Keenetic Buddy 6 SE (KN-4410-01-EU) Help Center

I router Keenetic consentono di impostare una connessione a Internet su una linea Ethernet dedicata utilizzando qualsiasi tipo di connessione: IPoE, PPPoE, PPTP, L2TP, 802.1x, VLAN 802.1q, IPv4/IPv6.

È anche possibile connettersi a Internet tramite un terminale PON o un modem xDSL/DOCSIS/via cavo con una porta Ethernet, nel caso, ad esempio, di un hardware ISP preinstallato.

Un cavo Ethernet dell'ISP, conforme almeno alla categoria 5e, con una lunghezza non superiore a 100 metri e terminato con un connettore standard RJ-45 a 8 pin, deve essere posato nel punto in cui verrà collocato il router. Questo cavo deve essere normalmente collegato alla porta 0 (WAN/Internet) del router.

Il tipo di connessione a Internet più diffuso e facilmente configurabile è l'IPoE (Internet Protocol over Ethernet), a volte indicato come 'linea dedicata' o 'connessione su linea dedicata'. Questo metodo non presuppone l'autenticazione con login e password per accedere a Internet. È sufficiente collegare il cavo dell'ISP alla porta 0 del router. Dopodiché, qualsiasi dispositivo domestico collegato alla sua rete Wi-Fi o a una delle restanti porte Ethernet accederà a Internet. Di conseguenza, non è richiesta alcuna configurazione aggiuntiva.

In alcuni casi, tuttavia, l'ISP potrebbe assegnare un indirizzo IP pubblico statico, che deve essere specificato nelle impostazioni del router. Per fare ciò, accedere alla pagina 'Connessioni a Internet via cavo Ethernet' dell'interfaccia web di Keenetic. Nella sezione 'Impostazioni IPv4 (IPv4 Settings)', impostare la 'Configurazione IPv4 (IPv4 configuration)' su 'Manuale (Manual)'.

Quindi, immettere l'indirizzo fornito dall'ISP nel campo 'Indirizzo IPv4'. L'ISP deve fornire altri parametri IP (maschera di sottorete, indirizzi gateway e DNS) insieme a un indirizzo IP statico per la configurazione manuale; specificarli negli appositi campi. Per esempio:

Alcuni ISP limitano l'accesso a Internet a un solo dispositivo registrandone il MAC address. Solitamente, un utente fornisce all'ISP il MAC address della scheda di rete del proprio computer. In questo caso, è possibile accedere a Internet solo da questo MAC address.

Se questo è il caso e conosci il MAC address registrato con il tuo ISP — potrebbe essere l'indirizzo del tuo router precedente, della scheda di rete del tuo PC, o il MAC address è semplicemente stampato nel contratto — è allora possibile sostituire il MAC address di fabbrica del tuo Keenetic con il MAC address che il tuo ISP accetta.

Nella pagina 'Connessioni a Internet via cavo Ethernet', sotto 'Requisiti dell'ISP', selezionare una delle opzioni nel campo Indirizzo MAC (MAC address):

'Per impostazione predefinita (By default)' — l'impostazione predefinita di fabbrica, verrà utilizzato il WAN MAC address specificato sull'etichetta del prodotto;

'Ottieni dal tuo PC (Get from your PC)' — il 'WAN MAC address del tuo router cambierà con il MAC address della scheda di rete del computer da cui viene aperta l'interfaccia web. L'opzione 'Ottieni dal tuo PC' è possibile solo quando il computer è collegato tramite cavo Ethernet;

'Manuale (Manual)' — permette di specificare manualmente il MAC address da utilizzare come WAN MAC address.

È possibile trovare il MAC address del PC Windows seguendo le istruzioni 'Come controllare le impostazioni della scheda di rete in Windows'.

PPPoE è il tipo di connessione più utilizzata per la connessione a Internet su ADSL / VDSL, ma a volte questo tipo di connessione viene utilizzato anche dagli ISP che forniscono Internet su una linea Ethernet dedicata.

Nella pagina 'Connessioni a internet via cavo Ethernet (Ethernet Cable Connections to Internet)', in 'Autenticazione ISP (PPPoE) (ISP Authentication (PPPoE))', inserire 'PPPoE' nel campo 'Tipo (protocollo) (Type (protocol))'.

Quindi, nei campi 'Nome utente (Username)' e 'Password (Password)', inserire il nome utente e la password per la connessione a Internet forniti dal proprio ISP.

Fare clic su 'Mostra impostazioni PPPoE avanzate (Show advanced PPPoE settings)' per visualizzare i campi con le impostazioni avanzate.

I campi 'Nome del servizio (Service name)' e 'Concentratore di accesso (Access concentrator)' sono opzionali; lasciarli vuoti se il provider non ha fornito informazioni aggiuntive.

Lasciare il campo 'Configurazione IPv4 (IPv4 configuration)' impostato su 'Auto' se l'ISP assegna automaticamente un indirizzo IP per l'accesso a Internet.

Se l'ISP ha fornito un indirizzo IP fisso (statico), selezionare 'Manuale (Manual)' nel campo 'Configurazione IPv4 (IPv4 configuration)' e specificare l'indirizzo IP e l'indirizzo del gateway nei campi 'Indirizzo IP (IP address)' e 'IP remoto (Remote IP)' che vengono visualizzati. Ad esempio:

Se l'ISP non rilascia né richiede l'assegnazione di un indirizzo IP all'interfaccia WAN del proprio router, ovvero se la sua rete non dispone di un'assegnazione automatica dell'indirizzo IP, disabilitare l'acquisizione automatica dell'indirizzo IP tramite DHCP sulla porta WAN. Per fare ciò, nella sezione 'Impostazioni IPv4 ('IPv4 Settings)' del campo 'Configurazione IPv4 ('IPv4 configuration)', specificare 'Disabilitato (Disabled)'.

PPTP e L2TP sono spesso utilizzati nelle reti ISP. Il vantaggio principale di questi protocolli è la sicurezza della trasmissione dei dati a Internet. Di seguito prenderemo in considerazione un esempio di configurazione di una connessione tramite il protocollo PPTP in quanto più comune. La connessione L2TP viene configurata nello stesso modo.

Nella pagina 'Connessioni a internet via cavo Ethernet', nella sezione 'Autenticazione ISP (PPPoE / PPTP / L2TP) (ISP Authentication (PPPoE / PPTP / L2TP))', nel campo 'Tipo (protocollo) (Type (protocol))', specificare il valore 'PPTP' o 'L2TP', a seconda del tipo di connessione che si desidera configurare. Nel campo 'Indirizzo del server (Server address)', inserire l'indirizzo IP o il nome di dominio del server PPTP o L2TP. Nei campi 'Nome utente (Username)' e 'Password (Password)', inserire rispettivamente il nome utente e la password forniti dall'ISP per la connessione a Internet.

Fare clic su 'Mostra impostazioni PPTP avanzate (Show advanced PPTP settings)' per visualizzare i campi con le impostazioni avanzate.

Se la connessione PPTP utilizza la crittografia dei dati (MPPE), abilitare l'opzione corrispondente.

Lasciare il campo 'Configurazione IPv4 (IPv4 configuration)' impostato su 'Auto' se l'indirizzo IP per l'accesso a Internet viene assegnato automaticamente dal proprio ISP.

Se l'ISP ha fornito un indirizzo IP fisso (statico), specificare 'Manuale (Manual)' nel campo 'Configurazione IPv4 (IPv4 configuration)' e specificare l'indirizzo IP e l'indirizzo del gateway nei campi 'Indirizzo IP (IP address)' e 'IP remoto (Remote IP)' che appaiono. Ad esempio:

Nei router Keenetic, nella maggior parte dei casi, la televisione digitale (IPTV) funziona immediatamente sia su computer che su set-top box.

Se hai bisogno di connettere la tua rete domestica a Internet tramite un collegamento Wi-Fi, ogni modello di router Keenetic lo permette con una connessione in modalità WISP (Wireless ISP). Puoi connetterti, ad esempio, all'hotspot Wi-Fi pubblico dell'ISP, alla rete Wi-Fi del tuo vicino, a un AP wireless in un bar vicino o a un hotspot mobile sul tuo smartphone. Quando sei in viaggio, la modalità WISP è comoda da utilizzare con la rete Wi-Fi di un hotel. Il tuo dispositivo Keenetic si connette al Wi-Fi dell'hotel e tutti i tuoi dispositivi mobili sono pronti per essere utilizzati, essendo già connessi a una rete Wi-Fi sicura e preconfigurata del tuo router.

La connessione WISP può essere utilizzata come connessione principale o di backup, che si attiva automaticamente in caso di problemi con il canale di accesso a Internet principale.

Questo tipo di connessione Internet viene configurato nella pagina Wireless ISP.

Nella pagina Wireless ISP, fai clic su Cerca reti per selezionare la rete wireless desiderata.

