IPsec VPN site-to-site
Keenetic має вбудований IPsec VPN-клієнт/сервер. Завдяки цій функції можна об'єднати кілька маршрутизаторів Keenetic в одну мережу через тунелі IPsec VPN з дотриманням найсуворіших вимог безпеки.
У більшості випадків IPsec VPN використовується для безпечного підключення до офісної мережі (наприклад, від домашньої мережі до корпоративного сервера) або для об'єднання мереж (наприклад, двох віддалених офісів). За допомогою тунелю IPsec VPN вам не доведеться турбуватися про конфіденційність даних файлового сервера, IP-телефонію або потоки відеоспостереження. IPsec є одним з найбільш безпечних протоколів VPN завдяки криптостійким алгоритмам.
Давайте розглянемо приклад об'єднання двох локальних мереж (192.168.2.x
і 192.168.0.x
) через IPsec VPN.

Важливо
Щоб побудувати IPsec VPN тунель через Інтернет, хоча б один з маршрутизаторів повинен мати публічну IP-адресу (на інтерфейсі WAN). Для простоти рекомендується використовувати постійну (статичну) IP-адреса на інтерфейсі WAN та використовувати сервіси доменних імен KeenDNS або DDNS для отримання постійного імені. Щоб тунель IPsec працював, сервіс KeenDNS повинен працювати тільки в режимі Прямий доступ на тому роутері, який буде чекати підключення.
Адреси підключених мереж повинні належати різним підмережам. Не рекомендується використовувати один і той же адресний простір в локальній і віддаленій мережі, що може призвести до конфлікту IP-адрес.
Для IPsec VPN підключення знадобляться два маршрутизатори Keenetic. Цей тип з'єднання називається 'site-to-site IPsec VPN'.
Один Keenetic буде діяти як IPsec відповідач (назвемо його server
), а інший Keenetic буде діяти як ініціатор підключення IPsec (назвемо його client
).
Маршрутизатор, який виконує роль Сервера IPsec має статичну публічну IP адресу для підключення до Інтернету. Другий Keenetic, який виступає як Клієнт IPsec, використовує приватну IP адресу.
Отже, перейдемо безпосередньо до налаштування маршрутизаторів для встановлення безпечного IPsec VPN тунелю між ними і з'єднання двох мереж.
Обидва маршрутизатори повинні мати встановлені системні компоненти 'Сервери VPN IKEv1/IPsec та IKEv2/IPsec, VPN-клієнт L2TP/IPsec, Site-to-site IPsec VPN'.
Ви можете зробити це, натиснувши 'Змінити набір компонентів' на сторінці 'Параметри системи' у розділі ' Оновлення та параметри компонентів'.

Налаштуємо Keenetic у якості сервера (відповідача, що очікує на підключення IPsec).
На сторінці 'Інші з'єднання', у розділі 'Site-to-site IPsec VPN з'єднання', натисніть' Додати підключення'.
Відкриється вікно 'Налаштування з'єднання Site-to-site IPsec VPN'.
У нашому випадку цей Keenetic буде діяти як сервер, тому увімкніть опцію 'Чекати підключення від віддаленого піру' (в цьому випадку клієнт буде ініціатором з'єднання, а сервер буде чекати підключення).
Опція 'Вчепитися' призначена для збереження активного з'єднання та відновлення тунелю у разі розриву (цей параметр можна ввімкнути на одному кінці тунелю).
Опція 'Виявлення піру, що не працює (DPD)' призначена для визначення працездатності тунелю.
У налаштуваннях 'Фази 1', у полі 'Ідентифікатор локального шлюзу' можна використовувати будь-який ідентифікатор:'IP-адресу','FQDN'(повне доменне ім'я),'DN'(доменне ім'я),'E-mail'(адреса електронної пошти). У нашому прикладі ми використовуємо ідентифікатор 'DN' (доменне ім'я), введіть будь-яке ім'я в порожнє поле ідентифікатора.
Важливо
Зверніть увагу на ідентифікатори локального та віддаленого шлюзу в налаштуваннях Фази 1.
ID повинні бути різними
іповинні бути налаштовані навхрест
. Наприклад, вибравши 'DN' як ідентифікатор, встановіть на сервері:Ідентифікатор локального шлюзу:
server
Ідентифікатор віддаленого шлюзу:
client
і на клієнті:
Ідентифікатор локального шлюзу:
client
Ідентифікатор віддаленого шлюзу:
server
У разі використання кількох тунелів, налаштування локальних і віддалених ідентифікаторів
повинні бути унікальними для кожного тунелю
.У налаштуваннях Фази 2 , у полі 'Локальні мережі', слід вказати адресу локальної мережі (в нашому прикладі
192.168.0.0
), а в полі 'Віддалені мережі', слід вказати адресу віддаленої мережі, яка буде за тунелем IPsec (у нашому прикладі192.168.2.0
).Важливо
Фаза 1 і Фаза 2 повинні бути однаково налаштовані по обидва боки тунелю IPsec VPN. В іншому випадку тунель встановлюватися не буде.
