Skip to main content

Manuale Utente (Inglese)

Server VPN IKEv2/IPsec

KeeneticOS implementa una funzionalità di server VPN IKEv2 basato su un certificato SSL.

IKEv2 (Internet Key Exchange) è un protocollo di scambio di chiavi versione 2 incluso nella suite di protocolli IPSec. Fornisce elevata sicurezza dei dati, velocità e stabilità.

Il server VPN IKEv2/IPsec consente agli utenti autenticati di connettersi in modo sicuro alle risorse della rete domestica tramite Internet. I client per la connessione al server IKEv2 sono disponibili nei sistemi operativi Windows, macOS e iOS, così come nelle più diffuse distribuzioni Linux e sui dispositivi Blackberry.

Il protocollo di tunneling IKEv2 fa parte del protocollo IPSec, che trasmette i dati sulle porte UDP 500 e/o 4500 e li protegge con i robusti algoritmi di crittografia 3DES/AES. Grazie alla sua sicurezza, stabilità e velocità, IKEv2 è attualmente una delle migliori soluzioni VPN per gli utenti mobili.

Importante

Il router Keenetic su cui verrà eseguito il server VPN IKEv2/IPsec deve essere connesso a Internet con un indirizzo IP pubblico e, se si utilizza il nome di dominio KeenDNS, deve essere configurato in modalità Accesso diretto. Se una di queste condizioni non viene soddisfatta, la connessione a tale server da Internet non sarà possibile.

Il server IKEv2 nell'implementazione attuale consente l'accesso solo dal lato client alla rete domestica del server. L'accesso dalla rete del server alla rete domestica del client, aggiungendo un instradamento automatico attraverso l'indirizzo IP rilasciato al client, come nel caso di altri server VPN, non è possibile.

Il server VPN IKEv2/IPsec utilizza il tipo di connessione IKEv2 EAP (Login/Password), utilizzando nome utente e password come tipo di dati di accesso. Specificare il tipo di autenticazione Utente durante la configurazione di una connessione sul client.

Per configurare connessioni sicure IKEv2/IPsec sul tuo router Keenetic, è necessario installare il componente di sistema Server VPN IKEv1/IPsec e IKEv2/IPsec, VPN da sito a sito IPsec e client VPN L2TP/IPsec. Puoi farlo nell'interfaccia web nella pagina Impostazioni di sistema in KeeneticOS Aggiornamento e opzioni dei componenti cliccando su Opzioni dei componenti.

ikev2-server-01-en.png

Successivamente, vai alla pagina Applicazioni. Qui vedrai il pannello Server VPN IKEv2/IPsec (IKEv2/IPsec VPN server).

ikev2-server-02-en.png

Per il funzionamento del server, è necessario registrare il router con il servizio cloud KeenDNS, ottenendo il nome dal dominio *.keenetic.link, *.keenetic.pro o *.keenetic.name che supporta il funzionamento del certificato di sicurezza SSL. In caso contrario, il client che si connette al server non sarà in grado di stabilire una connessione HTTP attendibile. Troverai informazioni su come registrare il nome KeenDNS nell'articolo sul servizio KeenDNS

Dalla pagina Applicazioni, fai clic sul link Server VPN IKEv2/IPsec.

ikev2-server-04-en.png

Configura il server.

ikev2-server-05-en.png

L'opzione Accesso multiplo (Multiple sign-in) controlla la possibilità di stabilire più connessioni simultanee a un server utilizzando le stesse credenziali. Questo non è uno scenario consigliato a causa della sicurezza ridotta e del monitoraggio scomodo. Tuttavia, l'opzione può essere lasciata abilitata per la configurazione iniziale o per i casi in cui si desidera consentire l'installazione del tunnel da più dispositivi dello stesso utente.

È possibile collegare più client con un unico login e password.

Importante

Quando l'opzione Accesso multiplo (Multiple sign-in) è disabilitata, è possibile assegnare un indirizzo IP permanente al client IKEv2. Questo può essere fatto nella pagina delle impostazioni del Server VPN IKEv2/IPsec in Utenti.