La finestra che appare visualizza le reti Wi-Fi disponibili nel raggio d'azione del router. Seleziona la rete desiderata facendoci clic sopra.

Questo ti riporterà alla pagina Wireless ISP.

Quando si seleziona una rete wireless, il campo Nome della rete (SSID) (Network Name (SSID)) e il selettore Protezione della rete (Network protection) vengono impostati automaticamente. Nel campo Password, è necessario inserire la password o la chiave di sicurezza di rete utilizzata per accedere alla rete Wi-Fi selezionata.

Per impostazione predefinita, le Impostazioni IPv4 sono impostate su automatico, ovvero il dispositivo tenterà di ottenere un indirizzo IP tramite il protocollo DHCP al momento della connessione all'access point upstream. Se si desidera impostare un indirizzo IP statico, un gateway e dei server DNS, specificarli nei campi corrispondenti che vengono visualizzati selezionando Manuale nel selettore a discesa Configurazione IPv4. Per esempio:

Per modificare l'indirizzo IP locale del tuo dispositivo Keenetic, vai alla pagina Segmento Casa e, nella sezione Impostazioni IP (IP settings), compila il campo Indirizzo IP (IP address), inserendo un indirizzo IP privato diverso da 192.168.1.1 (ad esempio, inserisci 192.168.0.1). Applica le impostazioni facendo clic sul pulsante Salva (Save).

Imposta l'interruttore della connessione Internet sulla posizione destra (On) per avviare la connessione Wireless ISP.

Dopo aver stabilito la connessione, nel pannello informativo Internet nella pagina principale della Dashboard di sistema verranno visualizzate le informazioni sulla connessione corrente.

La connessione Wireless ISP può essere utilizzata come principale o come backup.

Quando si utilizza il backup della connessione e la connessione Wireless ISP è configurata come connessione principale, nella stessa pagina è possibile abilitare Verifica della disponibilità di Internet (Ping Check). In questo modo, anche se la connessione a un AP rimane attiva, ma la connettività Internet viene persa, Ping Checker risolverà il problema e commuterà automaticamente il router su una connessione di backup.

Nota

Con KeeneticOS 3.8.2 è stata aggiunta la nuova opzione Numero canale per la connessione Wireless ISP, che consente di impostare un numero di canale specifico invece di selezionare automaticamente un canale basato sull'SSID. Questa opzione riduce notevolmente il tempo necessario al lato client del router per scansionare l'etere, lasciando più risorse per gli hand-off Wi-Fi e per il funzionamento del backhaul Wi-Fi mesh. Utilizzare questa opzione per gli scenari in cui l'access point upstream che fornisce Internet ha un numero di canale Wi-Fi fisso.

L'access point Wi-Fi sul router e il client WISP integrato condividono lo stesso modulo radio (si parla della stessa banda), ed è impossibile a livello hardware far funzionare il client WISP integrato su canali diversi rispetto all'access point Wi-Fi. Ad esempio, un access point remoto dell'ISP è in funzione sul canale wireless 48; se si imposta manualmente il canale 149 sul proprio access point Wi-Fi, non sarà possibile connettersi tramite WISP all'access point dell'ISP che è in funzione sul canale 48 (ciò è possibile solo nelle diverse bande da 2,4 e 5 GHz, in cui vengono utilizzati moduli radio diversi). Se si imposta la modalità Auto per la selezione del canale sull'access point, il client WISP seguirà sempre l'access point Wi-Fi remoto e diventerà il 'master' per il suo access point. Allo stesso tempo, l'access point Wi-Fi del router diventa uno 'slave' e passa anche al canale impostato dal client WISP.

KeeneticOS consente di specificare l'indirizzo MAC dell'access point (BSSID) durante la connessione in modalità Wireless ISP (WISP). Questa funzione è utile quando sono presenti più access point con lo stesso nome (SSID) nell'etere. In questo caso, è possibile selezionare un particolare access point per la connessione specificando manualmente il suo indirizzo MAC.Connecting to the Internet via a Wireless ISP

Nell'interfaccia web del router, questa impostazione si trova nel menu Wireless ISP nella pagina Connessione Internet via hotspot Wi-Fi (Internet Connection via Wi-Fi Hotspot). Nei modelli di router dual-band (2.4/5 GHz), questa impostazione è disponibile in entrambe le bande.

Vai alla pagina Connessione Internet via hotspot Wi-Fi (Internet Connection via Wi-Fi Hotspot) e fai clic su Mostra impostazioni aggiuntive (Show advanced settings) nella sezione Impostazioni di connessione wireless (Wireless Connection Settings). Nel campo BSSID (indirizzo MAC dell'access point) (BSSID (MAC address of the access point)) che appare, inserisci l'indirizzo MAC dell'access point a cui desideri connetterti.

Se ci si connette tramite WISP a un altro dispositivo Keenetic, eseguire il seguente comando su di esso per trovare l'indirizzo MAC dell'access point Wi-Fi, che è necessario inserire nel campo BSSID. Per una rete a 2.4 GHz:

show interface AccessPoint

Per la rete a 5 GHz:

show interface AccessPoint_5G

È possibile eseguire il comando dall'interfaccia web (CLI web) o tramite una connessione telnet. Per informazioni dettagliate, fare riferimento alle istruzioni Interfaccia della riga di comando (CLI).

VPN (Virtual Private Network) — è un nome generico per le tecnologie che forniscono una o più connessioni di rete (tunnel) su un'altra rete (ad esempio, Internet).

Ci sono molte ragioni per utilizzare le reti private virtuali. Le più comuni sono la sicurezza e la privacy dei dati. La riservatezza dei dati originali dell'utente è garantita utilizzando strumenti di protezione dei dati nelle reti private virtuali.

È risaputo che le reti IP (Internet Protocol) hanno un 'punto debole' dovuto alla struttura del protocollo. Non esistono mezzi per proteggere i dati trasferiti e nessuna garanzia che il mittente sia chi afferma di essere. I dati in una rete IP possono essere facilmente manomessi o intercettati.

Si consiglia di utilizzare una connessione VPN per connettersi da Internet al server di casa, ai file dell'unità flash USB collegata a un router, al DVR o a un desktop di computer tramite il protocollo RDP. In questo caso, non è necessario preoccuparsi della sicurezza dei dati trasmessi perché la connessione VPN tra il client e il server è solitamente crittografata.

I dispositivi Keenetic supportano i seguenti tipi di connessioni VPN:

Con l'aiuto di un router Keenetic, la tua rete domestica può essere connessa tramite una VPN a un servizio VPN pubblico, a una rete di ufficio o a un altro dispositivo Keenetic, indipendentemente dal tipo di connessione Internet.

I client/server VPN per l'accesso sicuro (PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect) e i tunnel per l'interconnessione di rete (Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP)) sono implementati in tutti i dispositivi Keenetic.

A seconda dei protocolli utilizzati e dello scopo, una VPN può fornire connessioni in diversi scenari: host-host, host-network, hosts-network, client-server, clients-server, router-router, routers-router (concentratore VPN), network-network (site-to-site).

Se non sai quale tipo di VPN scegliere, le tabelle e le raccomandazioni seguenti ti aiuteranno.

* — nei modelli Starter, Runner 4G, Launcher, Explorer, Carrier, viene utilizzata solo l'accelerazione dell'algoritmo AES, mentre nei modelli Skipper, Titan, Hero, Giant, Peak, Hopper viene utilizzata l'accelerazione hardware dell'intero protocollo IPSec.

** — fino a 200 per Hero, Peak e Titan; fino a 150 per Carrier DSL; fino a 100 per Starter, Launcher, Explorer e Carrier.

*** — dalla versione KeeneticOS 3,7, il numero di connessioni WireGuard è aumentato a 128 per i modelli basati su ARM (KN-2710, KN-1811, KN-1012, KN-3811, KN-3812), e a 48 per KN-1011, KN-1810, KN-1912, KN-2311, KN-2610 e KN-3013.

**** — prima della versione KeeneticOS 3,3, il limite era di 10 connessioni per Hero (KN-1011), Titan (KN-1810), e 5 per tutti gli altri modelli.

* — sarà necessario installare software gratuito aggiuntivo nei sistemi operativi Windows, macOS, Linux, Android, iOS per configurare la connessione.

** — i valori sono relativi, non cifre esatte, perché le velocità delle connessioni VPN dipendono dai modelli e da diversi fattori: il tipo di algoritmi di crittografia utilizzati, il numero di connessioni simultanee, il tipo di connessione Internet, la velocità e il carico del canale Internet, il carico sul server e altri fattori. Consideriamo bassa velocità fino a 15 Mbit/s, velocità media intorno a 30 - 50 Mbit/s e alta velocità — oltre 70 Mbit/s.

* — Questa funzione è implementata sul nostro server cloud come un'estensione software speciale ed è disponibile solo per gli utenti dei dispositivi Keenetic.

