Сервер VPN L2TP/IPSec

У маршрутизаторах Keenetic можна налаштувати VPN-сервер L2TP через IPSec (L2TP/IPSec) для доступу до ресурсів домашньої мережі.

У такому тунелі можна абсолютно не турбуватися про конфіденційність потоків IP-телефонії або відеоспостереження. L2TP/IPSec забезпечує повністю безпечний доступ до домашньої мережі зі смартфона, планшета або комп’ютера з мінімальною конфігурацією: Android, iOS і Windows мають зручний вбудований клієнт для цього типу VPN. Крім того, багато моделей Keenetic пропонують апаратне прискорення передачі даних через L2TP через IPsec.

NOTE: Важливо! Пристрій Keenetic, на якому розміщено сервер IPsec VPN, має бути підключено до Інтернету за допомогою публічної ("білої") IP-адреси, а якщо використовується доменне ім'я  KeenDNS, його необхідно налаштувати в режимі прямого доступу. Якщо будь-яка з цих умов не виконується, підключитися до такого сервера з Інтернету буде неможливо.

Для налаштування сервера необхідно встановити системний компонент «L2TP/IPsec VPN сервер». Це можна зробити на сторінці «Загальні налаштування системи» в розділі «Параметри компонентів системи», натиснувши «Змінити набір компонентів».

mceclip0.png

Потім перейдіть на сторінку «Додатки». Тут ви побачите панель «L2TP/IPsec VPN server». Натисніть посилання "VPN-сервер L2TP/IPsec ".

mceclip1.png

У вікні «VPN-сервер L2TP/IPsec», що з’явиться, вкажіть ключ безпеки в полі «Shared IPsec key». Цей ключ безпеки потрібно буде вказати на клієнті під час налаштування з’єднання VPN.

NOTE: Важливо! Цей ключ також використовується сервером IPsec VPN (віртуальний IP).

mceclip2.png

Параметр "Паралельний вхід" надає можливість встановлення кількох одночасних з’єднань із сервером, використовуючи ті самі облікові дані. Це не рекомендований сценарій через нижчий рівень безпеки та недоліки моніторингу. Однак під час початкової конфігурації або у випадках, коли ви хочете дозволити встановлення тунелю з кількох пристроїв одного користувача, ви можете залишити цю опцію увімкненою.

NOTE: Важливо! Якщо параметр "Паралельний вхід" вимкнено, ви можете призначити статичну IP-адресу клієнту L2TP/IPsec. Це можна зробити на сторінці конфігурації сервера L2TP/IPsec VPN у розділі «Користувачі».

За замовчуванням у конфігурації сервера увімкнено опцію «NAT для клієнтів». Цей параметр використовується, щоб дозволити клієнтам сервера VPN отримувати доступ до Інтернету. У вбудованому Windows-клієнті ця функція увімкнена за замовчуванням, і при встановленні тунелю запити в Інтернет будуть надсилатися через нього.

NOTE: Важливо! Якщо вимкнути функцію «NAT для клієнтів» на сервері, але не змінити політику маршрутизації за замовчуванням у клієнті Windows, доступ до Інтернету може не працювати після встановлення тунелю на комп’ютері.

У налаштуваннях сервера в полі «Доступ до мережі» ви також можете вказати сегмент, відмінний від сегмента "Домашня мережа", якщо це необхідно. У цьому випадку мережа зазначеного сегмента буде доступна через тунель.

Загальна кількість можливих одночасних підключень залежить від параметра розміру пулу IP-адрес. Як і у випадку з початковою IP-адресою, не рекомендується змінювати цей параметр без потреби.

NOTE: Важливо! Якщо «Початкова IP-адреса» потрапляє в мережевий діапазон сегмента, зазначеного в полі «Доступ до мережі», увімкнеться функція ARP-Proxy, щоб дозволити доступ до такого клієнта VPN із зазначеного локального сегмента. Наприклад, якщо вибрано домашню мережу 192.168.1.0 з маскою мережі 255.255.255.0 і налаштуванням DHCP-сервера «Початкова адреса пулу»: 192.168.1.33, «Пул IP-адрес»: 120, ви можете встановити «Початкова IP-адреса». адресу» сервера VPN до 192.168.1.154, який потрапляє в діапазон 192.168.1.1-192.168.1.254, і мати доступ із домашньої мережі до клієнтів VPN так само, як і доступ до локальних пристроїв.

У розділі «Користувачі» виберіть користувачів, яким потрібно надати доступ до сервера L2TP/IPsec і локальної мережі. Тут також можна додати нового користувача, вказавши ім’я користувача та пароль.

Після налаштування сервера встановіть перемикач у положення «Увімкнено».

mceclip3.png

Натиснувши на посилання «Статистика підключень», ви можете побачити статус підключення та додаткову інформацію про активні сесії.

mceclip4.png

Якщо ви хочете надати клієнтам доступ не тільки до локальної мережі VPN-сервера, а й у зворотному напрямку, тобто від мережі VPN-сервера до віддаленої мережі VPN-клієнта, забезпечити обмін даними між двома сторонами. VPN-тунелю дивись інструкцію Routing networks through VPN.

TIP: Примітка
Щоб підключитися до сервера як клієнт, ви можете використовувати:
Маршрутизатор Keenetic - Клієнт L2TP/IPsec (L2TP over IPsec);
Windows 10 комп'ютер - Connecting to the built-in L2TP/IPSec VPN server from a device on iOS and Windows;
Windows 7 компьютер - Example of L2TP/IPsec connection in Windows 7;
Мобільний пристрій Android - Connecting to an L2TP/IPSec VPN server from Android;
Мобільний прострій iOS - Connecting to an L2TP/IPSec VPN server from iOS.

Чи була ця стаття корисною?

41 з 52 вважають статтю корисною

Маєте ще запитання? Надіслати запит