Skip to main content

Manuale Utente (Inglese)

VPN IPsec site-to-site

Il Keenetic ha un client/server VPN IPsec integrato. Grazie a questa funzione, è possibile combinare più router Keenetic in un'unica rete tramite un tunnel VPN IPsec, seguendo i più severi requisiti di sicurezza.

Nella maggior parte dei casi, la VPN IPsec viene utilizzata per la connessione sicura alla rete dell'ufficio (ad es. dalla rete domestica al server aziendale) o per unire più reti (ad es. due uffici remoti). Con il tunnel VPN IPsec, non devi preoccuparti della privacy dei dati del file server, della telefonia IP o dei flussi di videosorveglianza. IPsec è uno dei protocolli VPN più sicuri grazie ad algoritmi di crittografia a prova di crittoanalisi.

Esaminiamo un esempio di combinazione di due reti locali (192.168.2.x e 192.168.0.x) tramite una VPN IPsec.

ipsec-site-to-site1-en.png

Importante

Per creare un tunnel VPN IPsec su Internet, almeno uno dei router deve disporre di un indirizzo IP pubblico (sull'interfaccia WAN). Per semplicità, si consiglia di utilizzare un indirizzo IP permanente (statico) sull'interfaccia WAN e di utilizzare il servizio di nomi di dominio KeenDNS o DDNS per ottenere un nome permanente. Per il funzionamento del tunnel IPSec, il servizio KeenDNS deve essere in esecuzione solo in modalità Accesso diretto sul router, che sarà in attesa di una connessione.

Gli indirizzi delle reti connesse devono appartenere a sottoreti diverse. Si sconsiglia di utilizzare lo stesso spazio di indirizzi nella rete locale e remota, poiché ciò comporterebbe un conflitto di indirizzi IP.

Per una connessione VPN IPsec, saranno necessari due router Keenetic. Questo tipo di connessione è chiamata 'VPN IPsec site-to-site'.

Un Keenetic fungerà da responder IPsec (chiamiamolo server), e l'altro Keenetic fungerà da initiator della connessione IPsec (chiamiamolo client).

Il router che funge da server IPsec ha un indirizzo IP pubblico statico per connettersi a Internet. Il secondo Keenetic, che funge da client IPsec, utilizza un indirizzo IP privato.

Passiamo quindi direttamente alla configurazione dei router per stabilire un tunnel VPN IPsec sicuro tra di essi e connettere le due reti.

Su entrambi i router deve essere installato il componente di sistema 'Server VPN IKEv1/IPsec e IKEv2/IPsec, client VPN L2TP/IPsec, VPN IPsec site-to-site'.

È possibile farlo facendo clic su 'Opzioni dei componenti' nella pagina 'Impostazioni generali di sistema' alla sezione 'Aggiornamenti e opzioni dei componenti'.

ipsec-site-to-site2-en.png

  1. Configurazione di Keenetic come server (responder, in attesa della connessione IPsec).

    Nella pagina 'Altre connessioni', nella sezione 'Connessioni VPN IPsec site-to-site', fare clic su 'Crea connessione'.

    ipsec-site-to-site3-en.png

    Si aprirà la finestra 'Configurazione della connessione VPN IPsec site-to-site'.

    Nel nostro caso, questo Keenetic fungerà da server, quindi abilita l'opzione 'Attendi la connessione da un peer remoto' (in questo caso, il client sarà l'iniziatore della connessione e il server attenderà la connessione).

    L'opzione 'Nailed-up' ha lo scopo di mantenere attiva la connessione e ripristinare il tunnel in caso di interruzione (questo parametro può essere abilitato a un'estremità del tunnel).

    L'opzione 'Dead peer detection' serve a determinare l'operatività del tunnel.

    ipsec-site-to-site4-en.png

    Nelle impostazioni di 'Fase 1', campo 'ID gateway locale', è possibile utilizzare qualsiasi identificatore: 'Indirizzo IP', 'FQDN' (nome di dominio completo), 'DN' (nome di dominio), 'E-mail' (indirizzo e-mail). Nel nostro esempio, utilizziamo l'identificatore 'DN' (nome di dominio) e inseriamo un nome casuale nel campo vuoto dell'identificatore.

    Importante

    Prestare attenzione agli identificatori del gateway locale e remoto nelle impostazioni della Fase 1 del tunnel IPsec. Gli ID devono essere diversi e devono essere incrociati. Ad esempio, selezionando 'DN' come identificatore, impostare il server su 'DN':

    • ID gateway locale: server

    • ID gateway remoto: client

    e il client:

    • ID gateway locale: client

    • ID gateway remoto: server

    In caso di tunnel multipli, le impostazioni degli identificatori locali e remoti devono essere univoche per ogni tunnel.