Nella maggior parte dei casi, per le connessioni remote client-server, si consigliano i seguenti protocolli:

In molti modelli Keenetic, il trasferimento di dati su IPSec (inclusi L2TP over IPSec e IKEv2) è accelerato via hardware utilizzando il processore del dispositivo. Non è necessario preoccuparsi della privacy della telefonia IP o dei flussi CCTV in un tale tunnel.

Se il tuo ISP ti fornisce un indirizzo IP pubblico, ti consigliamo di prestare attenzione a IKEv2, al cosiddetto server virtuale IPSec (Xauth PSK) e al server L2TP over IPSec. Sono ottimi perché forniscono un accesso sicuro alla tua rete domestica da smartphone, tablet o computer con una configurazione minima: Android, iOS e Windows hanno comodi client integrati per questi tipi di VPN. Per IKEv2 su Android, utilizza il popolare client VPN gratuito strongSwan.

IKEv2 e L2TP/IPSec possono essere considerati la migliore opzione universale.

Se il tuo ISP ti fornisce solo un indirizzo IP privato per navigare in Internet e non puoi ottenere un IP pubblico, puoi comunque organizzare l'accesso remoto alla tua rete domestica utilizzando un server VPN SSTP o OpenConnect. Il vantaggio principale del tunnel SSTP e OpenConnect è la sua capacità di funzionare tramite il cloud, ovvero consente di stabilire una connessione tra il client e il server, anche se ci sono indirizzi IP privati su entrambi i lati. Tutti gli altri server VPN richiedono un indirizzo IP pubblico. Si prega di notare che questa funzione è implementata sul nostro server cloud ed è disponibile solo per gli utenti Keenetic.

Per quanto riguarda il protocollo tunnel PPTP, è il più facile e comodo da configurare, ma potenzialmente vulnerabile rispetto ad altri tipi di VPN. Tuttavia, è meglio usarlo che non usare affatto una VPN.

E per gli utenti esperti, possiamo aggiungere queste VPN all'elenco precedente:

OpenVPN è molto popolare ma richiede un uso estremamente intensivo delle risorse e non presenta particolari vantaggi rispetto a IPSec. I dispositivi Keenetic dispongono di funzionalità come la modalità TCP e UDP, l'autenticazione TLS, i certificati e le chiavi di crittografia per migliorare la sicurezza della connessione VPN per le connessioni OpenVPN.

Il moderno protocollo WireGuard renderà più facile e veloce lavorare con la VPN (molte volte rispetto a OpenVPN) senza aumentare la potenza dell'hardware del dispositivo.

Per i dispositivi mobili e per organizzare una connessione remota al router, utilizzare:

Il client IKEv2 EAP (Login/Password) è integrato in Android, iOS, MacOS, Windows.

Per consolidare le reti e organizzare una VPN Site-to-Site, utilizzare:

Per risolvere problemi specifici di interconnessione di rete:

IPSec è uno dei protocolli VPN più sicuri grazie all'uso di algoritmi crittografici sicuri. È l'opzione migliore per stabilire connessioni VPN Site-to-Site per interconnettere le reti. È possibile per professionisti e utenti esperti creare tunnel IPIP, GRE, EoIP sia in forma pura che in combinazione con tunnel IPSec, il che consentirà di utilizzare gli standard di sicurezza VPN IPSec per proteggere questi tunnel. Il supporto per i tunnel IPIP, GRE, EoIP rende possibile stabilire una connessione VPN con gateway hardware, router Linux, computer e server UNIX/Linux, così come altre apparecchiature di rete e di telecomunicazione che supportano questi tunnel. L'impostazione di questo tipo di tunnel è disponibile solo nell'interfaccia a riga di comando (CLI) del router.

Per maggiori informazioni sulla configurazione di diversi tipi di VPN nei dispositivi Keenetic, leggere le seguenti istruzioni:

WireGuard è un'applicazione software gratuita e open-source, un protocollo di rete privata virtuale (VPN) per trasferire dati crittografati e creare connessioni sicure punto-punto.

Le caratteristiche e i vantaggi del protocollo WireGuard risiedono nell'utilizzo di moderni algoritmi di elaborazione dati altamente specializzati. La base di codice del progetto è scritta da zero ed è caratterizzata dal suo design compatto.

WireGuard fa parte del modulo del kernel di sistema. La connessione WireGuard è accelerata via software ed è multithreaded, cioè può funzionare stabilmente e utilizzare le risorse di un singolo kernel.

I dispositivi Keenetic possono funzionare sia come server VPN che come client VPN. I termini 'client' e 'server' sono convenzionali a causa delle specificità del protocollo. Ma di solito, il server è un dispositivo che attende una connessione e il client è un dispositivo che avvia una connessione.

Quando ci si connette al server VPN WireGuard su Keenetic come client VPN, è possibile utilizzare un computer (basato su Windows, Linux, macOS), un dispositivo mobile (basato su Android e iOS) o i dispositivi Keenetic.

Utilizzando il client VPN WireGuard su Keenetic, è possibile connettersi a un provider VPN che fornisce un servizio di connessione VPN WireGuard o a un altro Keenetic che opera come server VPN e ottenere l'accesso remoto alla sua rete locale.

Per configurare tunnel protetti tramite il protocollo WireGuard nei router Keenetic, è necessario installare il componente di sistema 'WireGuard VPN'. È possibile farlo nell'interfaccia web nella pagina 'Impostazioni di sistema' nella sezione 'Aggiornamento KeeneticOS e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

Successivamente, troverai la sezione 'WireGuard' nella pagina 'Altre connessioni'.

Per configurare manualmente l'interfaccia WireGuard, fai clic su 'Crea connessione'. Non esamineremo qui le impostazioni di connessione, ma puoi trovarle nelle istruzioni dettagliate:

È inoltre possibile importare le impostazioni dell'interfaccia WireGuard da un file di configurazione pre-creato. Fai clic su 'Importa da un file' e quindi scegli il percorso del file pre-configurato sul tuo computer.

I principi principali di funzionamento della VPN WireGuard:

Esempi di impostazioni della connessione WireGuard

Di seguito puoi trovare istruzioni dettagliate su come configurare il Keenetic come server VPN e client VPN per interconnettere due reti locali:

Per configurare una connessione a provider VPN che possono funzionare con WireGuard, fai riferimento alle istruzioni:

È possibile utilizzare dispositivi mobili basati su Android e iOS per connettersi al router Keenetic tramite il protocollo WireGuard:

Oppure puoi usare computer basati su Windows, Linux, macOS:

A volte si desidera che i client connessi al router Keenetic tramite WireGuard accedano a Internet attraverso questo tunnel VPN. Sarà necessario effettuare configurazioni aggiuntive. Si prega di fare riferimento all'articolo:

È possibile utilizzare PPTP (Point-to-Point Tunneling Protocol) per connettersi a un servizio VPN pubblico, a una rete aziendale o a un altro router Keenetic. PPTP può anche essere utilizzato per stabilire un tunnel sicuro tra due reti locali. Il vantaggio del tunnel PPTP è la sua facilità di configurazione e disponibilità. PPTP fornisce un trasferimento dati sicuro su Internet da smartphone, tablet o computer. Il protocollo MPPE può essere utilizzato per proteggere i dati del traffico PPTP.

In Keenetic, oltre a PPTP, è anche possibile configurare una connessione L2TP (Layer 2 Tunneling Protocol). A differenza di altri protocolli VPN, L2TP non utilizza la crittografia dei dati.

Di seguito, considereremo un esempio di connessione PPTP. La configurazione di una connessione L2TP viene eseguita allo stesso modo.

Per configurare una connessione PPTP, vai alla pagina 'Altre connessioni' e fai clic su 'Crea connessione' nella sezione 'Connessioni VPN'. Nella finestra 'Impostazioni di connessione VPN (VPN Connection Settings)', seleziona 'PPTP' nel campo 'Tipo (protocollo) (Type (protocol))'.

Quindi, inserisci il nome della connessione nel campo 'Nome connessione (Connection name)' e nel campo 'Indirizzo server (Server address)', inserisci il nome di dominio o l'indirizzo IP del server PPTP. Nei campi 'Nome utente (Username)' e 'Password', specifica i dati dell'account autorizzato ad accedere alla rete locale tramite PPTP.

Fai clic su 'Mostra impostazioni avanzate (Show advanced settings)' per configurare le impostazioni IP, la pianificazione o l'interfaccia attraverso la quale la connessione dovrebbe funzionare.

Una volta stabilita la connessione, imposta lo switch su 'Attivo'.

La stessa pagina mostrerà anche lo stato della connessione.

Per verificare la connessione, accedi a una risorsa sulla rete remota o esegui il ping dell'host sulla rete remota (rete locale del server) dal computer client.

La configurazione del server PPTP in Keenetic è descritta in dettaglio nell'articolo 'Server VPN PPTP'.

È possibile accedere alle risorse di rete remote connettendosi a un server VPN dal proprio router Keenetic tramite il protocollo L2TP su IPSec (L2TP/IPSec).

