К интернет-центру Keenetic, выступающего в роли VPN-сервера, можно установить более 10 клиентских одновременных подключений.
Начиная с версии KeeneticOS 2.14 был увеличен лимит количества VPN-туннелей PPTP:
до 100 (для Start, 4G, Lite, Omni, City, Air, Extra и Zyxel Keenetic Air, Start II, Lite III rev.B, 4G III rev.B, Extra II);
до 150 (для DSL и Duo) и до 200 (для Giga и Ultra).
В версиях до 2.14 ограничение для VPN PPTP составляло 10 одновременных туннелей.
Для VPN-туннелей L2TP/IPsec ограничение отсутствует. Число одновременных туннелей определяется аппаратными возможностями конкретной модели.
NOTE: Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер PPTP, должен быть подключен к Интернету с белым IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.
Рассмотрим пример объединения 4-х удалённых локальных сетей через VPN-сервер PPTP. Каждая сеть имеет выход в Интернет. Эта же настройка будет аналогичной и для VPN-сервера L2TP/IPsec, т.к. логика применяемая в Keenetic одинаковая для этих серверов.
Пусть сеть LAN 1 подключена к Интернету через публичный "белый" IP-адрес и находится за интернет-центром с PPTP-сервером. Каждая из сетей LAN 2-4 будет подключаться к серверу VPN при помощи PPTP-соединения. Основная задача состоит в обеспечении доступа между всеми объединяемыми сетями LAN 1-4.
В нашем примере главный интернет-центр (с VPN-сервером PPTP) будет являться концентратором VPN-подключений. С ним будут устанавливаться все PPTP-подключения, и через него будет осуществляться маршрутизация между всеми подключенными подсетями. В настройках главного интернет-центра потребуется создать столько учетных записей пользователей с правами доступа к VPN-серверу, сколько сетей вы планируете объединить (в нашем примере для 3-х удаленных подсетей созданы 3 учетные записи – net_2, net_3 и net_4).
Пусть сервер VPN выдает каждому из клиентов указанный IP-адрес: 172.16.1.2, 172.16.1.3 и 172.16.1.4 соответственно (обращаем ваше внимание, что эти IP-адреса принадлежат одной подсети). Для настройки VPN-сервера перейдите на страницу "Приложения".
Статические маршруты на главном интернет-центре (с VPN-сервером) будут включать следующие записи: для каждой из объединяемых сетей, кроме "Домашней сети" самого сервера, требуется в качестве адреса шлюза указать IP-адрес, выделенный соответствующему пользователю VPN-сервером. Настройку статических маршрутов выполните на странице "Маршрутизация".
NOTE: Важно! Все объединяемые удаленные подсети (как и пул IP-адресов на VPN-сервере) не должны иметь одинаковые или перекрывающиеся адресные пространства.
При настройке устройств для работы по данной схеме мы рекомендуем изменять адресацию в сети по умолчанию (сеть 192.168.1.0/24), приняв за порядковый номер сети число в третьем октете адреса IPv4, то есть LAN 2 – 192.168.2.0/24, LAN 3 – 192.168.3.0/24 и т.п. При 24-битной маске такие сети не перекрываются друг с другом и содержат достаточное количество адресов для хостов локальной сети.
Далее приведены настройки PPTP-подключения к серверу и маршрутизации на устройствах — клиентах VPN в схеме, слева направо.
Настройка клиента VPN из локальной сети LAN 2 (192.168.2.0/24):
В поле "Адрес сервера" нужно вписать публичный статичный WAN IP-адрес роутера, или зарегистрированное на роутере-сервере доменное имя KeenDNS (в этом случае на стороне сервера в настройках KeenDNS должен быть использован режим "Прямой доступ", для которого также требуется публичный IP-адрес).
Два маршрута указывают на расположение сети LAN 3:
Для обеспечения связи с подсетью LAN 4 потребуется указать следующие маршруты:
Настройка клиента VPN из локальной сети LAN 3 (192.168.3.0/24):
Для обеспечения связи с сетью LAN 2 будут работать следующие маршруты:
Для обеспечения связи с сетью LAN 4 укажите следующие маршруты:
Настройка клиента VPN из локальной сети LAN 4 (192.168.4.0/24):
Для связи с сетью LAN 2 необходимо добавить следующие маршруты:
Для связи с сетью LAN 3 необходимо добавить следующие маршруты:
Примечание
1. Рекомендуется не включать опцию "Использовать для выхода в Интернет "при настройке подключений к серверу VPN при работе по данной схеме, т.к. это избавляет от необходимости указывать настройки маршрутизации к сети за сервером явно вручную. При отсутствии этого флажка маршруты к сети за сервером будут переданы на клиентское устройство Keenetic автоматически.
2. При выполненных настройках компьютеры и другие хосты в любой из подключенных сетей к серверу VPN будут доступны в каждой из них по IP-адресу. В связи с тем, что в каждой из объединяемых сетей используется отличная от других подсеть, обнаружение устройств в сети Windows по именам компьютеров работать не будет.
3. Поскольку на интерфейсе PPTP-клиента по умолчанию включен межсетевой экран, блокирующий все входящие соединения, в настройках клиентских интернет-центров потребуется открыть нужные для работы порты/протоколы. На странице "Межсетевой экран" нужно создать соответствующие разрешающие правила для входящих подключений по любым протоколам (достаточно будет открыть доступ по протоколу IP).
Например, правило для интернет-центра локальной сети LAN 3 будет выглядеть так:
4. Если вы установили VPN-подключение, а пинг проходит только до удаленного роутера и не проходит на компьютеры удаленной сети, то вероятнее всего на компьютерах блокирует трафик Брандмауэр Windows (Firewall). Дополнительную информацию можно найти в статье "Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic".
Если вы пытаетесь выполнить ping компьютера по его IP-адресу, убедитесь, что на компьютере не блокируются входящие подключения (по умолчанию Брандмауэр Windows блокирует icmp-запросы). Попробуйте повторить ping, отключив блокировку.