Яким чином налаштувати тунель IPSec VPN між інтернет-центром і комп'ютером з операційною системою Mac OS?
Можливість встановлювати тунелі IPSec VPN реалізована в мікропрограмі NDMS, починаючи з версії V2.06. На момент написання статті чинна можливість реалізована для Keenetic Giga III, Keenetic Ultra II, Keenetic II, Keenetic Lite III, Keenetic 4G III, Keenetic Start II, Keenetic Air і Keenetic Extra II.
Завдяки наявності цієї функції існує можливість, відповідно до найсуворіших вимог до безпеки, встановити з будь-якої точки Інтернету захищене підключення до віддаленої офісної або домашньої мережі.
Припустимо, що у Вас встановлено зазначений вище роутер з доступом в Інтернет (с публичною, "білою" IP-адресою) та є необхідність організувати доступ до локальної мережі з віддаленого комп'ютера під керуванням операційної системи Mac OS.
Для вирішення цього завдання необхідно виконати наступні дії:
Завдяки наявності цієї функції існує можливість, відповідно до найсуворіших вимог до безпеки, встановити з будь-якої точки Інтернету захищене підключення до віддаленої офісної або домашньої мережі.
Припустимо, що у Вас встановлено зазначений вище роутер з доступом в Інтернет (с публичною, "білою" IP-адресою) та є необхідність організувати доступ до локальної мережі з віддаленого комп'ютера під керуванням операційної системи Mac OS.
Для вирішення цього завдання необхідно виконати наступні дії:
1. В інтернет-центрі повинен бути встановлений компонент прошивки IPSec VPN.
Спочатку необхідно перевірити, що в інтернет-центрі встановлено спеціальний компонент прошивки IPsec VPN (клієнт/сервер IPSec VPN для створення захищенних IP-з'єднань). Перевірити наявність компонента можна через вбудований веб-конфігуратор пристрою в меню Система > Оновлення. Компонент IPsec VPN знаходиться в розділі Applications (додатки). Переконайтеся, що біля цього компонента встановлена галочка.
Якщо галочка відсутня, встановіть її і натисніть кнопку Оновити, яка знаходиться в нижній частині вікна. Запускається процес оновлення компонентів прошивки в пристрої. Додаткову інформацію щодо оновлення компонентів, ви можете знайти в статті: «Встановлення компонентів та оновлення операційної системи інтернет-центра через веб-інтерфейс».
2. Після встановлення необхідного компонента в меню інтернет-центру Безпека з'явиться вкладинка IPsec VPN.
3. У розділі IPsec-підключення натисніть кнопку Додати. Після чого відкриється вікно з налаштуваннями IPSec-тунеля.
4.Вікно налаштувань поділене на три сегменти - основні налаштуання, Фаза 1 і Фаза 2.
В основних налаштуваннях слід встановити:
В основних налаштуваннях слід встановити:
- Галочку в полі Чекати на підключення від віддаленого піру (так як ініціатором підключення у нас буде пристрій з Mac OS);
- Ім'я (будь-яке на вибір, в нашому випадку зазначимо MAC);
- Галочку Вчепитися (чинне налаштування буде підтримувати роботу тунелю коли немає передачі трафіку, і відновлювати його при розриві);
- Галочку Виявлення непрацюючого піра (DPD) і залишаємо Інтервал перевірки за замовчуванням. Ця функція перевіряє працездатність тунелю, посилаючи Hello-пакети, на які віддалена сторона повинна надіслати відповідь.
5. Увага! Налаштування розділів Фаза 1 і Фаза 2 повинні обов'язково збігатися з відповідними налаштуваннями фаз на віддаленій стороні тунелю, тобто на пристрої з Mac OS.
В Фаза 1 втановіть наступні значення:
В Фаза 1 втановіть наступні значення:
- Ідентифікатор локального шлюзу (в нашому прикладі FQDN keenetic.ua);
- Ключ PSK (в нашому прикладі використовується ключ 12345678);
- Інші налаштування залиште без змін.
6. Налаштування Фаза 2 будуть виглядати наступним чином:
- IP-адреса локальної мережі: 192.168.222.0 255.255.255.0 (локальна підмережа за інтернет-центром Keenetic);
- IP-адреса віддаленої мережі: 192.168.1.36 255.255.255.255 (IP-адреса пристрою с Mac OS у віддаленій мережі; якщо пристрій виходить в Інтернет безпосередньо без роутера, потрібно вказувати IP-адресу, отриману від провайдера);
- Інші налаштування залиште за замовчуванням.
Натисніть кнопку Застосувати для збереження налаштувань.
7. В меню Безпека > IPsec VPN поставьте галочку в полі Увімкнути та натисніть кнопку Застосувати.
8. Після зазначених вище налаштувань можна приступати до налаштування IPSec-підключення в Mac OS. Для цього встановіть і запустіть додаток IPSecuritas.
9. Зайдіть на вкладинку Connections > Edit Connections.
10. Натисніть кнопку + та введіть ім'я нового підключення(в нашому випадку вказано ім'я Keenetic).
11. На вкладинці General треба вказати наступні параметри:
- Remote IPSec Device: зовнішня/публічна IP-адреса Keenetic (в нашому випадку 46.72.181.99);
- Local Side > Endpoint Mode > Host > IP Address > IP-адреса пристрою з Mac OS (в нашому випадку 192.168.1.36);
- Remode Side > Endpoint Mode > Network > Network Address > локальна підмережа за інтернет-центром Keenetic (в нашому випадку 192.168.222.0 з маскою 24).
12. На вкладинці Phase 1 вкажіть значення, що відповідають налаштуванням інтернет-центру Keenetiс.
- Lifetime: 3600;
- Інші значення за замовчуванням співпадають з нашими налаштуваннями.
13. На вкладинці Phase 2 також вкажіть відповідні параметри:
- Lifetime: 3600;
- PFS Group: None;
- Encryption: DES;
- Authentification: MD5.
14. На вкладинці ID вкажіть:
- Local Identifier: Address;
- Remote Identifier: FQDN keenetic.ua;
- Preshared Key: 12345678.
15. В інших вкладинках нічого не змінюйте і вийдіть з налаштувань, натиснувши червону кнопку в лівому верхньому кутку.
Виберіть в списку з'єднань Keenetic і натисніть кнопку Start.
Виберіть в списку з'єднань Keenetic і натисніть кнопку Start.
16. При успішному підключенні індикатор навпроти назви з'єднання повинен буде засвітитися зеленим кольором.
У веб-конфігураторі інтернет-центру Keenetic в меню Сістемний монітор на вкладинці IPsec VPN з'єднання також повинно бути активним (зелений статус).
17. Після цього можна отримати доступ з пристрою з Mac OS в віддалену мережу за інтернет-центром Keenetic.
З боку локальної мережі за інтернет-центром Keenetic також повинен бути доступ до пристрою з Mac OS за його локальною адресою (в нашому випадку 192.168.1.36).
18. Щоб відімкнути тунель, виберіть його в списку з'єднань, натисніть Stop і закрийте додаток в меню IPSecuritas> Quit IPSecuritas.
Примітка
- Якщо на пристрої є можливість використовувати версію протоколу IKE v2, використовуйте її. Якщо пристрій не підтримує IKE v2, використовуйте версію IKE v1.
Якщо спостерігаються розриви VPN-з'єднання, спробуйте на Keenetic відключити опції Вчепитися і Виявлення непрацюючого піра (DPD). - «Приклад налаштування тунелю IPSec VPN між інтернет-центром і комп'ютером з ОС Windows»
KB-4877