Подключение к встроенному VPN-серверу L2TP/IPSec с устройства на iOS и Windows

Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет белый адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме "Прямой доступ". При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.

Встроенный VPN-сервер L2TP/IPSec можно настроить с использованием нового веб-интерфейса, который появился в версии NDMS 2.11.

Для работы с новым интерфейсом необходимо установить компонент с названием "Новый дизайн веб-интерфейса (beta)". Как установить компонент описано здесь: "Установка компонентов операционной системы NDMS через веб-интерфейс"

Для этого в разделе Приложения включите переключатель "VPN L2TP/IPSec" (Доступ из Интернета в домашнюю сеть по протоколу L2TP/IPSec): 

l2tpoveripsec-1.png

После чего нажмите на включенный вами пункт. Он является ссылкой на раздел настройки этого VPN-сервера.

Придумайте и введите общий ключ IPSec и запишите его. В дальнейшем он понадобится для настройки подключения на клиентах. Поставьте галочку "Доступ к VPN" для того пользователя, от имени которого вы планируете подключаться. В нашем примере это встроенный пользователь admin. После чего нажмите Сохранить.  

l2tpoveripsec-2.png

Настройте подключение L2TP/IPSec на iPhone. В настройках VPN выберите "Добавить конфигурацию VPN...":

siPhone-1.jpg

Выберите тип L2TP. Задайте Описание соединения, в нашем примере Test. Введите имя или IP-адрес Keenetic, в нашем примере giga.mykeenetic.ru. Задайте учетную запись и пароль, для которой мы разрешали доступ к VPN в настройках Keenetic. Наконец, введите Общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic и нажмите Готово.

siPhone-2.jpg

Этих настроек будет достаточно для получения доступа в домашнюю сеть Keenetic. Если же необходимо, что бы iPhone весь трафик передавал в туннель и выходил в Интернет через Keenetic, включите еще опцию "Для всех данных".

На этом настройка подключения завершена. Осталось только передвинуть выключатель Подключено:

siPhone-4.jpg

И убедиться, что соединение установлено:

siPhone-5.jpg

Рассмотрим теперь создание аналогичного подключения в Windows 10.

Нажмите правой кнопкой мыши Старт, выберите раздел Сетевые подключения и на появившемся экране VPN.

Выберите пункт "Добавить VPN-подключение". s1.png

В настройках подключения в качестве поставщика услуг VPN выберите "Windows (встроенные)". Задайте имя подключения, например Test. Введите доменное имя или IP-адрес Keenetic, в нашем примере giga.mykeenetic.ru. Выберите тип VPN: "L2TP/IPSec с предварительным ключом". Введите общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic. Наконец имя пользователя admin и его пароль и нажмите кнопку Сохранить.s34.png

Для установления соединения нажмите кнопку Подключиться.s5.png

Соединение установлено.s6.png

Примечание

Возможность подключиться из Интернет к имеющему серый адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с белым IP настроен проброс портов на серый адрес Keenetic. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант - проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.

Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера белый адрес и выдавать Keenetic'у серый. Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.

Другой пример такого маршрутизатора это оптический GPON-роутер или терминал от Ростелеком или МГТС, установленный на входе в квартиру. В таких устройствах проброс настраивается в их веб-интерфейсе.

Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним белым IP-адресом такого маршрутизатора. Он пробросит его на серый адрес Keenetic.

Правда в случае L2TP/IPSec есть исключение и из этого правила. Такое подключение легко установится со смартфона или планшета, но не установится с Windows-клиента. 

Это известное ограничение Windows. В журнале Keenetic в таком случае попытка соединения заканчивается ошибками:

ipsec11[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec16[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec15[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec15[JOB] deleting half open IKE_SA with 193.0.174.212 after timeout 

Да, L2TP/IPSec из Windows можно установить только если сам Keenetic имеет белый адрес. Проброс не поможет. Существуют однако другие, не столь привередливые виды VPN: PPTP, SSTP или OpenVPN. Их можно использовать для подключения Windows к серверу за NAT-ом после проброса. Для PPTP нужно пробросить TCP порт 1723 и GRE-протокол, для SSTP - TCP 443, а для OpenVPN UDP порт 1194 по умолчанию. Впрочем в последнем случае как протокол так и порт могут быть изменены по вашему желанию в конфигурации OpenVPN. 

 
KB-5289

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

Еще есть вопросы? Отправить запрос

Комментарии

1 комментарий
  • В локальной сети подключение происходит.
    Из интернета:
    с телефона подключаюсь норм. А вот с windows уже коннекта не происходит(этот же комп в локальной сети подключается быстро и без проблем)
    зависает на этом:
    ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration...
    ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done.
    Может в винде надо что подкрутить ?

Войдите в службу, чтобы оставить комментарий.