Nelle impostazioni predefinite del server, l'opzione NAT per i client (NAT for clients) è abilitata. Questa impostazione viene utilizzata per l'accesso a Internet dei client del server VPN.

Il numero totale di connessioni simultanee possibili è impostato dalla dimensione del pool di indirizzi IP. Come per l'indirizzo IP iniziale, si sconsiglia di modificare questa impostazione se non necessario.

Importante

La sottorete di indirizzi IP specificata non deve corrispondere o sovrapporsi con gli indirizzi IP di altre interfacce del router Keenetic, poiché ciò potrebbe causare un conflitto di indirizzi.

Nelle impostazioni del Server VPN IKEv2/IPsec è presente il campo Server DNS, correlato alle specifiche di funzionamento del server. Di solito, i server VPN utilizzano due indirizzi IP durante la creazione della connessione: l'indirizzo del client e quello del server (router), e l'indirizzo del router viene utilizzato dai client come server DNS. Il server VPN IKEv2, tuttavia, non dispone di un indirizzo del router, quindi è necessario specificare l'indirizzo del server DNS. Se non viene specificato, il client non sarà in grado di risolvere alcun nome. Il server DNS predefinito è 78.47.125.180 (questo è l'IP che abbiamo acquistato per il nome my.keenetic.net). Le richieste a questo indirizzo vengono intercettate dal router e il risultato è lo stesso che si otterrebbe specificando l'indirizzo del router nella rete domestica (es. 192.168.1.1), con la differenza che quest'ultimo può essere modificato dall'utente (e quindi andrebbe aggiornato anche nelle impostazioni del server VPN), mentre 78.47.125.180 viene sempre intercettato. Ricevendo l'IP 78.47.125.180, il client invierà tutte le query DNS a Keenetic, che a sua volta le inoltrerà ai suoi server DNS (quelli ottenuti dal provider o impostati manualmente).

Importante

Quando ci si connette da Keenetic (client VPN IKEv2) a Keenetic (server VPN IKEv2/IPsec), è necessario specificare l'indirizzo IP della rete domestica come server DNS (DNS server) sul server VPN. Ad esempio:

ikev2-server-06-en.png

Nella sezione Utenti, seleziona gli utenti a cui vuoi consentire l'accesso al server IKEv2 e alla rete locale. Qui puoi anche aggiungere un nuovo utente specificando nome e password.

Le autorizzazioni di accesso utente ai server IKEv1/IPsec e IKEv2/IPsec sono comuni.

Dopo aver configurato il server, imposta l'interruttore su Abilitato.

ikev2-server-07-en.png

È possibile visualizzare lo stato della connessione e ulteriori informazioni sulle sessioni attive facendo clic sul collegamento Statistiche di connessione (Connection statistics).

ikev2-server-08-en.png

È inoltre possibile utilizzare qualsiasi Keenetic router come client creando una connessione client IKEv2.

Importante

È inoltre possibile utilizzare qualsiasi router Keenetic (con KeeneticOS versione 3.5 o successiva) come client creando una connessione Client IKEv1/IKEv2.

È anche possibile utilizzare dispositivi mobili basati su Windows (il supporto integrato per le connessioni IKEv2 è disponibile da Windows 7), MacOS e iOS.

Per connettersi al server VPN come client sul tuo dispositivo mobile, ti consigliamo di utilizzare il popolare client VPN strongSwan. Ulteriori informazioni sono disponibili qui: Connecting to an IKEv2 VPN server from Android.

Importante

Il server IKEv2 nella versione KeeneticOS 3.5 non trasferisce l'instradamento alla rete domestica Keenetic ai client, quindi è possibile accedervi solo impostando il gateway predefinito nella rete remota o aggiungendo manualmente un instradamento sul client IKEv2. A partire da KeeneticOS 3.6, l'instradamento verso la rete domestica viene trasferito automaticamente ed è stato aggiunto un comando per trasferire gli instradamenti verso altre reti:

  • crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}

    dove {address} {mask} — sono l'indirizzo e la maschera della rete corrispondente.

In questa sezione: