Яким чином налаштувати тунель IPSec VPN між інтернет-центром і комп'ютером з операційною системою Windows?
Можливість встановлювати тунелі IPSec VPN реалізована в Мікропрограми NDMS, починаючи з версії V2.06. На момент написання статті чинна можливість реалізована для Keenetic Giga III, Keenetic Ultra II, Keenetic II, Keenetic Lite III, Keenetic 4G III, Keenetic Start II, Keenetic Air і Keenetic Extra II.
Завдяки наявності цієї функції існує можливість, відповідно до найсуворіших вимог до безпеки, встановити з будь-якої точки Інтернету захищене підключення до віддаленої офісної або домашньої мережі.
Припустимо, що у Вас встановлено зазначений вище роутер з доступом в Інтернет (з публічною, "білою" IP-адресою) і є необхідність організувати доступ до локальної мережі з віддаленого комп'ютера під керуванням операційної системи Windows.
Для вирішення цього завдання необхідно виконати наступні дії:
1. В інтернет-центрі повинен бути встановлений компонент прошивки IPsec VPN.
Завдяки наявності цієї функції існує можливість, відповідно до найсуворіших вимог до безпеки, встановити з будь-якої точки Інтернету захищене підключення до віддаленої офісної або домашньої мережі.
Припустимо, що у Вас встановлено зазначений вище роутер з доступом в Інтернет (з публічною, "білою" IP-адресою) і є необхідність організувати доступ до локальної мережі з віддаленого комп'ютера під керуванням операційної системи Windows.
Для вирішення цього завдання необхідно виконати наступні дії:
1. В інтернет-центрі повинен бути встановлений компонент прошивки IPsec VPN.
Спочатку необхідно перевірити, що в інтернет-центрі встановлено спеціальний компонент прошивки IPsec VPN (клієнт / сервер IPSec VPN для створення захищених IP-з'єднань). Перевірити наявність компонента можна через вбудований веб-конфігуратор пристрою в меню Система> Оновлення. Компонент IPsec VPN знаходиться в розділі Applications (додатки). Переконайтеся, що у цього компонента встановлена галочка.
Якщо галочка відсутня, встановіть її і натисніть кнопку Оновити, яка знаходиться в нижній частині вікна. Запускається процес оновлення компонентів прошивки в пристрої. Додаткову інформацію щодо оновлення компонентів, Ви можете знайти в статті: «Встановлення компонентів та оновлення операційної системи інтернет-центра через веб-інтерфейс».
2. Після встановлення необхідного компонента в меню інтернет-центру Безпека з'явиться вкладка IPsec VPN.
3. У розділі IPsec-підключення натисніть кнопку Додати. Після чого відкриється вікно з налаштуваннями IPSec-тунеля.
4. Вікно налаштувань ділиться на три сегменти - основні налаштування, Фаза 1 і Фаза 2.
В основних налаштуваннях слід встановити:
В основних налаштуваннях слід встановити:
- Галочку в полі Чекати на підключення від віддаленого піру (так як ініціатором підключення в нашому прикладі буде комп'ютер з ОС Windows);
- Ім'я (будь на вибір, в нашому випадку зазначимо Windows);
- Галочку Вчепитися (чинне налаштування буде підтримувати роботу тунелю в простої, тобто коли немає передачі трафіку);
- Галочку Виявлення непрацюючого піра (DPD) і значення за замовчуванням. Ця функція перевіряє працездатність тунелю, посилаючи Hello-пакети, на які віддалена сторона повинна надіслати відповідь.
5. Увага! Налаштування розділів Фаза 1 і Фаза 2 повинні обов'язково збігатися з відповідними налаштуваннями фаз на віддаленій стороні тунелю, тобто на пристрої з Windows.
В Фаза 1 встановіть наступні значення:
- Ідентифікатор локального шлюзу (в нашому прикладі це адреса 192.168.222.1 - локальну адресу Keenetic);
- Ключ PSK (в нашому прикладі використовується ключ 12345678);
- Інші налаштування залиште без зміни.
6. Налаштування Фази 2 будуть виглядати наступним чином:
- IP-адреса локальної мережі: 192.168.222.0 255.255.255.0 (локальна підмережа за інтернет-центром Keenetic);
- IP-адреса віддаленої мережі: 192.168.221.33 255.255.255.255 (IP-адреса пристрою з Windows у віддаленій мережі; якщо пристрій виходить в Інтернет безпосередньо без роутера, потрібно вказувати IP-адресу, отриману від провайдера);
- Решта значення залиште за умовчанням.
Натисніть кнопку Застосувати для збереження налаштувань.
7. У меню Безпека> IPsec VPN поставте галочку в полі Увімкнути і натисніть кнопку Застосувати.
7. У меню Безпека> IPsec VPN поставте галочку в полі Увімкнути і натисніть кнопку Застосувати.
8. Після зазначених вище налаштувань можна приступати до налаштування IPSec-підключення в Windows.
