Організація тунелю IPSec VPN між двома інтернет-центрами Keenetic Ultra II і Giga III

Як налаштувати інтернет-центри Keenetic Ultra II і Giga III для створення між ними безпечного тунелю IPSec VPN для об'єднання мереж або підключення до офісної мережі?


За допомогою інтернет-центрів Keenetic Giga III, Keenetic Ultra II, Keenetic II, Keenetic Lite III, Keenetic 4G III, Keenetic Start II, Keenetic Air і Keenetic Extra II є можливість використовувати вбудований клієнт / сервер IPSec VPN. Завдяки наявності цієї функції існує можливість, відповідно до найсуворіших вимог до безпеки, об'єднати кілька інтернет-центрів (роутерів) в одну мережу по VPN-тунелю.
Це може бути зручно для безпечного підключення до офісної мережі (наприклад, з домашньої мережі до корпоративного сервера) або об'єднання мереж (наприклад, двох віддалених офісів).
 
Для організації тунелю IPSec VPN знадобляться два інтернет-центри. Для побудови тунелю можна використовувати різні поєднання моделей, наприклад Ultra II <> Ultra II, Giga III <> Giga III і Ultra II <> Giga III.
 
Далі детально розглянемо приклад об'єднання двох мереж через IPSec VPN за допомогою інтернет-центрів Keenetic Ultra II і Giga III.
Встановити тунель IPSec можна як в локальній мережі (коли на зовнішньому інтерфейсі WAN роутера використовуються приватні / внутрішні IP-адреси, їх називають ще "сірі"), так і через глобальну мережу Інтернет (коли на зовнішньому інтерфейсі WAN роутера використовуються публічні / зовнішні IP-адреси, їх називають також "білі"). Бажано мати статичну / постійну IP-адресу на WAN-інтерфейсі, або можна скористатися сервісом динамічних доменних імен DyDNS.
 
У нашому прикладі організація тунелю IPSec VPN здійснюється в рамках локальної мережі, тобто використовуються приватні / внутрішні IP-адреси.
Важливо! Для побудови тунелю IPSec VPN через глобальну мережу Інтернет, на зовнішньому інтерфейсі WAN роутера повинна використовуватися публічна / зовнішня IP-адреса.
Адреси локальної та дистанційної мережі повинні бути з різних підмереж. Наприклад, в нашому випадку  мережі, що об'єднуються, мають різні адресні простори - 192.168.1.0/24 і 192.168.2.0/24.
 
Ми розглянемо сценарій, в якому Keenetic Ultra II буде виступати в ролі сервера IPSec VPN, а Keenetic Giga III в ролі клієнта.
У нашому прикладі роутер Keenetic Ultra II працює в Домашній мережі 192.168.1.0 (клієнти цієї мережі отримують IP-адреси в діапазоні від 192.168.1.2 і вище) і має IP-адресу для керування 192.168.1.1. На зовнішньому інтерфейсі WAN цього роутера встановлена вручну статична IP-адреса з іншої підмережі 10.10.1.1 (в вашому випадку це може бути зовнішня / публічна IP-адреса).
Роутер Keenetic Giga III працює в іншій мережі 192.168.2.0 (клієнти цієї мережі отримують IP-адреси в діапазоні від 192.168.2.2 і вище) і має IP-адресу для керування 192.168.2.1. На зовнішньому інтерфейсі WAN цього роутера встановлена вручну статична IP-адреса з підмережі 10.10.1.2 (в вашому випадку це може бути зовнішя / публічна IP-адреса).
Необхідно організувати безпечний тунель IPSec VPN між двома інтернет-центрами для об'єднання двох мереж. Тунель буде встановлюватися між IP-адресами на зовнішних інтерфейсах WAN роутерів.
 
Отже, перейдемо безпосередньо до налаштування інтернет-центрів.
Спочатку необхідно перевірити, що на обох пристроях встановлений спеціальний компонент прошивки IPsec VPN (клієнт / сервер IPSec VPN для створення захищених IP-з'єднань). Перевірити наявність компонента можна через вбудований веб-конфігуратор пристрою в меню Система> Оновлення. Компонент IPsec VPN знаходиться в розділі Applications (додатки). Переконайтеся, що у цього компонента встановлена галочка.
 
Якщо галочка відсутня, встановіть її та натисніть кнопку Оновити, яка знаходиться в нижній частині вікна. Запускається процес оновлення компонентів прошивки в пристрої. Додаткову інформацію щодо оновлення компонентів, ви можете знайти в статті «Встановлення компонентів та оновлення операційної системи інтернет-центра через веб-інтерфейс».
 
Зараз розглянемо налаштування тунелю IPSec VPN.
Налаштування на обох пристроях будемо робити через їх веб-конфігуратор.
Що необхідно пам'ятати при створенні тунелю: на обох пристроях налаштування Фази 1 та Фази 2 обов'язково повинні збігатися! В іншому випадку тунель IPSec VPN не буде побудований.
 
1. Налаштування інтернет-центру Keenetic Ultra II, який буде виконувати роль сервера IPSec VPN.
 
Зайдіть в меню Безпека> IPsec VPN і натисніть кнопку Додати для створення IPsec-підключення.
 
Відкриється вікно Налаштування IPsec підключення. У нашому випадку Keenetic Ultra II буде виконувати роль сервера, тому поставимо галочку в полях Чекати на підключення від віддаленого піру (в цьому випадку ініціатором підключення буде виступати клієнт, а сервер буде чекати підключення), Вчепитися (пристрій буде відновлювати з'єднання при розриві) і Виявлення непрацюючого піра (DPD) (функція Dead Peer Detection призначена для визначення працездатності тунелю).
 
