VPN-сервер L2TP/IPsec

В интернет-центрах Keenetic есть возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec) для доступа к ресурсам домашней сети.
В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этого типа VPN есть удобный встроенный клиент. К тому же, во многих моделях Keenetic передача данных по L2TP over IPsec ускоряется аппаратно.

Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Предварительно нужно установить компонент системы "L2TP/IPsec VPN-сервер". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

l2tp-s.png

После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер L2TP/IPsec". Нажмите по ссылке "VPN-сервер L2TP/IPsec".

l2tp-s-01.png

В появившемся окне "VPN-сервер L2TP/IPsec" в поле "Общий ключ IPsec" укажите ключ безопасности.

NOTE: Важно! Этот ключ также используется VPN-сервером IPsec (Virtual IP).

l2tp-s-02.png

Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

NOTE: Важно! При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для L2TP/IPsec-клиента. Сделать это можно на странице настройки VPN-сервера L2TP/IPsec в разделе "Пользователи".

В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.

NOTE: Важно! Если отключить функцию "NAT для клиентов" на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет. Дополнительная информация представлена в статье "Изменение политики маршрутизации VPN-подключения в Windows, при выключенной опции "NAT для клиентов" на сервере".

В настройках сервера в поле "Доступ к сети" также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Если "Начальный IP-адрес" попадает в диапазон сети указанного в поле "Доступ к сети" сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле "Доступ к сети" выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: "Начальный адрес пула": 192.168.1.33, "Размер пула адресов": 120, вы можете задать "Начальный IP-адрес" VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к L2TP/IPsec-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

l2tp-s-03.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

l2tp-s-04.png

Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции "Маршрутизация сетей через VPN".

TIP: Примечание

Для подключения к серверу в качестве клиента можно использовать:

интернет-центр Keenetic - "Клиент L2TP/IPsec (L2TP over IPsec)";

компьютер под управлением ОС Windows 7 - "Пример подключения L2TP/IPsec в Windows 7" или ОС Windows 10 - "Подключение к VPN-серверу L2TP/IPSec из Windows";

мобильное устройство на базе Android - "Подключение к VPN-серверу L2TP/IPSec из Android";

мобильное устройство на базе iOS - "Подключение к VPN-серверу L2TP/IPSec из iOS";

компьютер под управлением MacOS - "Подключение к VPN-серверу L2TP/IPSec с компьютера из MacOS".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 30 из 36

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 28
  • А в межсетевом экране для домашней сети, можно будет рулить правами для статичных ip ?

    0
    Действия с комментариями Постоянная ссылка
  • На данный момент такая возможность не реализована. В планах есть задача в будущих релизах добавить такую настройку.

    0
    Действия с комментариями Постоянная ссылка
  • Подскажите как сделать шифрованное соединение?!

    0
    Действия с комментариями Постоянная ссылка
  • L2TP-соединения поверх IPSec являются безопасным подключением. L2TP/IPSec обеспечивает абсолютно защищенный доступ и вы можете не волноваться о конфиденциальности данных. Безопасность обеспечивается алгоритмами протокола IPSec. В VPN c использованием протокола L2TP/IPsec до сих пор не найдено критических уязвимостей, которые могут помочь в расшифровке трафика. VPN на базе протокола L2TP/IPsec является лучшим решением для мобильных устройств. Он очень прост в настройке и безопасен.

    0
    Действия с комментариями Постоянная ссылка
  • Добрый день!
    Настраиваю L2TP/IPSec сервер на роутере Keenetic Lite.
    В настройках VPN-сервера нет возможности задать пользователям "Постоянный IP-адрес", хотя на скриншоте в данной статье это поле имеется. У меня же просто нет данной колонки в web-интерфейсе...
    Подскажите, пожалуйста, это ограничение модели Keenetic Lite?
    И не может ли это быть связано с тем, что на роутере в данный момент уже поднят активный VPN-сервер типа IPSec?

    0
    Действия с комментариями Постоянная ссылка
  • У вас нет этой настройки, т.к. включена опция "Множественный вход". Отключите её (снимите галочку) и появится возможность указать "Постоянный IP-адрес".

    1
    Действия с комментариями Постоянная ссылка
  • Настраиваю PPTP и L2TP сервер на Keenetic Extra II, прошивка 2.15.C.5.0-0 по проводному интерфейсу и Yota.
    По проводному все работает. По Yota PPTP работает, L2TP - нет.

    Вопрос: можно ли настроить на Keen сервер L2TP через 3G/4G модем?

    0
    Действия с комментариями Постоянная ссылка
  • Да, можно.

    0
    Действия с комментариями Постоянная ссылка
  • Подскажите, пожалуйста, можно ли как-то посмотреть историю подключений и отключений к серверу L2TP/IPsec (в идеале вместе с неуспешными попытками и IP адресами подключавшихся).