У нашому прикладі ми будемо використовувати безкоштовне ПЗ Shrew VPN Client, скачати його можна на сайті виробника: https://www.shrew.net/download.
Встановіть VPN-клієнт і перевірте, що встановився спеціальний драйвер для роботи Shrew (у Властивостях мережевого підключення повинна стояти галочка навпроти Shrew Soft Lightweight Filter).
У нашому прикладі ми будемо використовувати безкоштовне ПЗ Shrew VPN Client, скачати його можна на сайті виробника: https://www.shrew.net/download.
Встановіть VPN-клієнт і перевірте, що встановився спеціальний драйвер для роботи Shrew (у Властивостях мережевого підключення повинна стояти галочка навпроти Shrew Soft Lightweight Filter).
Запустіть VPN Access Manager.
9. Після запуску відкриється вікно програми.
10. Натисніть кнопку Add для створення VPN-підключення.
11. На вкладці General треба вказати налаштування:
- Host Name or IP address — зовнішня / публічна IP-адреса Keenetic (у нашому випадку 46.72.181.99);
- Auto Configuration: disabled;
- Adapter Mode: Use an existing adapter and current address.
12. На вкладці Client залиште значення за замовчуванням.
13. На вкладці Name Resolution зніміть галочки Enable DNS та Enable WINS.
14. На вкладці Authentication вкажіть наступні параметри:
- Authentification Method: Mutual PSK;
- Local Identifity > Identification Type: IP Address - Address String: 192.168.221.33 та зніміть галочку Use a discovered local host address;
- Remote Identifity > Identification Type: IP Address - Address String: 192.168.222.1 та зніміть галочку Use a discovered local host address;
- Credentials > Pre Shared Key: 12345678.
15. На вкладці Phase1 вкажіть:
- Exchange Type: main;
- DH Exchange: group 1;
- Cipher Algorithm: des;
- Hash Algorithm: md5;
- Key Life Time limit: 3600.
16. На вкладці Phase 2 вкажіть:
- Transform Algorithm: esp-des;
- HMAC Algorithm: md5.
Увага! Налаштування фаз 1 і 2 повинні збігатися з аналогічними параметрами, встановленими на пристрої, з яким буде встановлюватися VPN-тунель.
17. На вкладці Policy зніміть галочку Obtain Topology Automatically or Tunnel All, натисніть Add і вкажіть локальну підмережу за Keenetic.
Натисніть OK і Save для збереження налаштувань.
18.У списку підключень з'явиться створене VPN-з'єднання.
19. Двічі клацніть по ярлику VPN-підключення та натисніть у вікні Connect для запуску VPN-з'єднання.
У підсумку Ви повинні побачити останній запис: tunnel enabled (чинне повідомлення означає, що успішно встановлена фаза 1 тунелю).
У підсумку Ви повинні побачити останній запис: tunnel enabled (чинне повідомлення означає, що успішно встановлена фаза 1 тунелю).
20. Для завершення встановення VPN-тунелю потрібно з комп'ютера (з командного рядка Windows) запустити трафік в напрямку віддаленої підмережі, що знаходиться за роутером Keenetic.
Наприклад, зробити це можна командою ping (в нашому прикладі виконується пінг IP-адреси роутера 192.168.222.1).
Наприклад, зробити це можна командою ping (в нашому прикладі виконується пінг IP-адреси роутера 192.168.222.1).
21. Після цього в веб-конфігураторі інтернет-центру Keenetic в меню Системний монітор на вкладинці IPsec VPN з'єднання також повинно бути активним (зелений статус).
22. З боку локальної мережі за інтернет-центром Keenetic також повинен бути доступ до комп'ютера з ОС Windows по його локальній адресі (в нашому прикладі це 192.168.221.33).
23. Для відімкнення тунелю в VPN Access Manager натисніть кнопку Disconnect.
Примітка.
На комп'ютері з ОС Linux також можна скористатися безкоштовним програмним VPN-клієнтом Shrew Soft VPN Client. Завантажити програму можна з сайту розробника https://www.shrew.net/download бо знайти її і встановити через Центр додатків операційної системи.
Shrew Soft VPN Client успішно працює в операційних системах FreeBSD, NetBSD, Fedora Core і в різних дистрибутивах Ubuntu Linux (Mint, Xubuntu та ін.) На платформах x86 і amd64.
На комп'ютері з ОС Linux також можна скористатися безкоштовним програмним VPN-клієнтом Shrew Soft VPN Client. Завантажити програму можна з сайту розробника https://www.shrew.net/download бо знайти її і встановити через Центр додатків операційної системи.
Shrew Soft VPN Client успішно працює в операційних системах FreeBSD, NetBSD, Fedora Core і в різних дистрибутивах Ubuntu Linux (Mint, Xubuntu та ін.) На платформах x86 і amd64.
Приклад налаштування тунелю IPSec VPN між інтернет-центром Keenetic і комп'ютером з операційною системою Mac OS: «Наналаштування тунелю IPSec VPN між інтернет-центром Keenetic і комп'ютером з ОС Mac OS».
KB-4881