В налаштуваннях Фази 1 в поле Ідентифікатор локального шлюзу Ви можете використовувати будь-який ідентифікатор: адресу (IP-адреса), FQDN (повне ім'я домену), DN (ім'я домену), e-mail (адреса ел. пошти). У нашому прикладі використовується ідентифікатор e-mail і в порожнє поле було вписано довільну адресу електронної пошти.
В налаштуваннях Фази 2 в полі IP-адреса локальної мережі потрібно вказати адресу і маску локальної мережі роутера (в нашому прикладі 192.168.1.0), а в поле IP-адреса віддаленої мережі вказати адресу і маску віддаленої мережі, яка буде знаходитися за IPSec-тунелем (в нашому прикладі 192.168.2.0).
Увага! Адреси локальної та дистанційної мережі повинні бути з різних підмереж! Не можна використовувати один адресний простір в локальній і віддаленій мережі, тому що це може призвести до конфлікту IP-адрес.
 
Зробивши налаштування IPSec-підключення натисніть кнопку Застосувати.
Після створення підключення потрібно обов'язково в меню Безпека> IPsec VPN встановити галочку в поле Увімкнути і натиснути кнопку Застосувати для активації IPSec VPN.
 
2. Налаштування інтернет-центру Keenetic Giga III, який буде виконувати роль клієнта IPSec VPN.
 
Зайдіть в меню Безпека> IPsec VPN і натисніть кнопку Додати для створення IPsec-підключення.
 
Відкриється вікно Налаштування IPsec підключення. У нашому прикладі Giga III виконує роль клієнта, тому поставимо галочку в полях Автопідключення (в цьому випадку ініціатором підключення виступає клієнтський роутер), Вчепитися (пристрій буде відновлювати з'єднання при розриві) і Виявлення непрацюючого піра (DPD) (функція Dead Peer Detection призначена для визначення працездатності тунелю). В полі Віддалений шлюз вкажіть IP-адресу віддаленого роутера Keenetic Ultra II, яка використовується на зовнішньому інтерфейсі WAN (в нашому прикладі це статична IP-адреса 10.10.1.1, але в вашому випадку це може бути зовнішня / публічна IP-адреса).
 
В налаштуваннях Фази 1 в полях Ідентифікатор локального шлюзу і Ідентифікатор віддаленого шлюзу потрібно вказати той ідентифікатор, який Ви використовували на віддаленому роутері Keenetic Ultra II (в нашому прикладі, на роутері, який працює в ролі сервера, використовується ідентифікатор e-mail). У порожні поля впишіть потрібну адресу електронної пошти (ту, яку Ви використовували під час налаштування віддаленого роутера). Головне, щоб ідентифікатори і їх значення збігалися на обох боках тунелю.
В налаштуваннях Фази 2 в полі IP-адреса локальної мережі потрібно вказати адресу і маску локальної мережі роутера (в нашому прикладі 192.168.2.0), а в поле IP-адреса віддаленої мережі вказати адресу і маску віддаленої мережі, яка буде знаходитися за встановленим тунелем ( в нашому прикладі 192.168.1.0).
Важливо! Адреси локальної та віддалкної мережі повинні бути з різних підмереж. Не можна використовувати один адресний простір в локальній і віддаленій мережі, тому що це може призвести до конфлікту IP-адрес.
На обох пристроях налаштування Фази 1 та Фази 2 обов'язково повинні збігатися!
Зробивши налаштування IPSec-підключення натисніть кнопку Застосувати.
Після створення підключення потрібно обов'язково в меню Безпека> IPsec VPN встановити галочку в полі Увімкнути і натиснути кнопку Застосувати.
 
3. Моніторинг стану тунелю IPSec VPN.
 
Отже, налаштування IPSec-підключення були виконані на обох пристроях. Якщо вони вказані вірно, то тунель IPSec VPN повинен встановитися між роутерами.
Для моніторингу стану тунелю перейдіть в меню Системний монітор на вкладинку IPsec VPN.
У нашому прикладі VPN-тунель IPSec успішно встановився. Ось приклад статусу тунелю на роутері Keenetic Ultra II:
 
Приклад статусу тунелю на роутері Keenetic Giga III:
 
Для перевірки працездатності тунелю ми з комп'ютера локальної мережі Giga III що має IP-адресу 192.168.2.35 виконали пінг комп'ютера віддаленої мережі 192.168.1.33, який знаходиться за тунелем IPSec в локальній мережі роутера Ultra II.

Звертаємо вашу увагу, що широкомовні broadcast-запити (наприклад, NetBIOS) не будуть проходити через VPN-тунель, тому в мережевому оточенні імена віддалених хостів не відображаються (доступ до них можливий за IP-адресою, наприклад \\ 192.168.1.33).

Важливо! Якщо Ви налаштували VPN-тунель IPSec і він був успішно встановлений, але пінг проходить тільки до віддаленого роутера і не проходить на хости віддаленої мережі, то найімовірніше на самих хостах блокує трафік Брандмауер Windows (Брандмауер, Firewall). Додаткову інформацію можна знайти в статті «Налаштування брендмауера Windows для підключень з межрежі по-за  VPN-сервером Keenetic»

Примітка

Якщо на пристрої є можливість використовувати версію протоколу IKE v2, використовуйте її. Якщо пристрій не підтримує IKE v2, використовуйте версію IKE v1.
Якщо спостерігаються розриви VPN-підключення, спробуйте на Keenetic відключити опції Nail up (Nailed-up) і Виявлення непрацюючого піру (DPD).

KB-4857

Чи була ця стаття корисною?

70 з 74 вважають статтю корисною