Организация туннеля IPSec VPN между двумя интернет-центрами Keenetic (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "IPSec VPN клиент/сервер".

С помощью интернет-центров Keenetic Giga (KN-1010), Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Ultra, Giga II, Viva, Extra, Omni II, а также Keenetic II и Keenetic III реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, объединить несколько интернет-центров (роутеров) в одну сеть по туннелю IPSec VPN.
Это может быть удобно для безопасного подключения к офисной сети (например, из домашней сети к корпоративному серверу) или объединения сетей (к примеру, двух удаленных офисов). В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.
ipsecvpn.png
Для организации туннеля IPSec VPN понадобятся два интернет-центра. Для построения туннеля можно использовать различные сочетания моделей, например Ultra II <> Ultra II, Giga III <> Giga III и Ultra II <> Giga III.
 
Далее подробно рассмотрим пример объединения двух сетей через IPSec VPN с помощью интернет-центров Keenetic Ultra II и Giga III.
Установить туннель IPSec можно как в локальной сети (когда на внешнем интерфейсе WAN роутера используются частные/внутренние IP-адреса, их называют еще "серые"), так и через глобальную сеть Интернет (когда на внешнем интерфейсе WAN роутера используются публичные/внешние IP-адреса, их называют также "белые"). Желательно иметь статический/постоянный IP-адрес на WAN-интерфейсе, либо можно воспользоваться сервисом динамических доменных имен DyDNS.
 
В нашем примере организация туннеля IPSec VPN осуществляется в рамках локальной сети, т.е. используются частные/внутренние IP-адреса.
 
Для построения туннеля IPSec VPN через глобальную сеть Интернет, на внешнем интерфейсе WAN роутера должен использоваться публичный/внешний IP-адрес.
Адреса локальной и удаленной сети должны быть из разных подсетей. Например, в нашем случае объединяемые сети имеют разные адресные пространства – 192.168.1.0/24 и 192.168.2.0/24.
 
Мы рассмотрим сценарий, в котором Keenetic Ultra II будет выступать в роли ожидающего подключение IPSec VPN (условно назовем его сервером), а Keenetic Giga III в роли инициатора подключения IPSec VPN (условно назовем его клиентом).
В нашем примере роутер Keenetic Ultra II работает в домашней сети 192.168.1.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.1.2 и выше) и имеет IP-адрес для управления 192.168.1.1. На внешнем интерфейсе WAN этого роутера установлен вручную статический IP-адрес из другой подсети 10.10.1.1 (в вашем случае это может быть внешний/публичный IP-адрес).
Роутер Keenetic Giga III работает в другой сети 192.168.2.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.2.2 и выше) и имеет IP-адрес для управления 192.168.2.1. На внешнем интерфейсе WAN этого роутера установлен вручную статический IP-адрес из подсети 10.10.1.2 (в вашем случае это может быть внешний/публичный IP-адрес).
Необходимо организовать безопасный туннель IPSec VPN между двумя интернет-центрами для объединения двух сетей. Туннель будет устанавливаться между IP-адресами на внешних интерфейсах WAN роутеров.
 
Итак, перейдём непосредственно к настройке интернет-центров.
Сначала необходимо проверить, что на обоих устройствах установлен специальный компонент микропрограммы IPsec VPN (клиент/сервер IPSec VPN для создания защищённых IP-соединений). Проверить наличие компонента можно через встроенный веб-конфигуратор устройства в меню Система > Обновление. Компонент IPsec VPN находится в разделе Applications (приложения). Убедитесь, что около данного компонента установлена галочка.
ipsecvpn.png
 
Если галочка отсутствует, установите её и нажмите кнопку Обновить, которая находится в нижней части окна. Запустится процесс обновления компонентов микропрограммы в устройстве. Дополнительную информацию по обновлению компонентов, вы можете найти в статье «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор».
 
Теперь рассмотрим настройки туннеля IPSec VPN.
Настройки на обоих устройствах будем производить через их веб-конфигуратор.
Что необходимо помнить при создании туннеля:
 
На обоих устройствах настройки Фазы 1 и Фазы 2 обязательно должны совпадать
 
В противном случае туннель IPSec VPN не будет построен.
 