Non è necessario preoccuparsi della riservatezza dei dati del file server, della telefonia IP o dei flussi di videosorveglianza in un tunnel di questo tipo. L2TP/IPSec fornisce un accesso assolutamente sicuro alla rete domestica da un computer con una configurazione minima: Windows dispone di un comodo client integrato per questo tipo di VPN. Inoltre, molti modelli Keenetic offrono l'accelerazione hardware del trasferimento dei dati su L2TP su IPsec.

Per configurare la connessione L2TP/IPsec, è necessario installare i componenti di sistema 'Server VPN IKEv1/IPsec e IKEv2/IPsec, VPN da sito a sito IPsec e client VPN L2TP/IPSEC'. È possibile farlo nella pagina 'Impostazioni di sistema' nella sezione 'Aggiornamenti e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

Per impostare una connessione L2TP/IPsec, vai alla pagina 'Altre connessioni' e fai clic su 'Crea connessione' nella sezione 'Connessioni VPN'. Nella finestra 'Impostazioni connessione VPN', seleziona 'L2TP/IPsec' nel campo 'Tipo (protocollo)'.

Quindi, inserisci il nome della connessione nel campo 'Nome connessione (Connection name)' e, nel campo 'Indirizzo del server (Server address)', inserisci il nome di dominio o l'indirizzo IP del server. Nei campi 'Nome utente (Username)' e 'Password', specifica i dati dell'account autorizzato ad accedere alla rete locale tramite L2TP/IPsec. Nel campo 'Chiave segreta (Secret key)' specifica la chiave concordata in precedenza, installata sul server.

Fai clic su 'Mostra impostazioni avanzate (Show advanced settings)' per configurare le impostazioni IP, la pianificazione o l'interfaccia tramite cui deve funzionare la connessione.

Una volta stabilita la connessione, imposta lo switch sullo stato 'Attivo'.

La stessa pagina mostrerà anche lo stato della connessione.

Per testare la connessione, accedi a una risorsa sulla rete remota o esegui il ping dell'host sulla rete remota (rete locale del server) dal computer client.

La configurazione del server L2TP/IPsec in Keenetic è descritta in dettaglio nell'articolo 'Server VPN L2TP/IPsec'.

OpenVPN è uno dei protocolli più popolari per la connessione VPN. Può essere utilizzato per creare una rete privata virtuale o per interconnettere reti locali. OpenVPN è open source e distribuito gratuitamente sotto la licenza GNU GPL. Fornisce velocità di connessione più elevate rispetto ad altri protocolli VPN. Inoltre, OpenVPN può essere definito uno dei protocolli più sicuri. Tutti i dati trasmessi sono protetti in modo sicuro dalla libreria di crittografia OpenSSL e dai protocolli SSLv3/TLSv1, che garantiscono elevata sicurezza e anonimato.

Il router Keenetic è dotato delle modalità TCP e UDP per la connessione OpenVPN, l'autenticazione TLS, l'uso di certificati e chiavi di crittografia per aumentare la sicurezza della connessione VPN.

L'installazione del componente di sistema 'Client e server OpenVPN' è necessaria per configurare la connessione OpenVPN. Con questo componente, è possibile utilizzare sia il client che il server OpenVPN nel tuo Keenetic. È possibile installare il componente di sistema nella pagina 'Impostazioni di sistema' nella sezione 'Aggiornamento Keenetic e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

La modalità OpenVPN (client o server) è definita principalmente dal suo file di configurazione.

Consideriamo un esempio di connessione OpenVPN di tipo 'site-to-site'.

Collegheremo il client Keenetic#2 (segmento Home 192.168.2.0/24, indirizzo tunnel: 10.1.0.2) al server su Keenetic#1 (segmento Home 192.168.1.0/24, indirizzo tunnel: 10.1.0.1)

Si consiglia di leggere le seguenti informazioni:

OpenVPN è uno dei protocolli più popolari per le connessioni VPN. Può essere utilizzato per creare una rete privata virtuale o per interconnettere reti locali. OpenVPN è open source e distribuito gratuitamente con licenza GNU GPL. Fornisce velocità di connessione più elevate rispetto ad altri protocolli VPN. Inoltre, OpenVPN può essere definito uno dei protocolli più sicuri. Tutti i dati trasmessi sono protetti in modo sicuro dalla libreria di crittografia OpenSSL e dai protocolli SSLv3/TLSv1, il che garantisce un'elevata sicurezza e anonimato.

Il supporto client e server OpenVPN è integrato nei router Keenetic. Per configurare una connessione OpenVPN, è necessario installare il componente di sistema 'Client e server OpenVPN'. Un router Keenetic può essere utilizzato sia come client che come server OpenVPN con questo componente. Una descrizione dettagliata della modalità server è disponibile nell'articolo 'Server OpenVPN'. È possibile installare il componente di sistema nella pagina 'Impostazioni di sistema' nella sezione 'Aggiornamenti e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

I provider VPN possono offrire diverse varianti per le configurazioni OpenVPN. Di seguito ne esamineremo alcune.

Si consiglia di leggere le seguenti informazioni:

I tunnel SSTP (Secure Socket Tunnel Protocol) possono essere utilizzati per connettersi da remoto alla rete locale del router Keenetic.

Il trasferimento dei dati via Internet nel tunnel SSTP viene effettuato con l'ausilio del protocollo HTTPS (i dati vengono trasferiti attraverso i protocolli crittografici SSL o TLS), che fornisce un elevato livello di sicurezza.

Per configurare la connessione SSTP, è necessario installare il componente di sistema 'Client VPN SSTP'. È possibile farlo nella pagina 'Impostazioni di sistema' nella sezione 'Aggiornamento KeeneticOS e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

Successivamente, vai alla pagina 'Altre connessioni' e fai clic su 'Crea connessione' nella sezione 'Connessioni VPN'. Seleziona 'SSTP' nel campo 'Tipo (protocollo)' nella finestra 'Impostazioni di connessione VPN'.

Quindi, immetti il nome della connessione nel campo 'Nome connessione (Connection name)' e, nel campo 'Indirizzo del server (Server address)', inserisci il nome di dominio o l'indirizzo IP del server. Nei campi 'Nome utente (Username)' e 'Password', specifica l'account autorizzato ad accedere alla rete locale tramite SSTP.

Una volta stabilita la connessione, imposta lo switch su 'Attivo'.

La stessa pagina mostrerà anche lo stato della connessione.

Per testare la connessione, accedi a una risorsa sulla rete remota o esegui il ping dell'host sulla rete remota (rete locale del server) dal computer client.

La configurazione del server SSTP in Keenetic è descritta in dettaglio nell'articolo 'Server VPN SSTP'.

A partire dalla versione KeeneticOS 3,5, è stato aggiunto un componente separato Client IKEv1/IKEv2 che consente a un router di stabilire connessioni client tramite i protocolli IKEv1 e IKEv2.

IKEv2 (Internet Key Exchange) è un protocollo di scambio di chiavi di versione 2 incluso nella suite di protocolli IPSec. Fornisce un'elevata sicurezza dei dati, velocità e stabilità.

Per configurare connessioni IKE sicure sul tuo Keenetic router, è necessario installare il componente di sistema 'Client VPN IKEv1/IPsec e IKEv2/IPsec'. Puoi farlo nell'interfaccia web nella pagina 'Impostazioni di sistema' in 'Aggiornamento e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

Successivamente, nella pagina 'Altre connessioni (Other Connections)' nella sezione 'Connessioni VPN (VPN Connections)', fai clic su 'Crea connessione (Create connection)' per aggiungere e configurare un client IKE.

Nella schermata 'Impostazioni di connessione VPN (VPN Connection Settings)', inserisci le informazioni di registrazione fornite dal tuo provider VPN o dall'amministratore del server VPN.

Se desideri utilizzare questa connessione per accedere a Internet, abilita l'opzione.

Inserisci un nome qualsiasi per identificare la connessione nel campo 'Nome connessione (Connection name)', imposta 'IKEv2' o 'IKEv1' nel campo 'Tipo (protocollo) (Type (protocol))' e specifica l'indirizzo del server (server address), il nome utente (user name) e la password. Nel nostro esempio, viene utilizzata una connessione VPN IKEv2.

Una volta stabilita la connessione, sposta lo switch su On.

Nella stessa pagina verrà visualizzato lo stato di questa connessione.

Per configurare un server IKEv2, consulta l'articolo 'Server VPN IKEv2/IPsec'.

È possibile utilizzare OpenConnect VPN per connettersi in modo remoto e sicuro alla rete locale del proprio router Keenetic. Un router Keenetic stesso può fungere da client OpenConnect. A partire da KeeneticOS 4.2.1, sono stati aggiunti un server e client VPN OpenConnect.

Per impostare una connessione client OpenConnect, è necessario installare il componente di sistema Client VPN OpenConnect(OpenConnect VPN client). È possibile farlo dalla pagina Impostazioni di sistema, nella sezione Aggiornamento KeeneticOS e opzioni dei componenti, facendo clic su Opzioni dei componenti.