    Nelle impostazioni della Fase 2, nel campo 'Sottoreti locali' specificare l'indirizzo della rete locale (nel nostro esempio 192.168.0.0), e nel campo 'Sottoreti remote' quello della rete remota che si troverà dietro il tunnel IPsec (nel nostro esempio 192.168.2.0).

    Importante

    Le impostazioni di Fase 1 e Fase 2 devono essere le stesse su entrambi i lati del tunnel VPN IPsec. In caso contrario, il tunnel non verrà stabilito.

    Dopo aver creato la connessione IPsec, impostare lo switch su 'On'.

    ipsec-site-to-site5-en.png

  2. Configurazione di Keenetic come client (iniziatore della connessione IPsec).

    Nella pagina 'Altre connessioni', nella sezione 'Connessioni VPN IPsec site-to-site', fare clic su 'Crea connessione'.

    ipsec-site-to-site3-en.png

    Si apre la finestra 'Configurazione della connessione VPN IPsec site-to-site'. Nel nostro caso, questo Keenetic funge da client, quindi abilita l'opzione 'Connessione automatica' (in questo caso, il client avvia la connessione).

    L'opzione 'Nailed-up' ha lo scopo di mantenere attiva la connessione e ripristinare il tunnel in caso di interruzione (è sufficiente abilitare questo parametro a un'estremità del tunnel).

    L'opzione 'Dead peer detection (DPD)' serve a determinare il funzionamento del tunnel.

    Nel campo 'Gateway remoto', specificare l'indirizzo IP pubblico o il nome di dominio del Keenetic remoto (può essere il nome KeenDNS o DDNS).

    ipsec-site-to-site7-en.png

    Importante

    Nelle impostazioni della Fase 1, i campi 'ID gateway locale' e 'ID gateway remoto' devono avere gli stessi identificatori utilizzati sul router remoto, ma devono essere incrociati. Ad esempio, selezionando 'DN' come identificatore, impostarlo sul server:

    • ID gateway locale: server

    • ID gateway remoto: client

    e il client:

    • ID gateway locale: client

    • ID gateway remoto: server

    In caso di tunnel multipli, le impostazioni degli identificatori locali e remoti devono essere univoche per ogni tunnel.

    Nelle impostazioni della Fase 2, nel campo 'Sottoreti locali' specificare l'indirizzo della rete locale (nel nostro esempio 192.168.2.0), e nel campo 'Sottoreti remote' quello della rete remota che si troverà dietro il tunnel IPsec (nel nostro esempio 192.168.0.0).

    Importante

    Le impostazioni di Fase 1 e Fase 2 devono essere le stesse su entrambi i lati del tunnel VPN IPsec. In caso contrario, il tunnel non verrà stabilito.

    Dopo aver creato la connessione IPsec, impostare lo switch su 'On'.

    ipsec-site-to-site8-en.png

  3. Verifica dello stato della connessione IPsec.

    Se le impostazioni della connessione IPsec sono state impostate correttamente su entrambi i dispositivi, il tunnel VPN IPsec deve essere stabilito tra i router.

    La sezione 'Connessioni VPN IPsec site-to-site' nella pagina 'Altre connessioni' mostra lo stato della connessione. Se il tunnel viene stabilito, lo stato della connessione sarà 'Connesso'.

    Ecco un esempio dello stato del tunnel su un Keenetic (come client):

    ipsec-site-to-site9-en.png

    Ed ecco un esempio dello stato del tunnel su un Keenetic (come server):

    ipsec-site-to-site10-en.png

    Per verificare se il tunnel funziona, eseguire il ping del Keenetic remoto o di un computer dalla rete remota dietro il tunnel VPN IPsec.

    Suggerimento

    I pacchetti broadcast (ad es. NetBIOS) non passeranno attraverso il tunnel VPN, quindi i nomi degli host remoti non verranno visualizzati nell'ambiente di rete (è possibile accedervi tramite indirizzo IP, ad es. \\192.168.2.27).

    Se è stato installato un tunnel IPsec VPN, ma è possibile eseguire il ping solo del Keenetic remoto e non degli host sulla rete remota, è molto probabile che Windows Firewall o un software simile stia bloccando il traffico ICMP (ping) sugli host stessi.

    Inoltre, ogni Keenetic deve essere il gateway predefinito nella propria rete; se questa condizione non è soddisfatta, il traffico non passerà attraverso il tunnel. In questo caso è necessario aggiungere manualmente una route alla rete remota per gli host locali o tramite le opzioni DHCP sul router, che funge da server DHCP in questo schema.

    Suggerimento

    Si consiglia di utilizzare la versione IKEv2 del protocollo. Utilizzare IKEv1 solo quando il dispositivo non supporta IKEv2.

    Se si verificano interruzioni nella connessione VPN, provare a disabilitare le opzioni 'Nailed-up' e 'Dead peer detection (DPD)' nel router Keenetic.

In questa sezione: