Як налаштувати інтернет-центри Keenetic Ultra II і Giga III для створення між ними безпечного тунелю IPSec VPN для об'єднання мереж або підключення до офісної мережі?
Це може бути зручно для безпечного підключення до офісної мережі (наприклад, з домашньої мережі до корпоративного сервера) або об'єднання мереж (наприклад, двох віддалених офісів).
Для організації тунелю IPSec VPN знадобляться два інтернет-центри. Для побудови тунелю можна використовувати різні поєднання моделей, наприклад Ultra II <> Ultra II, Giga III <> Giga III і Ultra II <> Giga III.
Далі детально розглянемо приклад об'єднання двох мереж через IPSec VPN за допомогою інтернет-центрів Keenetic Ultra II і Giga III.
Адреси локальної та дистанційної мережі повинні бути з різних підмереж. Наприклад, в нашому випадку мережі, що об'єднуються, мають різні адресні простори - 192.168.1.0/24 і 192.168.2.0/24.
У нашому прикладі роутер Keenetic Ultra II працює в Домашній мережі 192.168.1.0 (клієнти цієї мережі отримують IP-адреси в діапазоні від 192.168.1.2 і вище) і має IP-адресу для керування 192.168.1.1. На зовнішньому інтерфейсі WAN цього роутера встановлена вручну статична IP-адреса з іншої підмережі 10.10.1.1 (в вашому випадку це може бути зовнішня / публічна IP-адреса).
Роутер Keenetic Giga III працює в іншій мережі 192.168.2.0 (клієнти цієї мережі отримують IP-адреси в діапазоні від 192.168.2.2 і вище) і має IP-адресу для керування 192.168.2.1. На зовнішньому інтерфейсі WAN цього роутера встановлена вручну статична IP-адреса з підмережі 10.10.1.2 (в вашому випадку це може бути зовнішя / публічна IP-адреса).
Необхідно організувати безпечний тунель IPSec VPN між двома інтернет-центрами для об'єднання двох мереж. Тунель буде встановлюватися між IP-адресами на зовнішних інтерфейсах WAN роутерів.
Спочатку необхідно перевірити, що на обох пристроях встановлений спеціальний компонент прошивки IPsec VPN (клієнт / сервер IPSec VPN для створення захищених IP-з'єднань). Перевірити наявність компонента можна через вбудований веб-конфігуратор пристрою в меню Система> Оновлення. Компонент IPsec VPN знаходиться в розділі Applications (додатки). Переконайтеся, що у цього компонента встановлена галочка.
Налаштування на обох пристроях будемо робити через їх веб-конфігуратор.
Що необхідно пам'ятати при створенні тунелю: на обох пристроях налаштування Фази 1 та Фази 2 обов'язково повинні збігатися! В іншому випадку тунель IPSec VPN не буде побудований.
1. Налаштування інтернет-центру Keenetic Ultra II, який буде виконувати роль сервера IPSec VPN.
Зайдіть в меню Безпека> IPsec VPN і натисніть кнопку Додати для створення IPsec-підключення.
В налаштуваннях Фази 2 в полі IP-адреса локальної мережі потрібно вказати адресу і маску локальної мережі роутера (в нашому прикладі 192.168.1.0), а в поле IP-адреса віддаленої мережі вказати адресу і маску віддаленої мережі, яка буде знаходитися за IPSec-тунелем (в нашому прикладі 192.168.2.0).
Увага! Адреси локальної та дистанційної мережі повинні бути з різних підмереж! Не можна використовувати один адресний простір в локальній і віддаленій мережі, тому що це може призвести до конфлікту IP-адрес.
Після створення підключення потрібно обов'язково в меню Безпека> IPsec VPN встановити галочку в поле Увімкнути і натиснути кнопку Застосувати для активації IPSec VPN.
Зайдіть в меню Безпека> IPsec VPN і натисніть кнопку Додати для створення IPsec-підключення.
Відкриється вікно Налаштування IPsec підключення. У нашому прикладі Giga III виконує роль клієнта, тому поставимо галочку в полях Автопідключення (в цьому випадку ініціатором підключення виступає клієнтський роутер), Вчепитися (пристрій буде відновлювати з'єднання при розриві) і Виявлення непрацюючого піра (DPD) (функція Dead Peer Detection призначена для визначення працездатності тунелю). В полі Віддалений шлюз вкажіть IP-адресу віддаленого роутера Keenetic Ultra II, яка використовується на зовнішньому інтерфейсі WAN (в нашому прикладі це статична IP-адреса 10.10.1.1, але в вашому випадку це може бути зовнішня / публічна IP-адреса).
В налаштуваннях Фази 2 в полі IP-адреса локальної мережі потрібно вказати адресу і маску локальної мережі роутера (в нашому прикладі 192.168.2.0), а в поле IP-адреса віддаленої мережі вказати адресу і маску віддаленої мережі, яка буде знаходитися за встановленим тунелем ( в нашому прикладі 192.168.1.0).
Важливо! Адреси локальної та віддалкної мережі повинні бути з різних підмереж. Не можна використовувати один адресний простір в локальній і віддаленій мережі, тому що це може призвести до конфлікту IP-адрес.
На обох пристроях налаштування Фази 1 та Фази 2 обов'язково повинні збігатися!
Після створення підключення потрібно обов'язково в меню Безпека> IPsec VPN встановити галочку в полі Увімкнути і натиснути кнопку Застосувати.
Отже, налаштування IPSec-підключення були виконані на обох пристроях. Якщо вони вказані вірно, то тунель IPSec VPN повинен встановитися між роутерами.
Для моніторингу стану тунелю перейдіть в меню Системний монітор на вкладинку IPsec VPN.
У нашому прикладі VPN-тунель IPSec успішно встановився. Ось приклад статусу тунелю на роутері Keenetic Ultra II:
Звертаємо вашу увагу, що широкомовні broadcast-запити (наприклад, NetBIOS) не будуть проходити через VPN-тунель, тому в мережевому оточенні імена віддалених хостів не відображаються (доступ до них можливий за IP-адресою, наприклад \\ 192.168.1.33).
Важливо! Якщо Ви налаштували VPN-тунель IPSec і він був успішно встановлений, але пінг проходить тільки до віддаленого роутера і не проходить на хости віддаленої мережі, то найімовірніше на самих хостах блокує трафік Брандмауер Windows (Брандмауер, Firewall). Додаткову інформацію можна знайти в статті «Налаштування брендмауера Windows для підключень з межрежі по-за VPN-сервером Keenetic»
Примітка
Якщо на пристрої є можливість використовувати версію протоколу IKE v2, використовуйте її. Якщо пристрій не підтримує IKE v2, використовуйте версію IKE v1.
Якщо спостерігаються розриви VPN-підключення, спробуйте на Keenetic відключити опції Nail up (Nailed-up) і Виявлення непрацюючого піру (DPD).
KB-4857