IPSec VPN клиент/сервер

В Keenetic реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, объединить несколько интернет-центров в одну сеть по туннелю IPSec VPN.
В основном, IPSec VPN применяется для безопасного подключения к офисной сети (например, из домашней сети к корпоративному серверу) или для объединения сетей (например, двух удаленных офисов). С туннелем IPSec VPN можно абсолютно не волноваться о конфиденциальности данных файлового сервера, IP-телефонии или потоков видеонаблюдения. IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования.

Рассмотрим пример объединения двух локальных сетей (192.168.2.x и 192.168.0.x) через IPSec VPN.

ipsec-site-to-site.png

NOTE: Важно! Для построения туннеля IPSec VPN через глобальную сеть Интернет, хотя бы на одном из интернет-центров (на внешнем интерфейсе WAN) должен быть публичный белый IP-адрес. Для удобства рекомендуется использовать постоянный (статический) IP-адрес на WAN-интерфейсе, а также воспользоваться службой доменных имен KeenDNS или DDNS для получения постоянного имени. Для работы IPSec-туннеля служба KeenDNS должна работать только в режиме "Прямой доступ" на роутере, который будет ожидать подключения.
Адреса объединяемых сетей должны принадлежать разным подсетям. Не рекомендуется использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.

Для организации подключения IPSec VPN понадобятся два интернет-центра Keenetic. Такой тип подключения называется "точка-точка" (site-to-site).
Один интернет-центр Keenetic будет выступать в роли ожидающего подключение IPSec (назовем его сервером), а другой Keenetic в роли инициатора подключения IPSec (назовем его клиентом).
Интернет-центр, выступающий в роли сервера IPSec, имеет белый (публичный) постоянный IP-адрес для подключения к Интернету. Другой интернет-центр, выступающий в роли клиента IPSec, использует серый IP-адрес.

Итак, перейдем непосредственно к настройке интернет-центров для организации между ними безопасного туннеля IPSec VPN для объединения двух сетей.

На интернет-центрах должен быть установлен компонент системы "IKEv1/IPsec и IKEv2/IPsec VPN-серверы, клиент L2TP/IPsec VPN, IPsec VPN сеть-сеть".
Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав "Изменить набор компонентов".

ipsecvpn-comp.png

1. Настройка Keenetic в роли сервера (ожидающего подключение IPSec).

На странице "Другие подключения" в разделе "IPsec-подключения" нажмите "Добавить подключение".

ipsec-serv-01.png

Откроется окно "Настройка IPsec-подключения".

В нашем случае этот Keenetic будет выполнять роль сервера, поэтому включите опцию "Ждать подключения удаленного пира" (в этом случае инициатором подключения будет выступать клиент, а сервер будет ожидать подключения).

Опция "Nailed-up" предназначена для поддержания соединения в активном состоянии и восстановления туннеля при разрыве (данный параметр достаточно включить на одном конце туннеля).
Опция "Обнаружение неработающего пира DPD" (Dead Peer Detection) предназначена для определения работоспособности туннеля.

ipsec-serv-02.png

В настройках Фазы 1 в поле "Идентификатор локального шлюза" вы можете использовать любой идентификатор: "IP-адрес", "FQDN" (полное имя домена), "DN" (имя домена), "e-mail" (адрес эл. почты). В нашем примере используется идентификатор "DN" (имя домена) и в пустое поле идентификатора вписано произвольное имя.

NOTE: Важно! Обратите внимание на идентификаторы локального и удаленного шлюзов в настройках 1-й фазы туннеля IPSec. Идентификаторы должны быть разными и указаны "крест-накрест" (крестообразно). Например, выбрав в качестве идентификатора значение "DN", установите на сервере:
Идентификатор локального шлюза: server
Идентификатор удаленного шлюза: client
и на клиенте:
Идентификатор локального шлюза: client
Идентификатор удаленного шлюза: server

При множественных туннелях настройки локального и удаленного идентификаторов должны быть уникальны для каждого туннеля.

В настройках Фазы 2 в поле "IP-адрес локальной сети" нужно указать адрес локальной сети (в нашем примере 192.168.0.0), а в поле "IP-адрес удаленной сети" указать адрес удаленной сети, которая будет находиться за IPSec-туннелем (в нашем примере 192.168.2.0).

