В интернет-центрах Keenetic есть возможность подключения к виртуальному серверу IPsec Virtual IP, используя аутентификацию Xauth PSK, для доступа к ресурсам домашней сети. IPsec-подключение обеспечивает абсолютно защищенный доступ к домашней сети со смартфона или планшета: в Android и iOS для этого типа VPN есть удобные встроенные клиенты.
NOTE: Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.
Перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер IPsec". Нажмите по ссылке "VPN-сервер IPsec".
В появившемся окне "VPN-сервер IPsec (Virtual IP)" в поле "Общий ключ IPsec" укажите ключ безопасности. Этот ключ безопасности нужно будет указать на клиенте, при настройке VPN-подключения.
NOTE: Важно! Этот ключ также используется VPN-сервером L2TP/IPsec.
В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет.
TIP: Справка: В текущей реализации система не выполняет проверку на предмет конфликта между адресами в серверах и адресами в локальных сегментах и на внешних интерфейсах. В результате возможны следующие ситуации:
— Если адрес сервера совпадает с адресацией сегмента, для которого автоматический NAT включен, то отключение опции "NAT для клиентов" в настройке VPN-сервера не выключит NAT для адресов используемых этим сервером, т.е. отключение "не сработает".
— Если адрес сервера совпадает с адресацией на WAN-интерфейсе, то тогда наоборот NAT не будет работать даже если опция "NAT для клиентов" включена.
Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.
Важно! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.
В настройках виртуального VPN-сервера IPsec присутствует поле "DNS-сервер". Это связано с особенностью работы виртуального сервера. Во всех других VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на виртуальном VPN-сервере IPsec адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180 (это IP, который приобретен нами для имени my.keenetic.net). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180 перехватывается всегда. Получив 78.47.125.180, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.
В разделе "Пользователи" выберите учетные записи, которым хотите разрешить доступ к VPN-серверу. Здесь же вы можете добавить нового пользователя, указав имя и пароль.
После настройки сервера переведите переключатель в состояние Включено.
Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.
TIP: Примечание
При настройке подключения к VPN-серверу на Android-устройствах выбирайте тип VPN-подключения "IPsec Xauth PSK", а на iOS-устройствах — "IPsec".
Для подключения к серверу в качестве клиента можно использовать:
компьютер под управлением ОС Windows - "Подключение к серверу IPSec VPN (IPSec Virtual IP) с компьютера из ОС Windows";
мобильное устройство на базе Android - "Подключение к серверу IPSec VPN (IPSec Virtual IP) с мобильного устройства из ОС Android";
мобильное устройство на базе iOS - "Подключение к серверу IPSec VPN (IPSec Virtual IP) с мобильного устройства из iOS";
компьютер под управлением MacOS - "Подключение к серверу IPSec VPN IPSec (Virtual IP) с компьютера из Mac OS".
Комментарии
Добрый день!
С телефона все получилось.
Но не получается подключиться с Linux Mint 19.1 Cinnamon.
Могли бы вы показать пример настроек?
В ОС Android и iOS для этого типа VPN есть удобные встроенные клиенты, а для настольных версий Windows, Linux и MacOS мы не нашли. Но может такие клиенты IPsec Xauth PSK есть, попробуйте поискать в Интернете или на форумах по Linux.
Спасибо за толковое объяснение по подключению! Всё получилось! Всё работает! 👍
Сергей, заработало под Android/iOS или Linux? Под Linux так и не нашел простой поддерживаемый клиент.
Забыл указать что с андроид из стандартных настроек
https://help.keenetic.com/hc/ru/articles/360000968999/comments/360000366960
Игорь, StrongWan возможно поможет вам
Спасибо, решил использовать L2TP/IPsec. Встроенными средствами network-manager поддерживается, в другой ветке оставил подробности (https://help.keenetic.com/hc/ru/articles/360000684919-VPN-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-L2TP-IPsec): дополню, что для Linux на базе Ubuntu (Mint, Elementary) необходимо установить пакет network-manager-l2tp-gnome и в нем создать новое VPN подключение.
Однако из-за настроек по умолчанию клиент linux не может договориться о протоколах с Keenetic, решается следующим образом:
нужно настроить в профиле VPN подключения для IPSec:
Phase1 Algorithms: aes256-sha1-modp2048!
Phase2 Algorithms: aes256-sha1,aes128-sha1,3des-sha1!
Правильно ли я понимаю, что у меня в любом случае должен быть публичный ip адрес (белый), и сервис keenDNS просто позволяет не запоминать цифры айпишника, помня доменное имя.
Проблему серого ip KeenDNS не решает и сервер "не заведется"?
Anton, чтобы подключиться к VPN-серверу IPsec (Virtual IP) из Интернета, на роутере на внешнем интерфейсе должен быть публичный "белый" IP-адрес, иначе вы напрямую не подключитесь. Если у вас используется частный IP для доступа в Интернет, то используйте VPN-сервер SSTP, он работает через облако и поэтому на роутере может использоваться "серый" адрес. Доступ ко всем другим остальным VPN-серверам возможен только с публичным IP-адресом на роутере.
KeenDNS это сервис доменных имен, который позволяет Кинетику назначить удобное имя и по нему из Интернета подключиться к веб-интерфейсу роутера. KeenDNS работает как с публичными, так и с частными адресами.
В Android 12 остались только три протокола.
- IKEv2/IPSec MSCHAPv2
- IKEv2/IPSec PSK
- IKEv2/IPSec RSA
Думаю нужно поправить статью а так же описание этой функции в самом устройстве.
Не у всех на смартфоне используется Android 12, ещё достаточно много пользователей на своих телефонах используют более ранние версии.
Если настраиваете подключение на iOS - выбирайте там Cisco IPSec
Войдите в службу, чтобы оставить комментарий.