Dopodiché, andare alla pagina Altre connessioni (Other Connections) e, nella sezione Connessioni VPN (VPN Connections), fare clic su + Crea connessione (+ Create connection). Nella finestra Impostazioni connessione VPN (VPN Connection Setting), selezionare OpenConnect nel campo Tipo (protocollo). Quindi, nel campo Nome connessione (Connection name) inserire il nome della connessione e nel campo Indirizzo server (Server address) inserire il nome del dominio del server (generato automaticamente sul router Keenetic che funge da server VPN). Nei campi Nome utente (Username) e Password, inserire rispettivamente le credenziali dell'account che consente l'accesso al router e alla rete locale tramite il protocollo OpenConnect.

Dopo aver creato la connessione, impostare lo switch su Attivato.

La stessa pagina mostra lo stato della connessione e le statistiche.

Per verificare la connessione, accedere a una qualsiasi risorsa sulla rete remota (la rete locale del server VPN) da un computer sul lato client o eseguire il ping di un host della rete remota.

Per configurare il server OpenConnect su un router Keenetic, consultare l'articolo Server VPN OpenConnect.

ZeroTier consente a singoli dispositivi e router di rete di accedere alla propria LAN tramite un overlay di interconnessione distribuita che sceglie automaticamente il percorso ottimale tra i nodi. La progettazione del protocollo garantisce una facile implementazione, una gestione centralizzata, prestazioni stabili e la protezione dei dati. Di conseguenza, le connessioni sono sicure, offrendo bassa latenza e throughput elevato.

Per configurare il proprio dispositivo Keenetic per la connessione alla rete ZeroTier utilizzando l'interfaccia a riga di comando (CLI), è necessario prima creare un'interfaccia con il seguente comando CLI.

      interface ZeroTier{X}   

Dove {X} è l'indice della nuova interfaccia, ovvero il numero scelto.

Specificare quindi il NETWORK ID della propria rete ZeroTier.

      zerotier network-id {network_ID}   

Sostituire {network_ID} con il proprio NETWORK ID ZeroTier senza virgolette o parentesi. È possibile trovare il NETWORK ID della propria rete nel portale di gestione ZeroTier Central, come mostrato nell'immagine.

Successivamente, abilitare l'accettazione di indirizzi e route distribuite sulla propria rete ZeroTier.

zerotier accept-addresses
zerotier accept-routes

Quindi, attivare l'interfaccia e salvare la configurazione.

up
system configuration save

L'intera serie di comandi sopra elencati dovrebbe avere il seguente aspetto.

(config)> interface ZeroTier0
Network::Interface::Repository: "ZeroTier0" interface created.
(config-if)> zerotier network-id 0123456789abcdef
ZeroTier::Interface: "ZeroTier0": set network ID to "0123456789abcdef".
(config-if)> zerotier accept-addresses
ZeroTier::Interface: "ZeroTier0": enabled addresses accept.
(config-if)> zerotier accept-routes
ZeroTier::Interface: "ZeroTier0": enabled routes accept.
(config-if)> up
Network::Interface::Base: "ZeroTier0": interface is up.
(config-if)> system configuration save
Core::System::StartupConfig: Saving (cli).

Dopo aver inserito i comandi, il proprio nodo Keenetic dovrebbe apparire nella dashboard di rete di ZeroTier Central. Per semplificare la gestione della rete, inserire un nome e una descrizione per il nuovo nodo. Potrebbe anche essere necessario autorizzare il nuovo membro se la modalità Controllo accesso della rete è Privata (impostazione predefinita).

È possibile utilizzare il comando show per controllare lo stato della connessione sul proprio dispositivo Keenetic. La riga connected: yes indica che lo stato della connessione è positivo.

(config)> show interface ZeroTier0
id: ZeroTier0
index: 0
interface-name: ZeroTier0
type: ZeroTier
description:
traits: Mac
traits: Ethernet
traits: Ip
traits: Ip6
traits: Supplicant
traits: EthernetIp
traits: ZeroTier
link: up
connected: yes <------
state: up
mtu: 2800
tx-queue-length: 1000
address: 172.26.81.177 <------
mask: 255.255.0.0
uptime: 312
global: no
security-level: public <------

ipv6:
addresses:
address: fe80::cc56:2aff:fed4:d8a3
prefix-length: 64
proto: KERNEL
valid-lifetime: infinite

mac: 32:dd:64:a3:fa:73
auth-type: none

zerotier:
via: GigabitEthernet1
local-id: 4aac294d2f
network-id: 0123456789abcdef
network-name:
status: OK

summary:
layer:
conf: running
link: running
ipv4: running
ipv6: disabled
ctrl: running

Notare che l'interfaccia creata ha un'impostazione security-level: public. Ciò significa che le connessioni in entrata devono essere esplicitamente consentite da Firewall. Considerando che la propria rete ZeroTier è attendibile, è sufficiente una regola che consenta tutto il traffico in entrata. Aggiungere una nuova regola Consenti per l'interfaccia ZeroTier creata e selezionare IP per Protocollo e Qualsiasi per IP di origine e IP di destinazione, come mostrato.

Suggerimento

Per informare gli altri dispositivi della propria rete ZeroTier sulla LAN dietro il nuovo nodo, creare una route nella sezione Avanzate delle impostazioni di rete su ZeroTier Central. Utilizzare l'indirizzo IP gestiti (la riga address: 172.26.81.177 nell'output precedente) come indirizzo Via. Inserire l'indirizzo di sottorete LAN del proprio router (192.168.1.0/24 per impostazione predefinita) nel campo Destinazione.

Il Keenetic ha un client/server VPN IPsec integrato. Grazie a questa funzione, è possibile combinare più router Keenetic in un'unica rete tramite un tunnel VPN IPsec, seguendo i più severi requisiti di sicurezza.

Nella maggior parte dei casi, la VPN IPsec viene utilizzata per la connessione sicura alla rete dell'ufficio (ad es. dalla rete domestica al server aziendale) o per unire più reti (ad es. due uffici remoti). Con il tunnel VPN IPsec, non devi preoccuparti della privacy dei dati del file server, della telefonia IP o dei flussi di videosorveglianza. IPsec è uno dei protocolli VPN più sicuri grazie ad algoritmi di crittografia a prova di crittoanalisi.

Esaminiamo un esempio di combinazione di due reti locali (192.168.2.x e 192.168.0.x) tramite una VPN IPsec.

Per una connessione VPN IPsec, saranno necessari due router Keenetic. Questo tipo di connessione è chiamata 'VPN IPsec site-to-site'.

Un Keenetic fungerà da responder IPsec (chiamiamolo server), e l'altro Keenetic fungerà da initiator della connessione IPsec (chiamiamolo client).

Il router che funge da server IPsec ha un indirizzo IP pubblico statico per connettersi a Internet. Il secondo Keenetic, che funge da client IPsec, utilizza un indirizzo IP privato.

Passiamo quindi direttamente alla configurazione dei router per stabilire un tunnel VPN IPsec sicuro tra di essi e connettere le due reti.

Su entrambi i router deve essere installato il componente di sistema 'Server VPN IKEv1/IPsec e IKEv2/IPsec, client VPN L2TP/IPsec, VPN IPsec site-to-site'.

È possibile farlo facendo clic su 'Opzioni dei componenti' nella pagina 'Impostazioni di sistema' alla sezione 'Aggiornamento e opzioni dei componenti'.

I router Keenetic hanno la capacità di creare tunnel IPIP (IP over IP), GRE (Generic Routing Encapsulation), EoIP (Ethernet over IP) sia in forma pura che in combinazione con il tunnel IPSec, consentendo di utilizzare gli standard di sicurezza IPSec VPN per proteggere questi tunnel.

Il supporto dei tunnel IPIP, GRE, EoIP nei router Keenetic consente di stabilire una connessione VPN con gateway hardware, router Linux, computer e server con sistema operativo UNIX/Linux, nonché con altre apparecchiature di rete e di telecomunicazione che supportano questi tunnel.

È necessario installare i componenti aggiuntivi corrispondenti del sistema KeeneticOS per lavorare con i tunnel:

È possibile farlo nella pagina 'Impostazioni di sistema' nella sezione 'Aggiornamenti e opzioni dei componenti' facendo clic su 'Opzioni dei componenti'.

Breve descrizione

I tunnel IPIP e GRE sono tunnel a livello di rete (L3 del modello OSI), dove sono disponibili gli indirizzi IP di entrambe le parti. Essi sono presentati nel sistema come interfacce GreX e IPIPX, e l'instradamento (inclusa la rotta predefinita) può essere configurato attraverso di esse proprio come attraverso qualsiasi altra interfaccia. Inoltre, a queste interfacce può essere configurato un livello di sicurezza per l'accesso - privato, protetto o pubblico (le informazioni sui livelli di accesso sono disponibili nell'articolo 'Configurazione delle regole del firewall con l'interfaccia della riga di comando)'.