NOTE: Важно! На обеих сторонах туннеля IPSec VPN настройки Фазы 1 и Фазы 2 обязательно должны совпадать. В противном случае туннель не будет установлен.

После создания IPsec-подключения переведите переключатель в состояние Включено.

ipsec-cl-03.png

2. Настройка Keenetic в роли клиента (инициатора подключения IPSec).

На странице "Другие подключения" в разделе "IPsec-подключения" нажмите "Добавить подключение".

ipsec-cl-01.png

Откроется окно "Настройка IPsec-подключения". В нашем случае этот Keenetic выполняет роль клиента, поэтому включите опцию "Автоподключение" (в этом случае инициатором подключения выступает клиент).

Опция "Nailed-up" предназначена для поддержания соединения в активном состоянии и восстановления туннеля при разрыве (данный параметр достаточно включить на одном конце туннеля).
Опция "Обнаружение неработающего пира DPD" (Dead Peer Detection) предназначена для определения работоспособности туннеля.

В поле "Удаленный шлюз" укажите IP-адрес или доменное имя удаленного интернет-центра (это может быть имя KeenDNS или DDNS).

ipsec-cl-02.png

NOTE: Важно! В настройках Фазы 1 в полях "Идентификатор локального шлюза" и "Идентификатор удаленного шлюза" нужно указать те же идентификаторы, которые вы использовали на удаленном интернет-центре, но указаны они должны быть "крест-накрест" (крестообразно). Например, выбрав в качестве идентификатора значение "DN" установите на сервере:
Идентификатор локального шлюза: server
Идентификатор удаленного шлюза: client
и на клиенте:
Идентификатор локального шлюза: client
Идентификатор удаленного шлюза: server

При множественных туннелях настройки локального и удаленного идентификаторов должны быть уникальны для каждого туннеля.

В настройках Фазы 2 в поле "IP-адрес локальной сети" нужно указать адрес локальной сети интернет-центра (в нашем примере 192.168.2.0), а в поле "IP-адрес удаленной сети" указать адрес удаленной сети, которая будет находиться за установленным туннелем (в нашем примере 192.168.0.0).

NOTE: Важно! На обеих сторонах туннеля IPSec VPN настройки Фазы 1 и Фазы 2 обязательно должны совпадать. В противном случае туннель не будет установлен.

После создания IPsec-подключения переведите переключатель в состояние Включено.

ipsec-serv-04.png

3. Проверка состояния IPsec-подключения.

Если настройки IPSec-подключения были указаны верно на устройствах, то туннель IPSec VPN должен установиться между интернет-центрами.

На странице "Другие подключения" в разделе "IPsec-подключения" будет показан статус подключения. При установке туннеля статус подключения будет "Подключен".
Пример статуса туннеля на интернет-центре Keenetic (в роли клиента):

ipsec-serv-03.png

Пример статуса туннеля на интернет-центре Keenetic (в роли сервера):

ipsec-cl-05.png

Для проверки работоспособности туннеля выполните пинг интернет-центра или компьютера удаленной сети, находящегося за туннелем IPSec VPN.

ping.png

TIP: Совет: Широковещательные broadcast-запросы (например, NetBIOS) не будут проходить через VPN-туннель, поэтому в сетевом окружении имена удаленных хостов не будут отображаться (доступ к ним возможен по IP-адресу, например \\192.168.2.27).

Если VPN-туннель IPSec был установлен, но пинг проходит только до удаленного интернет-центра и не проходит на хосты удаленной сети, то вероятнее всего на самих хостах блокирует пинг Брандмауэр Windows или аналогичное ПО (Межсетевой экран или Firewall).

Также каждый Keenetic должен быть основным шлюзом в своей сети, в случае несоблюдения данного условия, трафик пойдет мимо туннеля. В таком случае нужно добавлять на локальные хосты маршрут в удаленную сеть вручную или через DHCP-опции на маршрутизаторе, который является DHCP-сервером в такой схеме.

Дополнительную информацию можно найти в статье "Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic"

TIP: Совет: Рекомендуем использовать версию протокола IKE v2. Версию IKE v1 используйте только в том случае, когда ваше устройство не поддерживает IKE v2.
Если наблюдаются разрывы VPN-подключения, попробуйте в интернет-центре Keenetic  отключить опции "Nailed-up" и "Обнаружение неработающего пира (DPD)".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 94 из 109