информацией на официальном сайте вендора.

OpenVPN часто применяют как альтернативное подключение к «мировой паутине». Пользователь проверяет, установлен ли он в ОС роутера.

Далее скачиваем с сайта https://www.vpngate.net/en/ конфигурацию сервера OpenVPN, загружаем ее в сетевое устройство. После этого сохраняем, а затем перезапускаем Zyxel.

Более подробно о настройке OpenVPN будет рассказано в отдельной публикации.

Источник

Adblock
detector