Il tunnel IPIP (IP over IP) è uno dei tunnel più facili da configurare (incapsula solo il traffico unicast IPv4). È possibile configurarlo su un sistema UNIX/Linux e su diversi router (ad esempio Cisco).

Il tunnel GRE (Generic Routing Encapsulation) è uno dei tipi di VPN più popolari. I tunnel GRE sono compatibili con gateway di sicurezza hardware, router Mikrotik, router Linux e altre apparecchiature simili (ad esempio Cisco, Juniper, ecc.).

Il tunnel EoIP (Ethernet over IP) è un tunnel di livello Datalink (L2 del modello OSI) sopra il livello di rete (L3). I dati vengono trasmessi attraverso questo tunnel a livello di frame Ethernet. EoIP fornisce un ambiente di rete trasparente che emula una connessione Ethernet diretta tra le reti. Tutti gli indirizzi MAC sono visibili, ed è possibile collegare due LAN L2 su Internet utilizzando questo tipo di tunnel. EoIP utilizza GRE come trasporto. Il tunnel EoIP può funzionare con IPIP, PPTP e qualsiasi altra connessione in grado di trasmettere pacchetti IP. Qualsiasi traffico diverso dall'IP può essere inviato attraverso di esso, inclusi ARP, DHCP, PPPoE, IPv6, ecc. La scansione della sottorete tramite ARP funzionerà nel tunnel per impostazione predefinita quando il livello di sicurezza cambia in privato/protetto. Nel sistema è presentato come un'interfaccia EoIPX.

EoIP è sviluppato da MikroTik, quindi c'è compatibilità con essi e con i router Linux che sanno come lavorare con EoIP.

È possibile utilizzare la funzione Controllo Ping sulle interfacce dei tunnel IPIP, GRE e EoIP per verificarne la disponibilità.

I tunnel IPIP, GRE e EoIP funzionano direttamente sul protocollo IPv4. IPIP utilizza il numero di protocollo IP 4, GRE ed EoIP utilizzano il numero di protocollo IP 47.

Esempi

Gli esempi seguenti mostrano indirizzi IP privati, che possono essere utilizzati solo all'interno della rete locale. Devono esserci indirizzi IP pubblici a entrambe le estremità dei tunnel per creare tunnel su Internet.

Per GRE il nome dell'interfaccia sarà Gre0, per IPIP il nome dell'interfaccia sarà IPIP0.

Configurazione di un tunnel GRE/IPIP tra due router Keenetic

Configurazione di un tunnel EoIP tra due router Keenetic

Per EoIP, il nome dell'interfaccia sarà EoIP0.

Nel caso del tunnel EoIP, le impostazioni saranno assolutamente le stesse, ad eccezione di due cose:

Un'estremità della configurazione del tunnel:

(config)> interface EoIP0
(config-if)> tunnel destination router1.example.com
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

L'impostazione a 'specchio' si trova all'altra estremità del tunnel:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

È quindi possibile provare a eseguire il ping dell'indirizzo del lato remoto del tunnel da qualsiasi lato per verificare se il tunnel funziona correttamente.

L'interfaccia EoIPx può essere inclusa nel Bridge per unire le reti locali. Per fare ciò, configurare l'interfaccia EoIP senza un indirizzo IP su entrambi i lati e quindi aggiungerla al Bridge Home:

(config)> interface Home
(config-if)> include EoIP0
(config-if)> exit
(config)> system configuration save

Uso di tunnel IPIP, GRE e EoIP con IPSec

Se è installato un componente di sistema speciale IPSec VPN, è possibile proteggere questi tunnel utilizzando gli standard di sicurezza IPSec, sia in modalità automatica che completamente manuale. Non descriveremo la modalità manuale perché gli utenti esperti possono impostare un tunnel IPSec con la modalità corretta e quindi stabilire il tunnel su IPSec. In caso di configurazione automatica, vengono risolti contemporaneamente diversi problemi della modalità manuale:

Il componente IPSec VPN aggiunge le seguenti impostazioni ai tunnel:

Poiché IPSec separa un client da un server, per configurare il client (l'iniziatore, il lato che tenterà di stabilire la connessione), è necessario utilizzare il comando interface tunnel destination, e per abilitare la modalità server (la parte che risponderà ai tentativi di connessione), è necessario utilizzare il comando interface tunnel source.

Esempio di configurazione del tunnel EoIP con IPsec (nel nostro esempio, il lato con l'indirizzo WAN 8.6.5.4 è il server):

Server:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Client:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Nel comando interface tunnel source, è possibile specificare sia l'interfaccia di origine che l'indirizzo IP in cui il server attenderà la connessione. Tuttavia, si dà la preferenza all'interfaccia, perché in questo caso tutta la riconfigurazione al cambio di indirizzo e altri eventi avverrà automaticamente.

A partire dalla versione 3,9, è stato aggiunto il componente client proxy. Questo componente sarà utile per applicazioni di tunneling complesse e per la semplice attività di connessione della rete a Internet tramite un server proxy. Questa funzionalità consente di configurare una connessione tramite server proxy utilizzando i protocolli HTTP, HTTPS e SOCKS5.

Per utilizzare una connessione proxy, è necessario innanzitutto installare sul router il componente di sistema Client proxy. È possibile eseguire questa operazione nell'interfaccia web, alla pagina Impostazioni di sistema, nella sezione Aggiornamento KeeneticOS e opzioni componenti, facendo clic su Opzioni dei componenti.

Per configurare l'accesso a Internet tramite un proxy, vai alla pagina Altre connessioni, scorri fino a Connessioni proxy (Proxy Connection) e fai clic sul pulsante Aggiungi connessione (Add connection).

Verrà quindi richiesto di compilare alcuni campi. Inserisci i dettagli di registrazione forniti dall'amministratore del tuo server proxy.

Dopo aver stabilito la connessione, imposta lo switch sulla posizione Attivato.

Successivamente, nel menu Priorità di connessione (Connetion Policies), configura l'accesso a Internet tramite la connessione proxy creata. Trascinala in cima all'elenco per renderla la connessione principale.

Successivamente, tutti i client connessi al router accederanno a Internet tramite una connessione proxy. Se è necessario configurare l'accesso solo per determinati client, sarà necessario creare un profilo separato e collegarvi client specifici. Le istruzioni su come farlo sono fornite nell'articolo Criteri di connessione.

La configurazione è completata.

Per testarlo, è possibile utilizzare qualsiasi servizio Internet pubblico per controllare l'indirizzo IP e il paese in cui si trova l'IP.

I router Keenetic supportano più connessioni di uplink simultanee (questa funzione è talvolta chiamata Multi-WAN). È possibile, ad esempio, collegare due cavi Ethernet di diversi ISP allo stesso router Keenetic e impostare una connessione primaria e una di backup, oppure è possibile, ad esempio, utilizzare una connessione Internet via Ethernet dedicata per un collegamento primario e una connessione Internet tramite modem 3G/4G, LTE come backup.

Ogni dispositivo Keenetic supporta questo set di funzionalità.

Diamo un'occhiata più da vicino all'esempio di collegamento di un router Keenetic a due diversi ISP su una linea Ethernet dedicata e di configurazione del backup del canale Internet principale.

Il canale Internet principale deve essere collegato alla porta 0 (WAN/Internet) blu del router. Il cavo del canale Internet di backup può essere collegato a una qualsiasi delle sue porte disponibili.

Quando si utilizza Multi-WAN su un router per bilanciare il carico delle connessioni Internet, è possibile configurare l'associazione di determinati dispositivi a diverse connessioni Internet utilizzando il Policy-Based Routing (PBR). Fare riferimento alle istruzioni per maggiori informazioni:

Si supponga di avere due connessioni Internet (Multi-WAN) sul proprio Keenetic: una connessione primaria tramite una linea dedicata e una connessione di backup tramite un modem USB 3G/4G. È inoltre necessario configurare il router Keenetic in modo che tutti i dispositivi domestici abbiano accesso a Internet dalla connessione primaria e un computer abbia accesso a Internet tramite la connessione di backup.

È possibile farlo utilizzando il Policy-Based Routing (PBR) e configurando il router nel menu Criteri di connessione (Connection policies).

Il processo di configurazione può essere riassunto come segue:

Nell'interfaccia web del router, nella pagina 'Criteri di connessione'('Connection Policies'), nella scheda 'Configurazione criteri'('Policy Configuration'), si aggiunge un nuovo criterio che includa solo una connessione di backup. Quindi, nella scheda 'Associazione criteri'('Policy Binding'), si sposta il dispositivo desiderato dal Criterio predefinito (Default policy) al criterio di accesso appena creato. A questo punto il dispositivo aggiunto al nuovo criterio accederà a Internet tramite la connessione di backup, mentre gli altri dispositivi (che si trovano nel Criterio predefinito)(Default policy)funzioneranno tramite quella predefinita.

