VPN-сервер L2TP/IPsec

В интернет-центрах Keenetic есть возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec) для доступа к ресурсам домашней сети.
В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этого типа VPN есть удобный встроенный клиент. К тому же, во многих моделях Keenetic передача данных по L2TP over IPsec ускоряется аппаратно. 

Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с белым IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ". При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Для настройки сервера обязательно нужно установить компонент системы "L2TP/IPsec VPN-сервер". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

l2tp-s.png

После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер L2TP/IPsec". Нажмите по ссылке "VPN-сервер L2TP/IPsec".

l2tp-s-01.png

В появившемся окне "VPN-сервер L2TP/IPsec" в поле "Общий ключ IPsec" укажите ключ безопасности.

NOTE: Важно! Этот ключ также используется VPN-сервером IPsec (Virtual IP).

l2tp-s-02.png

Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

NOTE: Важно! При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для L2TP/IPsec-клиента. Сделать это можно на странице настройки VPN-сервера L2TP/IPsec в разделе "Пользователи".

В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.

NOTE: Важно! Если отключить функцию "NAT для клиентов" на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет.

В настройках сервера в поле "Доступ к сети" также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к L2TP/IPsec-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

l2tp-s-03.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

l2tp-s-04.png

Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции "Маршрутизация сетей через VPN".

TIP: Примечание

Для подключения к серверу в качестве клиента можно использовать:

интернет-центр Keenetic - "Клиент L2TP/IPsec (L2TP over IPsec)";

компьютер под управлением ОС Windows 10 - "Подключение к встроенному VPN-серверу L2TP/IPSec с устройства на iOS и Windows";

компьютер под управлением ОС Windows 7 - "Пример подключения L2TP/IPsec в Windows 7";

мобильное устройство с iOS - "Подключение к встроенному VPN-серверу L2TP/IPSec с устройства на iOS и Windows".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 10 из 13

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 8
  • А в межсетевом экране для домашней сети, можно будет рулить правами для статичных ip ?

    0
    Действия с комментариями Постоянная ссылка
  • На данный момент такая возможность не реализована. В планах есть задача в будущих релизах добавить такую настройку.

    0
    Действия с комментариями Постоянная ссылка
  • Подскажите как сделать шифрованное соединение?!

    0
    Действия с комментариями Постоянная ссылка
  • L2TP-соединения поверх IPSec являются безопасным подключением. L2TP/IPSec обеспечивает абсолютно защищенный доступ и вы можете не волноваться о конфиденциальности данных. Безопасность обеспечивается алгоритмами протокола IPSec. В VPN c использованием протокола L2TP/IPsec до сих пор не найдено критических уязвимостей, которые могут помочь в расшифровке трафика. VPN на базе протокола L2TP/IPsec является лучшим решением для мобильных устройств. Он очень прост в настройке и безопасен.

    0
    Действия с комментариями Постоянная ссылка
  • Добрый день!
    Настраиваю L2TP/IPSec сервер на роутере Keenetic Lite.
    В настройках VPN-сервера нет возможности задать пользователям "Постоянный IP-адрес", хотя на скриншоте в данной статье это поле имеется. У меня же просто нет данной колонки в web-интерфейсе...
    Подскажите, пожалуйста, это ограничение модели Keenetic Lite?
    И не может ли это быть связано с тем, что на роутере в данный момент уже поднят активный VPN-сервер типа IPSec?

    0
    Действия с комментариями Постоянная ссылка
  • У вас нет этой настройки, т.к. включена опция "Множественный вход". Отключите её (снимите галочку) и появится возможность указать "Постоянный IP-адрес".

    0
    Действия с комментариями Постоянная ссылка
  • Настраиваю PPTP и L2TP сервер на Keenetic Extra II, прошивка 2.15.C.5.0-0 по проводному интерфейсу и Yota.
    По проводному все работает. По Yota PPTP работает, L2TP - нет.

    Вопрос: можно ли настроить на Keen сервер L2TP через 3G/4G модем?

    0
    Действия с комментариями Постоянная ссылка
  • Да, можно.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.