VPN-сервер IKEv2

Начиная с версии KeeneticOS 3.5 реализован IKEv2-сервер Virtual IP на основе сертификата Let's Encrypt.

IKEv2 (Internet Key Exchange) — протокол обмена ключами версии 2, входящий в набор протоколов IPSec. Обеспечивает высокую безопасность данных, скорость, стабильность работы.

VPN-сервер IKEv2 позволяет авторизованным пользователям безопасно подключаться к ресурсам вашей домашней сети через Интернет. Клиенты для подключения к серверу IKEv2 доступны в операционных системах Windows, MacOS и iOS, а также в популярных дистрибутивах Linux и устройствах Blackberry.

Протокол туннелирования IKEv2 является частью протокола IPSec с передачей данных через UDP-порты 500 и/или 4500 и с защитой данных надежными криптоалгоритмами 3DES/AES. Благодаря своей безопасности, стабильности и скорости работы, IKEv2 в настоящее время является одним из лучших решений VPN для мобильных пользователей.

NOTE: Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер IKEv2, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ". При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

VPN-сервер IKEv2 использует тип подключения IKEv2 EAP (Логин/Пароль), используя имя пользователя и пароль в качестве типа данных для входа. Указывайте тип аутентификации "Пользователь" при настройке подключения на клиенте.

Для настройки защищенных подключений по протоколу IKEv2 в интернет-центре Keenetic нужно установить компонент системы "Клиент IKE". Сделать это можно в веб-конфигураторе на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

ikev2-comp.png

После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер IKEv2".

s-ikev2-001.png

Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.link, keenetic.pro или keenetic.name, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье "Сервис доменных имен KeenDNS".
Помимо этого, нужно разрешить доступ из Интернета по протоколу HTTPS. Сделать это можно на странице "Пользователи и доступ". В разделе "Удаленный доступ" включите доступ к веб-конфигуратору по протоколам "HTTP и HTTPS" или "Только HTTPS".

s-ikev2-04.png

На странице "Приложения" нажмите по ссылке "VPN-сервер IKEv2".

s-ikev2-01.png

Выполните настройку сервера.

s-ikev2-02.png

Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.
C одним логином и паролем можно подключить несколько клиентов.

NOTE: Важно! При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для IKEv2-клиента. Сделать это можно на странице настройки VPN-сервера IKEv2 в разделе "Пользователи".

В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

В настройках VPN-сервера IKEv2 присутствует поле "DNS-сервер". Это связано с особенностью работы сервера. Обычно в VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на VPN-сервере IKEv2 адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180 (это IP, который приобретен нами для имени my.keenetic.net). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180 перехватывается всегда. Получив 78.47.125.180, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.

NOTE: Важно! При подключении с Keenetic (VPN-клиент IKEv2) на Keenetic (VPN-сервер IKEv2), нужно указать на VPN-сервере IP-адрес Домашней сети (Home-сегмента) в качестве DNS-сервера. Например:

ikev2-dns.png   

В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к IKEv2-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

Разрешения доступа пользователей к серверам IPSec VPN (IKEv1 xAuth Virtual IP) и IKEv2 VPN общие.

После настройки сервера переведите переключатель в состояние Включено.

s-ikev2-03.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

s-ikev2-05.png

Для подключения к VPN-серверу в качестве клиента на мобильном устройстве рекомендуем использовать популярный VPN-клиент strongSwan.

В качестве клиента вы также можете использовать любой интернет-центр Keenetic (с версией ПО KeeneticOS 3.5 и выше), создав соединение "Клиент IKEv2", или компьютер с Windows (встроенная поддержка подключений IKEv2 появилась начиная с Windows 7).

NOTE: Важно! IKEv2-сервер в текущей реализации позволяет получить только доступ со стороны клиента в домашнюю сеть сервера. Доступ из сети сервера в домашнюю сеть клиента путем добавления автоматического маршрута через выданный клиенту IP-адрес, как в случае других VPN-серверов, не возможен.

NOTE: Важно! IKEv2-сервер в версии KeeneticOS 3.5 не передает клиентам маршрут в домашнюю сеть Keenetic, поэтому доступ в нее возможен только при настройке "Использовать основной шлюз в удаленной сети" или ручном добавлении маршрута на клиенте IKEv2. Начиная с версии KeeneticOS 3.6 маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
где {address} {mask} - адрес и маска соответствующей сети  

NOTE: Важно! На младших моделях Keenetic Start (KN-1110), 4G (KN-1210), Lite (KN-1310), City (KN-1510) и Air (KN-1610) могут возникнуть трудности с установкой компонента микропрограммы "Клиент IKE". Дело в том, что при установке этого компонента также автоматически устанавливается зависимый компонент "IPSec VPN". Оба эти компонента занимают размер около 1.4 Мбайта, а на указанных выше моделях используется флэш-память (ПЗУ) для хранения компонентов операционной системы KeeneticOS объемом 8 Мбайт (это аппаратное ограничение). Если на устройстве уже установлено много компонентов, то для выбранных "Клиент IKE" и "IPSec VPN" не хватит места в флэш-памяти роутера. Для установки на младших моделях, мы рекомендуем сначала удалить неиспользуемые компоненты микропрограммы (т.е. освободить флэш-память на устройстве), а затем установить компонент "Клиент IKE".

Например, для Keenetic Start (KN-1110) набор компонентов может быть следующий: Языки - English, Русский, Базовые компоненты - Мастер первоначальной настройки, Интерфейс Wi-Fi, Сетевой ускоритель, Сервер DHCP, Сетевые функции - Клиент PPPoE, Клиент L2TP, IPsec VPN, Клиент IKE, Утилиты и сервисы - Мобильное приложение «Keenetic», Агент облачной службы Keenetic Cloud и KeenDNS.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 9

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.