Analizziamo più da vicino questa impostazione con un esempio.

Il router dispone di due connessioni Internet: quella predefinita tramite un provider wireless e quella di backup tramite una rete mobile 3G/4G.

Andare alla pagina 'Criteri di connessione'('Connection Policies'). Nella scheda 'Configurazione criteri'('Policy Configuration'), verranno visualizzate due connessioni Internet (nel nostro esempio, sono 'Connessione Ethernet'('Ethernet connection') e 'Banda larga mobile'('Mobile Broadband')). Fare clic su '+ Aggiungi criterio'('+ Add policy').

Creare un nuovo criterio di connessione, assegnargli un nome (name) e fare clic su Salva (Save).

Nel criterio appena creato (nel nostro esempio, è un criterio chiamato 'Backup'), selezionare la casella per la connessione di backup (nel nostro caso, è 'Banda larga mobile'('Mobile Broadband')).

Fare clic sulla scheda 'Associazione criteri'(Policy Binding'). Fare clic su 'Criterio predefinito'('Default policy') per visualizzare tutti i dispositivi della rete locale che utilizzano questo criterio di connessione.

Fare clic sul dispositivo desiderato (nel nostro esempio, il computer denominato 'PC') e, nel campo 'Sposta in'('Move to')', selezionare il criterio appena creato per la connessione di backup (nel nostro caso, è il profilo denominato 'Backup') e fare clic su 'Conferma'('Confirm'). È anche possibile eseguire questa azione in un altro modo: trascinare e rilasciare il dispositivo dalla colonna di destra al nome del criterio desiderato nella colonna di sinistra.

Il dispositivo desiderato è stato aggiunto al nuovo criterio di connessione, per il quale viene utilizzata solo la connessione di backup.

Una volta effettuate le impostazioni, il computer accederà a Internet tramite una connessione di backup (nel nostro esempio, tramite la rete 3G/4G dell'operatore di telefonia mobile) e tutti gli altri dispositivi della rete locale funzioneranno tramite la connessione predefinita.

A partire da KeeneticOS 3.9, è implementato il bilanciamento intelligente del traffico quando si utilizzano più connessioni Internet. Nei router Keenetic, questo meccanismo è chiamato Modalità multipath.

Nell'interfaccia web del router, è possibile creare una nuova policy multipath che ottimizzerà l'uso di diverse connessioni Internet e velocizzerà e bilancerà il traffico.

In modalità multipath, tutte le connessioni incluse nella policy trasmettono automaticamente il traffico. Questa modalità può essere utilizzata per aggregare la larghezza di banda dei propri ISP.

Il multipath può funzionare solo con una policy facoltativa (non è possibile abilitare questa modalità nella Policy predefinita). Per configurarla, attenersi alla seguente procedura:

Ad esempio, per testare l'aggregazione della larghezza di banda, il router utilizza due connessioni Internet cablate da 100 Mbps (12,5 Mbyte/s) di diversi ISP. Creiamo una policy che supporti la modalità multipath. Avviamo il download del file e nel client torrent vedremo che la velocità di download è la somma delle due connessioni Internet. Nel nostro esempio abbiamo ottenuto una velocità di download fino a circa 179,2 Mbps (22,4 Mbyte/s).

Per i modelli di router meno recenti con KeeneticOS 2.14 - 3.8, è possibile impostare connessioni in modalità bilanciata tramite l'interfaccia a riga di comando (CLI) del router. Vedere ' Using multiple WAN connections in load balancing mode (configuring from the CLI)' per un esempio di configurazione.

Dalla versione KeeneticOS 3.8, l'opzione del limite di velocità per il traffico in entrata e in uscita è stata aggiunta all'interfaccia web (web interface) (web interface) del router nella schermata 'Priorità di connessione'('Connection priorities') .

Questa schermata consente di configurare i criteri di connessione e di assegnarli a dispositivi e segmenti di rete. Per ogni connessione nel criterio, è possibile specificare la priorità di gestione del traffico individuale e i limiti di velocità in entrata e in uscita. Si noti che la gestione della larghezza di banda non è disponibile per il criterio predefinito; questa impostazione è possibile solo per i criteri aggiuntivi creati manualmente.

Mostriamolo con un esempio. Nella pagina 'Criteri di connessione'('Connection Policies') nella scheda 'Configurazione criteri'('Policy Configuration') , aggiungiamo un nuovo criterio denominato speedlimit-10Mbit. Nelle impostazioni di controllo della larghezza di banda, nei campi 'Controllo della larghezza di banda in entrata/uscita'('Inbound/outbound bandwidth control') ,selezioneremo 'Manuale'('Manual'), e nei campi 'Limita la velocità per i dati in entrata/uscita'('Limit speed for incoming/outbound data') ' specificheremo la velocità in kbps o Mbps. Nel nostro esempio, il limite di velocità è 10 Mbit/s:

Nella scheda 'Associazioni criteri'('Policy Bindings'), aggiungiamo i dispositivi di rete domestica desiderati al criterio speedlimit-10Mbit. Per fare ciò, selezionare il criterio di connessione nella colonna di sinistra e quindi trascinare i dispositivi sul nome del criterio desiderato nella colonna di sinistra.

A questi dispositivi verrà ora applicato un criterio di connessione a Internet con la larghezza di banda specificata (nel nostro esempio, con un limite di velocità di 10 Mbit/s per il traffico in entrata e in uscita). Testiamo il limite di velocità utilizzando il servizio online Speedtest, eseguendo il test da un computer che è stato aggiunto al criterio di accesso speedlimit-10mbit:

È possibile trovare maggiori informazioni nell'articolo ' How to measure the Internet connection speed?'.

È inoltre possibile impostare la gestione della larghezza di banda per più connessioni Internet contemporaneamente. Ad esempio:

Per connettere un router Keenetic a Internet tramite il protocollo IPv6, non sono necessarie impostazioni speciali. Nella maggior parte dei casi, è sufficiente installare il componente di sistema 'IPv6' e abilitare IPv6 nelle impostazioni dell'interfaccia esterna che verrà utilizzata per la connessione.

Per configurare una connessione IPv6, procedere come segue:

show ipv6 prefixes

(config)> show ipv6 prefixes

prefix:
 prefix: 2a02:2698:24::/64
 interface: PPPoE0
 valid-lifetime: 86349
 preferred-lifetime: 3549

<!-- show ipv6 prefixes -->
 <prefix>
  <prefix>2a02:2698:24::/64</prefix>
  <interface>PPPoE0</interface>
  <valid-lifetime>86349</valid-lifetime>
  <preferred-lifetime>3549</preferred-lifetime>
 </prefix>

<!-- show ipv6 prefixes -->
 
<!-- show ipv6 addresses -->
 <address>
  <address>2a00:1370:8024::</address>
  <link-local>fe80::5a8b:f3ff::</link-local>
  <interface>ISP</interface>
  <valid-lifetime>infinite</valid-lifetime>
 </address>

I tunnel IPv6 su IPv4 vengono utilizzati per accedere alle risorse Internet tramite il protocollo IPv6 quando il proprio indirizzo pubblico è IPv4. Per configurare la connessione, registrati con un provider virtuale IPv6 (tunnel broker) che esegue la tecnologia 6in4(6in4 technology). Otterrai le impostazioni di connessione al momento della registrazione.

Un router Keenetic consente di connettersi simultaneamente a più ISP (funzione denominata Multi-WAN) e di attivare la verifica continua della disponibilità di Internet (Ping Check). La funzione Ping Check rileva se una connessione Internet è disponibile eseguendo il polling di un determinato host di rete. Se la rete dell'ISP principale si guasta, il router si collegherà automatically al canale di backup.

È possibile configurare i controlli di disponibilità di Internet per le connessioni cablate IPoE (incluse quelle con l'autenticazione presso l'ISP: PPPoE, PPTP e L2TP), così come WISP, ADSL / VDSL. Ma la funzione Ping Check sarà particolarmente utile se si dispone di una connessione Internet tramite un modem USB 3G/4G.

Non è necessario preoccuparsi di configurare Ping Check. È sufficiente collegare il modem USB supportato al Keenetic e assicurarsi che sia rilevato e pronto per il funzionamento (operazione verificabile nell'interfaccia web, alla pagina Pannello di controllo del sistema). La funzione Ping Check si attiva automaticamente quando un modem USB è collegato al router. Utilizzerà la modalità Automatica come metodo di controllo.

Questa modalità è progettata per semplificare la configurazione della funzione Ping Check per gli utenti comuni (coloro che non desiderano approfondire i parametri aggiuntivi). Verifica la disponibilità degli host google.com, facebook.com, yahoo.com sulla porta TCP/443 (HTTPS). Di norma, gli ISP non bloccano questa porta. Se non c'è connessione agli host, il router tenterà di ristabilire la connessione riavviando l'interfaccia del modem oppure, se è disponibile una connessione di backup, passerà automaticamente al canale di backup.

