VPN-сервер IPsec (Virtual IP)

В интернет-центрах Keenetic есть возможность подключения к виртуальному серверу IPsec Virtual IP, используя аутентификацию Xauth PSK, для доступа к ресурсам домашней сети. IPsec-подключение обеспечивает абсолютно защищенный доступ к домашней сети со смартфона или планшета: в Android и iOS для этого типа VPN есть удобные встроенные клиенты.

NOTE: Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ". При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер IPsec". Нажмите по ссылке "VPN-сервер IPsec".

ipsec01.png

В появившемся окне "VPN-сервер IPsec (Virtual IP)" в поле "Общий ключ IPsec" укажите ключ безопасности. Этот ключ безопасности нужно будет указать на клиенте, при настройке VPN-подключения.

NOTE: Важно! Этот ключ также используется VPN-сервером L2TP/IPsec.

ipsec02.png

В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

Важно! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

В настройках виртуального VPN-сервера IPsec присутствует поле "DNS-сервер". Это связано с особенностью работы виртуального сервера. Во всех других VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на виртуальном VPN-сервере IPsec адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180 (это IP, который приобретен нами для имени my.keenetic.net). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180 перехватывается всегда. Получив 78.47.125.180, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.

В разделе "Пользователи" выберите учетные записи, которым хотите разрешить доступ к VPN-серверу. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

ipsec03.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

ipsec04.png

TIP: Примечание

При настройке подключения к VPN-серверу на Android-устройствах выбирайте тип VPN-подключения "IPsec Xauth PSK", а на iOS-устройствах — "IPsec".

Для подключения к серверу в качестве клиента можно использовать:

компьютер под управлением ОС Windows - "Подключение к серверу IPSec VPN (IPSec Virtual IP) с компьютера из ОС Windows";

мобильное устройство на базе Android - "Подключение к серверу IPSec VPN (IPSec Virtual IP) с мобильного устройства из ОС Android";

мобильное устройство на базе iOS - "Подключение к серверу IPSec VPN (IPSec Virtual IP) с мобильного устройства из iOS";

компьютер под управлением MacOS - "Подключение к серверу IPSec VPN IPSec (Virtual IP) с компьютера из Mac OS".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 8

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 9
  • Добрый день!

    С телефона все получилось.
    Но не получается подключиться с Linux Mint 19.1 Cinnamon.
    Могли бы вы показать пример настроек?

    0
    Действия с комментариями Постоянная ссылка
  • В ОС Android и iOS для этого типа VPN есть удобные встроенные клиенты, а для настольных версий Windows, Linux и MacOS мы не нашли. Но может такие клиенты IPsec Xauth PSK есть, попробуйте поискать в Интернете или на форумах по Linux.

    0
    Действия с комментариями Постоянная ссылка
  • Спасибо за толковое объяснение по подключению! Всё получилось! Всё работает! 👍

    0
    Действия с комментариями Постоянная ссылка
  • Сергей, заработало под Android/iOS или Linux? Под Linux так и не нашел простой поддерживаемый клиент.

    1
    Действия с комментариями Постоянная ссылка
  • Забыл указать что с андроид из стандартных настроек

    -2
    Действия с комментариями Постоянная ссылка
  • https://help.keenetic.com/hc/ru/articles/360000968999/comments/360000366960
    Игорь, StrongWan возможно поможет вам

    0
    Действия с комментариями Постоянная ссылка
  • Спасибо, решил использовать L2TP/IPsec. Встроенными средствами network-manager поддерживается, в другой ветке оставил подробности (https://help.keenetic.com/hc/ru/articles/360000684919-VPN-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-L2TP-IPsec): дополню, что для Linux на базе Ubuntu (Mint, Elementary) необходимо установить пакет network-manager-l2tp-gnome и в нем создать новое VPN подключение.
    Однако из-за настроек по умолчанию клиент linux не может договориться о протоколах с Keenetic, решается следующим образом:
    нужно настроить в профиле VPN подключения для IPSec:
    Phase1 Algorithms: aes256-sha1-modp2048!
    Phase2 Algorithms: aes256-sha1,aes128-sha1,3des-sha1!

    0
    Действия с комментариями Постоянная ссылка
  • Правильно ли я понимаю, что у меня в любом случае должен быть публичный ip адрес (белый), и сервис keenDNS просто позволяет не запоминать цифры айпишника, помня доменное имя.
    Проблему серого ip KeenDNS не решает и сервер "не заведется"?

    0
    Действия с комментариями Постоянная ссылка
  • Anton, чтобы подключиться к VPN-серверу IPsec (Virtual IP) из Интернета, на роутере на внешнем интерфейсе должен быть публичный "белый" IP-адрес, иначе вы напрямую не подключитесь. Если у вас используется частный IP для доступа в Интернет, то используйте VPN-сервер SSTP, он работает через облако и поэтому на роутере может использоваться "серый" адрес. Доступ ко всем другим остальным VPN-серверам возможен только с публичным IP-адресом на роутере.
    KeenDNS это сервис доменных имен, который позволяет Кинетику назначить удобное имя и по нему из Интернета подключиться к веб-интерфейсу роутера. KeenDNS работает как с публичными, так и с частными адресами.

    1
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.