    1
    Действия с комментариями Постоянная ссылка
  • К сожалению такой возможности нет.

    0
    Действия с комментариями Постоянная ссылка
  • Спасибо за ответ. На случай, если кому-то поможет эта информация, хочу сказать, что в системном логе информация о подключениях к VPN присутствует (Общие настройки системы > Системные файлы > Log). Или Диагностика > Системный журнал > Показать Журнал. Нужные данные оттуда можно относительно легко извлечь.

    W [Nov 6 15:58:04] ndm: IpSec::Configurator: "VPNL2TPServer": L2TP/IPsec
    client "XXXX" connected from "xx.xx.xxx.xxx" with address
    "xxx.xxx.xxx.xxx".

    1
    Действия с комментариями Постоянная ссылка
  • Здравствуйте, где можно скачать приложения? Статья как настроить есть, а ссылка на закачку нет!

    0
    Действия с комментариями Постоянная ссылка
  • Виталий, под приложениями имеются ввиду модули (компоненты) встроенной операционной системы роутера. Настройка, показанная в данной инструкции, выполняется в веб-конфигураторе роутера. Как установить компонент "L2TP/IPsec VPN-сервер" показано в статье.

    0
    Действия с комментариями Постоянная ссылка
  • Здравствуйте!
    Extra (KN-1710) 3.3.15 включен в режиме "Точка доступа/Ретранслятор"
    Предустановленные приложения"Сеть Windows" и "FTP-сервер" настраиваются и работают.
    Понадобилось установить VPN-сервер L2TP/IPsec. Галочками отмечены и установлены нужные компоненты "L2TP/IPsec VPN-сервер" и "IPsec VPN". Но после перезагрузки в разделе "Приложения" оснастка для настройки VPN отсутствует.
    Переустановка компонент не помогла.
    Подскажите решение в данной ситуации.

    0
    Действия с комментариями Постоянная ссылка
  • Artem, работа только USB-приложений (подключение внешних накопителей, дисков, принтеров, DLNA, Transmission, FTP, Keenetic Plus Dect) доступна во всех дополнительных режимах.
    В дополнительных режимах работы интернет-центр становится обычным коммутатором 2-го уровня и могут работать только USB-приложения. Для работы VPN-сервера необходим NAT и маршрутизация между клиентами сервера и сегментами локальной сети, что в дополнительном режиме отсутствует. Работа USB-модемов в дополнительных режимах также не поддерживается.

    0
    Действия с комментариями Постоянная ссылка
  • Здравствуйте.
    Интернет-центр keenetic ultra KN-1810. Текущая версия KeeneticOS: 3.3.15
    VPN-сервер L2TP/IPsec позволяет подключить только один сеанс. Настраиваю подключение для нескольких пользователей. Подключаюсь с ПК 1 - норм, с ПК 2 - не подключается. Потом делаю наоборот. Подключаюсь с ПК 2 - норм, с ПК 1 - не подключается. Два и более одновременных сеансов не поддерживает. Хотя раньше (в других версиях прошивки) все работало.
    Не помогает изменение пула адресов (по умолчанию 100) и установка или удаление галочки "Множественный вход"
    Как исправить данную ситуацию и куда смотреть? PPTP - не предлагать. Хотя в данном варианте все работает как нужно

    1
    Действия с комментариями Постоянная ссылка
  • Владимир, а эти клиенты наверно выходят в Интернет через один роутер? Если так, то с Windows-клиентами, которые подключаются из-за одного NAT-роутера, действительно есть фундаментальная проблема. Windows на L2TP-уровне использует порт источника udp/1701, в итоге множество машин за NAT после декапсуляции транспортного IPsec выглядят с точки зрения сервера как одна машина с источником = WAN IP NAT-роутера, и портом источника 1701.
    Проблема эта известна разработчикам, но задача сложная, нужно делать сопоставление "соединение IPsec" <> "соединение L2TP" на всем уровне сетевого стека, как в kernel-space, так и в user-space.
    На данный момент мы в такой ситуации можем лишь рекомендовать использовать другие протоколы, например, SSTP или Wireguard.

    0
    Действия с комментариями Постоянная ссылка
  • Да. Все верно. Эти клиенты входят в интернет через один роутер. Передайте разработчикам, что на более старых версиях прошивки интернет центра, таких проблем не было. :)
    Спасибо. Буду пока использовать другие протоколы.

    1
    Действия с комментариями Постоянная ссылка
  • Добрый день!
    Дополню, что для Linux на базе Ubuntu (Mint, Elementary) необходимо установить пакет network-manager-l2tp-gnome и в нем создать новое VPN подключение.