1. Настройка интернет-центра Keenetic Ultra II, который будет выполнять роль ожидающего подключение IPSec VPN (роль сервера).
 
Зайдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.
ipsecvpn01.png
 
Откроется окно Настройка IPsec подключения. В нашем случае Keenetic Ultra II будет выполнять роль сервера, поэтому поставим галочку в поле Ожидать подключение от удаленного пира (в этом случае инициатором подключения будет выступать клиент, а сервер будет ожидать подключения).
Опция Nail up (Nailed-up) предназначена для поддержания соединения в активном состоянии и восстановления при разрыве (данный параметр достаточно включить на одном из концов туннеля), а опция Обнаружение неработающего пира DPD (Dead Peer Detection) для определения работоспособности туннеля.
ipsecvpn02.png
 
В настройках Фазы 1 в поле Идентификатор этого шлюза вы можете использовать любой идентификатор: адрес (IP-адрес), FQDN (полное имя домена), DN (имя домена), e-mail (адрес эл. почты). В нашем примере используется идентификатор e-mail и в пустое поле был вписан произвольный адрес электронной почты. В качестве версии протокола IKE используется IKE v2 (рекомендуем использовать эту версию протокола).
В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.1.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за IPSec-туннелем (в нашем примере 192.168.2.0).
 
Адреса локальной и удаленной сети должны быть из разных подсетей!
 
Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.
 
При множественных туннелях - настройки локального и удаленного идентификаторов должны быть уникальны для каждого туннеля.
 
Сделав настройки IPSec-подключения нажмите кнопку Применить.
После создания подключения нужно обязательно в меню Безопасность > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить для активации IPSec VPN.
ipsecvpn03.png
 
2. Настройка интернет-центра Keenetic Giga III, который будет выполнять роль инициатора подключения IPSec VPN (роль клиента).
 
Зайдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.
 
Откроется окно Настройка IPsec подключения. В нашем примере Giga III выполняет роль клиента, поэтому установите галочку в поле Автоподключение (в этом случае инициатором подключения выступает клиентский роутер).
Опция Nail up (Nailed-up) предназначена для восстановления соединения при разрыве, а опция Обнаружение неработающего пира DPD (Dead Peer Detection) для определения работоспособности туннеля.
В поле Удаленный шлюз укажите IP-адрес удаленного роутера Keenetic Ultra II, который используется на внешнем интерфейсе WAN (в нашем примере это статический IP-адрес 10.10.1.1, но в вашем случае это может быть внешний/публичный IP-адрес).
ipsecvpn04.png
 
В настройках Фазы 1 в полях Идентификатор этого шлюза и Идентификатор удаленного шлюза нужно указать тот идентификатор, который вы использовали на удаленном роутере Keenetic Ultra II (в нашем примере, на роутере, который работает в роли сервера, используется идентификатор e-mail). В пустые поля впишите нужный адрес электронной почты (тот, который вы использовали при настройке удаленного роутера). Главное, чтобы идентификаторы и их значения совпадали на обоих сторонах туннеля.
В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.2.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за установленным туннелем (в нашем примере 192.168.1.0).
 
Адреса локальной и удаленной сети должны быть из разных подсетей.
 
Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.
 
На обоих устройствах настройки Фазы 1 и Фазы 2 обязательно должны совпадать!
 
Сделав настройки IPSec-подключения нажмите кнопку Применить.
После создания подключения нужно обязательно в меню Безопасность > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить.
 
3. Мониторинг состояния туннеля IPSec VPN.
 
Итак, настройки IPSec-подключения были выполнены на обоих устройствах. Если они указаны верно, то туннель IPSec VPN должен установиться между роутерами.
Для мониторинга состояния туннеля перейдите в меню Системный монитор на закладку IPsec VPN.
В нашем примере VPN-туннель IPSec успешно установился. Вот пример статуса туннеля на роутере Keenetic Ultra II:
ipsecvpn07.png
 
Пример статуса туннеля на роутере Keenetic Giga III:
ipsecvpn08.png
 
Для проверки работоспособности туннеля мы с компьютера локальной сети Giga III и имеющего IP-адрес 192.168.2.35 выполнили пинг компьютера удаленной сети 192.168.1.33, который находится за туннелем IPSec в локальной сети роутера Ultra II.
Обращаем ваше внимание, что широковещательные broadcast-запросы (например, NetBIOS) не будут проходить через VPN-туннель, поэтому в сетевом окружении имена удаленных хостов не будут отображаться (доступ к ним возможен по IP-адресу, например \\192.168.1.33).
 