Oltre alla funzionalità predefinita, è possibile configurare manualmente la funzione Ping Check. Oltre alla modalità Automatica, sono disponibili altre 3 opzioni: ICMP echo (Ping), controllo della porta TCP/TLS e controllo della porta TCP. Per maggiori dettagli, consultare l'istruzione Ottimizzazione del Ping Check.

L'implementazione della funzione Ping Check nell'interfaccia web di un router Keenetic supporta una configurazione flessibile.

Ping Check può essere configurato per connessioni cablate IPoE (incluse quelle autenticate con un ISP tramite i protocolli PPPoE, PPTP e L2TP) e 3G/4G, WISP, ADSL / VDSL.

Nella pagina della connessione, sotto Verifica della disponibilità di Internet (Ping Check) nel campo Modalità, è possibile specificare manualmente quali richieste di controllo utilizzare — ICMP o TCP.

Sono disponibili 5 opzioni:

Modalità 'Automatico'

È progettata per rendere più semplice per gli utenti comuni (coloro che non vogliono conoscere parametri aggiuntivi) l'impostazione della funzione Ping Check.

Verifica la disponibilità dei nodi google.com, facebook.com, yahoo.com sulla porta TCP/443 (HTTPS). Di norma, i fornitori di servizi non bloccano questa porta. L'intervallo di controllo è di 10 secondi. Il numero minimo di tentativi riusciti per passare dallo stato Spento a Acceso è 5. Il numero di tentativi non riusciti per passare dallo stato Acceso a Spento è 5.

Modalità 'ICMP echo (Ping)'

Nei campi Frequenza di controllo (tempo in secondi tra i controlli) e Soglia di intervento (numero di test non riusciti), i valori predefiniti sono rispettivamente 10 e 5.

Nel campo Verifica indirizzo IP o dominio, inserire l'indirizzo IP dell'host o il suo nome di dominio, la cui risposta fungerà da criterio di accesso alla rete. Ad esempio, è possibile utilizzare l'indirizzo di un server DNS fail-safe affidabile (il nostro esempio mostra l'indirizzo IP di un server DNS pubblico di Google). Si consiglia di specificare l'indirizzo IP per evitare problemi relativi al DNS.

Quando si utilizza la modalità ICMP echo (Ping) e si specificano server pubblici (servizi) come indirizzo IP per verificare la disponibilità di Internet, potrebbero verificarsi ritardi nella risposta al ping. Il tempo di attesa per una risposta a una richiesta dal server è di 10 secondi. Se la risposta non viene ricevuta dopo questo tempo, il router considera la richiesta non riuscita e invia la richiesta successiva. Questo valore è costante.

Nel campo Intervallo di controllo, è possibile specificare l'intervallo tra i controlli. Il punto di partenza per la seconda e le successive richieste è il momento della ricezione della risposta precedente (o la scadenza del tempo di attesa della risposta), non il momento dell'invio dell'ultima richiesta. Ad esempio, 0 sec — viene inviata la prima richiesta, in 3 sec — viene ricevuta la prima risposta (può attendere fino a 10 sec), quindi il tempo di attesa specificato nel campo Intervallo di controllo (10 sec per impostazione predefinita), cioè 3+10=13 sec — invio della seconda richiesta, ecc. Pertanto, non può esserci alcun conflitto di temporizzazione (quando la richiesta viene inviata prima della risposta precedente).

Se ci sono ritardi costanti nelle risposte da qualche server pubblico, non è consigliabile aumentare eccessivamente l'intervallo di controllo e la soglia di attivazione, poiché ciò potrebbe causare il blocco del traffico lato server. È preferibile scegliere l'indirizzo di un'altra risorsa, che sia permanentemente disponibile su Internet, e che non causi ritardi significativi nella risposta al ping.

Modalità 'Controllo dell porta TCP/TLS'

La modalità Controllo della porta TCP/TLS migliora il funzionamento del meccanismo Ping Check per fornire protezione contro le interruzioni dell'accesso a Internet. Questa modalità eviterà falsi positivi quando l'ISP reindirizza il traffico a un portale autorizzato, come il suo servizio di fatturazione.

Si consiglia di specificare l'indirizzo IP per evitare problemi relativi al DNS:

Modalità 'Controllo della porta TCP'

Nei campi Intervallo di controllo (tempo in secondi tra i controlli) e Soglia di attivazione (numero di controlli non riusciti), i valori predefiniti sono rispettivamente 10 e 5.

Nel campo Verifica indirizzo IP o dominio, inserire l'indirizzo IP dell'host o il suo nome di dominio di cui si desidera verificare la disponibilità. Ad esempio, è possibile utilizzare l'indirizzo di un server DNS (nel nostro esempio, è specificato l'IP di un server DNS pubblico di Google). Si consiglia di inserire l'indirizzo IP per evitare problemi relativi al DNS.

Nel campo Porta TCP, specificare il numero della porta TCP che verrà utilizzata per verificare la disponibilità di Internet. Nel nostro esempio viene utilizzata la porta TCP/53 (DNS).

Modalità 'Disabilitato'

Se si desidera disabilitare il meccanismo Ping Check, impostare Disabilitato nel campo Modalità.

Solitamente, un ISP fornisce automaticamente ai propri utenti i propri server di dominio (DNS). Tuttavia, in alcuni casi potrebbe essere necessario smettere di usare questi server e sostituirli con indirizzi DNS pubblici o del provider VPN.

A partire dalla versione KeeneticOS 3.1, è possibile attivare nell'interfaccia web l'opzione per ignorare (disabilitare) i server DNS ricevuti automaticamente dal provider. Questa opzione è disponibile per le connessioni nella pagina 'Cavo Ethernet' (abilitando PPPoE/PPTP/L2TP), 'Wireless ISP', 'Connessione DSL'.

Vediamo un esempio. Nell'interfaccia web del router, nella pagina 'Pannello di controllo del sistema' nel pannello 'Internet', la riga 'Server DNS' mostra gli indirizzi DNS ricevuti automaticamente dall'ISP e i server aggiuntivi specificati manualmente. Nel nostro esempio, il server DNS 192.168.100.1 è ottenuto dall'ISP, e gli indirizzi 8.8.8.8 e 8.8.4.4 sono aggiunti manualmente.

Abilitare l'opzione 'Ignora DNSv4 da ISP' nella pagina 'Connessioni a internet via cavo Ethernet'. Blocca l'utilizzo degli indirizzi dei server DNS ricevuti tramite DHCP per la connessione corrente.

Quando si utilizza una connessione IPoE (senza autenticazione) o con autenticazione tramite protocollo PPPoE/PPTP/L2TP, è possibile trovare questa impostazione nella pagina 'Connessioni a internet via cavo Ethernet' nella sezione 'Impostazioni IPv4'. Le impostazioni per le connessioni WISP e ADSL si trovano nelle rispettive pagine 'Wireless ISP' e 'Connessione DSL'.

Dopo aver disabilitato il DNS, la riga 'Server DNS' nella pagina 'Pannello di controllo del sistema' non visualizzerà più gli indirizzi ricevuti automaticamente dall'ISP.

È possibile trovare maggiori informazioni nell'articolo ' Using public DNS servers'.

Per impostazione predefinita, una connessione di backup per l'accesso a Internet è sempre nello stato connesso. Ciò massimizza la velocità di passaggio a una connessione di backup in caso di guasto della connessione principale.

Se l'utente preferisce che il router avvii una connessione di backup con l'operatore solo in caso di guasto del canale principale, il canale di backup deve essere impostato sulla modalità Su richiesta (Standby) (disponibile dalla versione KeeneticOS 4,0 e successive). In questo caso, il passaggio a Su richiesta (Standby) richiede più tempo, ma questa modalità offre dei vantaggi. Questa modalità è disponibile per le connessioni Internet tramite modem 5G/4G/3G (tramite una rete mobile) e Wireless ISP (WISP).Connecting to the Internet via a Wireless ISP

Esempi di quando è consigliabile utilizzare questa opzione:

La modalità Su richiesta (Standby) può essere impostata per le connessioni modem di backup e WISP tramite l'interfaccia web nella sezione Tipo di connessione e le connessioni via cavo Ethernet (solo tramite CLI).

La modalità Su richiesta (Standby) non è in uso:

La modalità Su richiesta (Standby) è attiva:

La modalità Standby può essere abilitata o disabilitata utilizzando i comandi tramite l'interfaccia da riga di comando (CLI) del Router.

Ad esempio:

interface {name} standby enable — cambia il tipo di connessione a Standby per l'interfaccia specificata {name}

interface UsbLte0 standby enable — abilitazione
interface UsbLte0 standby no enable — disabilitazione
system configuration save — salvataggio delle impostazioni

interface GigabitEthernet0/Vlan4 standby enable — abilitazione
interface GigabitEthernet0/Vlan4 standby no enable — disabilitazione
system configuration save — salvataggio delle impostazioni