Після створення підключення IPsec встановіть повзунок на 'Увімкнено'.
Налаштування Keenetic як клієнта (Ініціатора підключення IPsec).
На сторінці 'Інші з'єднання', під 'Site-to-site IPsec VPN з'єднання', натисніть 'Додати підключення'.
Відкриється вікно 'Налаштування з'єднання Site-to-site IPsec VPN'. У нашому випадку цей Keenetic діє як клієнт, тому увімкніть опцію 'Автопідключення' (в цьому випадку клієнт ініціює підключення).
Опція 'Вчепитися' призначена для збереження активного з'єднання та відновлення тунелю у разі розриву (достатньо увімкнути цей параметр на одному з кінців тунелю).
Опція 'Виявлення піру, що не працює (DPD) призначена для визначення працездатності тунелю.
У полі 'Віддалений шлюз', вкажіть загальнодоступну IP-адресу або доменне ім'я віддаленого Keenetic (це може бути KeenDNS або DDNS ім'я).
Важливо
У налаштуваннях Фази 1, поля 'Ідентифікатор локального шлюзу' і 'Ідентифікатор віддаленого шлюзу' повинні мати ті самі ідентифікатори, які ви використовували на віддаленому маршрутизаторі, але вони повинні бути перехресні. Наприклад, вибравши 'DN' як ідентифікатор, встановіть його на сервері:
Ідентифікатор локального шлюзу:
server
Ідентифікатор віддаленого шлюзу:
client
і на клієнті:
Ідентифікатор локального шлюзу:
client
Ідентифікатор віддаленого шлюзу:
server
У разі використання декількох тунелів налаштування локальних та віддалених ідентифікаторів повинні бути унікальними для кожного тунелю.
У налаштуваннях Фази 2 , у полі 'Локальні мережі', слід вказати адресу локальної мережі (в нашому прикладі
192.168.2.0
), а в полі 'Віддалені мережі', слід вказати адресу віддаленої мережі, яка буде за тунелем IPsec (у нашому прикладі192.168.0.0
).Важливо
Фаза 1 і Фаза 2 повинні бути налаштовані однаково по обидва боки тунелю IPsec VPN. В іншому випадку тунель встановлюватися не буде.
Після створення підключення IPsec встановіть повзунок в позицію Увімкнено'.
Перевірка статусу IPsec підключення.
Якщо параметри підключення IPsec були встановлені правильно на обох пристроях, між маршрутизаторами повинен бути встановлений тунель IPsec VPN.
Site-to-site IPsec VPN з'єднання' розділ на сторінці 'Інші з'єднання' показує статус з'єднання. Якщо тунель встановлений, статус з'єднання буде 'Підключено'.
Ось приклад стану тунелю на Keenetic (як клієнт):
А це приклад стану тунелю на Keenetic (як сервер):
Щоб перевірити, чи працює тунель, виконайте пінг на віддалений Keenetic або комп'ютер із віддаленої мережі за тунелем IPsec VPN.
Підказка
Широкомовні пакети (напр. NetBIOS) не пройдуть через тунель VPN, тому імена віддалених хостів не відображатимуться в мережевому середовищі (доступ до них можна отримати через IP-адресу, напр.
\\192.168.2.27
).Якщо IPSec VPN тунель встановлений, але ви можете лише пінгувати віддалений Keenetic, але не хости у віддаленій мережі, тоді, швидше за все, що Брандмауер Windows або подібне програмне забезпечення блокує ICMP трафік (
ping
) на самих хостах.Також кожен Keenetic повинен бути шлюзом за замовчуванням у своїй мережі, якщо ця умова не виконується, трафік мине тунель. При цьому потрібно додати маршрут до віддаленої мережі вручну на локальних хостах або через параметри DHCP на роутері, який є DHCP-сервером в даній схемі.
Підказка
Ми рекомендуємо використовувати IKEv2 версії протоколу. Використовуqntи IKEv1 тільки тоді, коли ваш пристрій не підтримує IKEv2.
Якщо у вас виникають перебої у підключенні до VPN, спробуйте вимкнути опції 'Вчепитися' і' Виявлення піру, що не працює (DPD)' в маршрутизаторі Keenetic.