Если вы настроили VPN-туннель IPSec и он был успешно установлен, но пинг проходит только до удаленного роутера и не проходит на хосты удаленной сети, то вероятнее всего на самих хостах блокирует трафик Брандмауэр Windows (Межсетевой экран, Firewall). Дополнительную информацию можно найти в статье «Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic»
 
Примечание 
 
Если на устройстве есть возможность использовать версию протокола IKE v2, используйте её. Если устройство не поддерживает IKE v2, используйте версию IKE v1.
Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nail up (Nailed-up) и Обнаружение неработающего пира (DPD).

 

KB-4857

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 36 из 38

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 22
  • Прошу поясните основные отличия в настройках соединения сетей в этой статье со статьей: https://help.keenetic.net/hc/ru/articles/213967789

  • Уточните не будет ли конфликта адресов при данном подключении и подключении по IPsec - подключение. Так как в данном подключении не задается пул выдаваемых адресов. У меня установился тунель, но потом отвалился, после настройки IPsec подключения, возможно по другой причине.

  • Основное отличие от соединения сетей по https://help.keenetic.net/hc/ru/articles/213967789 в использовании различных протоколов. Здесь используется IPSec, а там - PPTP. IPSec безопаснее, но сложнее в настройке и требовательнее к вычислительным ресурсам.
    Конфликта адресов при подключении, описанном в статье не будет. Пул адресов в этом случае не требуется.

  • Можно ли создать IPSec VPN между двумя интернет-центрами Keenetic через интернет, когда белый адрес есть только со стороны "сервера"? Со стороны инициатора серый IP. Сейчас объединение сетей настроено и работает через PPTP как в примере - https://help.keenetic.net/hc/ru/articles/213967789-Объединение-двух-локальных-сетей-при-помощи-интернет-центров-используя-встроенное-приложение-Сервер-VPN. Интернет Yota, в принципе работает стабильно, но в случае необходимости повторного соединения приходится многократно перезапускать модем для установления VPN (есть подозрение, что YOTA не всегда пропускает GRE-авторизацию). Хотел бы попробовать перейти на IPSec.

  • Да, такой туннель IPSec VPN можно создать. Только рекомендуем использовать версию протокола IKEv2.

  • Можно ли организовать такое подключение между 4 ULTRA II, например, один сервер и 3 клиента, ну или в таком духе?

  • Можно. Keenetic Ultra II и Giga III поддерживают до 10 одновременно работающих туннелей IPSec VPN, и 5 для остальных моделей с поддержкой IPSec (эта информация актуальна для устройств с системой NDMS v2.08 и выше). Вы можете организовать связь между подсетями клиент1-сервер, клиент2-сервер, клиент3-сервер.

  • Добрый день, хотел поблагодарить за очень качественные аппаратные и программные продукты.
    Вопрос следующий - организовал 2 тунеля, клиент1-сервер, клиент2-сервер. Как можно организовать связь между клиентами 1 и 2 не пробрасывая 3 тунель между ними?
    Сеть сервер 192.168.1.0 wan 10.160.1.1, Сеть клиента1 192.168.10.0 wan 10.160.1.10, Сеть клиента2 192.168.3.0 wan 10.160.1.3.
    Заранее спасибо за ответ.

  • Между клиентами через сервер трафик не получится направлять. Это ограничение реализации - маршрутизировать трафик в IPSec-туннель нельзя. Если нужна связь между клиентами, то ещё и между ними нужно будет установить туннель.

  • Возможно ли с одного клиента поднять одновременно два IPSec туннеля к разным серверам? Речь о моделях Keenetic 4G III в качестве клиента и двух Keenetic Extra II в качестве IPSec серверов.