    Однако из-за настроек по умолчанию клиент linux не может договориться о протоколах с Keenetic, решается следующим образом:
    нужно настроить в профиле VPN подключения для IPSec:
    Phase1 Algorithms: aes256-sha1-modp2048!
    Phase2 Algorithms: aes256-sha1,aes128-sha1,3des-sha1!

    0
    Действия с комментариями Постоянная ссылка
  • Здравствуйте!

    Не могу нигде найти полной официальной информации - должен ли я настраивать файрвол и переадресацию портов для работы VPN серверов на Keenetic Giga III Версия ОС 3.4.6.

    Устройтсво на белом IP, из описания межсетевого экрана на https://help.keenetic.com/ можно сделать вывод, что при включении FTP или VPN сервера на устройстве дополнительных действий для обеспечения доступа к серверу из интернета делать не нужно.

    Но по факту, пока я не создам соответствующие переадресации портов, ни FTP, ни SFTP сервера не доступны из интернета.

    VPN сервера - ни к одному виду сервера не удалось подключиться, хоть без создания переадресаций портов, хоть с ними, по той информации, которую нашел в сети.

    Где я могу получить официальную инструкцию по этому поводу?

    Должен ли я создавать правила межсетевого экрана и переадресации портов для работы VPN серверов? Какие?

    0
    Действия с комментариями Постоянная ссылка
  • Borys, тут всё очень просто. Если у вас сервер находится на самом Keenetic, то правила проброса портов не нужно использовать. А вот если сервер находится в домашней сети за роутером, вот в этом случае нужно использовать правила переадресации (проброса) портов, используя в правиле номер порта, который используется на сервере и IP-адрес сервера в локальной сети. Подробности в https://help.keenetic.com/hc/ru/articles/360000360760

    0
    Действия с комментариями Постоянная ссылка
  • Скажите пожалуйста, а возможно ли подключаться к VPN-серверу L2TP/IPsec на роутере Keenetic, если сам роутер подключен к интернету через L2TP (Билайн)?

    0
    Действия с комментариями Постоянная ссылка
  • Да, только публичный "белый" IP-адрес должен быть на внешнем интерфейсе роутера.

    0
    Действия с комментариями Постоянная ссылка
  • Добрый день! Есть два Keenetic Giga. Каждый используется как домашний рутер. На первом домашняя сеть 192.168.1.0 на втором 192.168.2.0
    На Keenetic в первой сети настроен L2TP/IPsec сервер. На Keenetic во второй сети настроен L2TP/IPsec клиент.
    Запускаем клиент, соединение происходит, все устройства из сети 192.168.2.0 видят все устройства в сети 192.168.1.0 то есть все работает как и должно.
    Однако устройства из первой сети (192.168.1.0), там где установлен VPN сервер, не видят устройств из сети два (192.168.2.0).

    Прописывание статического маршрута, использующего в качестве гейта адрес VPN туннеля ситуацию не изменило.
    "Начальный IP-адрес" попадает в диапазон сети указанного в поле "Доступ к сети" сегмента.

    Подскажите пожалуйста, как можно сделать так, чтобы устройства из серверного сегмента могли бы видеть устройства из сегмента, в котором запускается VPN клиент?

    1
    Действия с комментариями Постоянная ссылка
  • По умолчанию доступ открыт для клиентов в сеть vpn-сервера, а для доступа из сети vpn-сервера в сеть vpn-клиента, нужно выполнить дополнительную настройку, которая показана в инструкции https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN

    0
    Действия с комментариями Постоянная ссылка
  • Как реализовать функционал, чтобы клиенты видели содержимое сетевого окружения и был доступ по именам, а не вручную по ip адресам? Вопрос не только к данному протоколу, но и к PPTP и другим.

    0
    Действия с комментариями Постоянная ссылка
  • Сетевое обнаружение Windows - это сервис, предназначенный для одноранговой сети и в большинстве случаев через vpn-туннели и в разных подсетях работать не может. В Кинетиках нет netbios proxy и поэтому устройства в сетевом окружении отображаться не будут. Резолв netbios-имени произойти не должен, т.к. устройства находятся не в одном широковещательном домене, а в разных, независимо от адресации подсетей. Если же непременно требуется автоматическое обнаружение, однораноговую сеть можно создать при помощи L2-туннеля EoIP. В частности можно использовать туннель EoIP over IPsec, настроенный между двумя Keenetic, в этом случае произойдет объединение сетей в один широковещательный домен. Еще вариант, можно попробовать настроить WINS-сервер с именами всех хостов в одном из сегментов.

    0
    Действия с комментариями Постоянная ссылка
  • Спасибо за ответ! В принципе и по ip все устраивает. Есть предположение, что именно данная функция отвечает за отображение хоста в играх по локальной сети. Живем с братом в разных городах, думали поиграть через этот функционал, не применяя всякие хамачи. Друг друга пингуем, передача файлов работает отлично, а вот в играх не видим в локальной сети друг друга.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.