  • Да, можно. Максимальное число одновременно работающих IPSec-туннелей для Giga III и Ultra II — 10, а для всех остальных устройств — 5. Цифры указаны для роутеров с NDMS 2.08 и выше. Обратите внимание, что шифрование трафика влияет на загрузку CPU — чем больше вы создадите туннелей, тем выше будет загрузка CPU.

  • Возможно ли использование IPSec-туннелей на интернет центре Keenetic Giga III, где уже настроен и работает VPN server PPTP? Сильно ли в этом случае возрастет нагрузка на процессор интернет центра? Необходимость использования IPSec-туннелей появилась после обновления ОС семейства MAC, которые больше не поддерживают VPN PPTP, планируемое количество добавляемых IPSec-туннелей 1-2 устройства.

  • Одновременно PPTP-сервер и IPsec-сервис работать будут. Конечно нагрузка на процессор возрастёт, но точные цифры назвать невозможно. Это прежде всего зависит от типа шифрования и количества туннелей.

  • Добрый день,все сделал по инструкции ,туннель заработал,но пинг до keenetiс 4G lll не проходит.Сервер keenetiс 4G lll,клиент keenetiс ultra ll .В чем может быть причина.

  • Проверьте, чтобы на интернет-центрах не было пересекающихся подсетей. Это довольно распространенная причина подобных проблем. Подсети должны быть разными. Также пинг может блокироваться межсетевыми экранами (файрволлами) на конечных хостах, которые для теста нужно отключать. Если же причина не в этом, понадобится сохранить файл диагностики self-test с обоих Keenetic-ов при активном туннеле и приложить их к запросу в поддержку или прислать на help@keenetic.com, режим отладки включать не нужно.

  • здравствуйте подскажите получиться ли такое есть 7 сетей с камерами видеонаблюдения и один сервер. на 7 точках серые адреса на них настроим тунель до сервера(сервер с белым адресом) на стороне сервера роутер Giga III и собственно сам сервер. получиться ли такое.

  • Добрый день. Установил туннель между двумя роутерами, у меня как раз Keenetic Ultra II и Giga III, такое совпадение, только как серверная часть у меня Keenetic Ultra II так как он находится в той сети, в которую есть доступ из интернета по статическому IP. Долго не мог понять, почему у меня туннель не хочет работать, не устанавливается соединение. Потом оказалось что на Keenetic Ultra II у меня проброшен 500 порт на компьютер в локальной сети, а этот порт нужен для обмена ключами в IPSec. Убрал проброс и все заработало. Вопрос - можно ли сделать так, чтобы из интернета был доступ к компьютеру в сети Giga III, который является клиентом IPSec через роутер Ultra II по какому-то порту?

  • Добрый день. Подскажите через этот тунель можно выходить в интернет? Чтоб сервер был блюзом для выхода в интернет.

  • Доступ в 7 сетей с камерами видеонаблюдения вполне можно получить с одного сервера с белым адресом. Для этого понадобится настроить 7 туннелей.

    Получить из интернета доступ к компьютеру в сети Giga III через Ultra II можно подключившись к одному из VPN-серверов Ultra II, например, к L2TP/IPSec-серверу. При этом необходимо настроить пул ip-адресов этого сервера из Домашней сети Ultra II, но не пересекающийся с пулом для клиентов Домашней сети. В рассматриваемом примере, если пул клиентов Домашней сети 192.168.1.33-192.168.1.72, пул адресов L2TP/IPSec-сервера можно задать 192.168.1.100-192.168.1.120.

    Описанный в статье туннель может использоваться только для соединения удаленных локальных сетей между собой, выходить через него в интернет нельзя.
    Для решения этой задачи в Keenetic есть много других туннелей: PPTP, L2TP/IPSec, OpenVPN, SSTP.

  • Делюсь опытом: настроил тоннель между GIGA и Omni II. Некоторое время всё работало, и ВДРУГ прекратилось.
    Дело оказалось в том, что на GIGA прошло обновление прошивки, с 2.11 на 2.13. В 2.13, оказывается, по умолчанию закрыт ICMP!
    Открыл - связь возобновилась :-)

  • А как открыть ICMP? В настройках не нахожу.

  • ну так см. в "Межсетевой экран", добавить правило

Войдите в службу, чтобы оставить комментарий.