При використанні різних VPN-з’єднань (L2TP/IPsec, PPTP, SSTP) найпоширенішим завданням є надання клієнтам віддаленого доступу до локальної мережі VPN-сервера. У цьому випадку, коли клієнт підключається до сервера VPN, трафік автоматично направляється в локальну мережу. Але іноді виникає завдання організувати доступ не тільки до локальної мережі VPN-сервера, але і в зворотному напрямку, тобто з мережі VPN-сервера в мережу віддаленого VPN-клієнта, щоб забезпечити обмін даними між двома сторонами VPN-тунелю.
Припустімо, що маршрутизатор Keenetic №1 підключено до Інтернету через провайдера, який надав публічну IP-адресу.
На цьому роутері увімкнений VPN сервер (L2TP/IPsec, PPTP, SSTP).
Маршрутизатор Keenetic#2 має доступ до Інтернету через провайдера, який надає приватну ("сіру") IP адресу.
NOTE: Важливо! Маршрутизатор Keenetic, на якому працює VPN-сервер L2TP/IPsec або PPTP, має бути підключено до Інтернету за допомогою публічної IP-адреси, а під час використання доменного імені KeenDNS, воно повинно бути налаштовано в режимі "Прямий". Якщо будь-яка з цих умов не виконується, підключення до такого сервера з Інтернету буде неможливим.
Що стосується SSTP-тунелю, то його основною перевагою є здатність працювати через хмару, тобто він дозволяє встановлювати з’єднання між клієнтом і сервером, навіть якщо по обидва боки тунелю є приватні IP-адреси.
Маршрутизатор Keenetic#2 автоматично встановлює підключення до VPN-сервера (Keenetic#1), що дозволяє користувачам його локальної мережі (Користувач#2) отримувати доступ як безпосередньо до Keenetic#1 (для підключення до USB-накопичувачів і принтерів), так і до локальних ресурсів — комп’ютерів, серверів NAS і так далі.
Після виконання наступних налаштувань такий же доступ стане можливим у зворотному напрямку, тобто до локальної мережі Keenetic#2 з локальної мережі Keenetic#1. Наприклад, користувач №1 може отримати доступ до файлів, розташованих у спільній папці користувача №2.
Налаштування Keenetic#1
Щоб клієнти локальної мережі VPN-сервера мали доступ до ресурсів локальної мережі за VPN-клієнтом, вам потрібно додати статичний маршрут із зазначенням розташування мережі клієнта. У нашому прикладі локальна мережа 192.168.2.0/255.255.255.0 буде доступна через IP-адресу, надану сервером VPN підключеному клієнту (у нашому випадку це буде клієнт з IP-адресою 172.16.1.2).
В меню «Маршрути» натисніть «Додати маршрут». У вікні «Параметри статичних маршрутів», що з’явиться, виберіть «Маршрут до мережі» в полі «Тип маршруту». У полі «Адреса мережі призначення» вкажіть віддалену підмережу, до якої потрібно організувати доступ і яка знаходиться на стороні клієнта VPN. У полі «IP-адреса шлюзу» введіть IP-адресу клієнта VPN, надану сервером VPN під час підключення. У налаштуваннях VPN-сервера вимкніть опцію «Паралельний вхід» і визначте постійну IP-адресу для клієнта VPN. Це можна зробити на сторінці налаштувань сервера VPN у розділі «Користувачі». Під час налаштування статичного маршруту слід увімкнути опцію «Додавати автоматично» та залишити «Будь-який» у полі «Інтерфейс».
NOTE: Важливо! Щойно ви додасте маршрут, він не запрацює одразу. Вам потрібно буде повторно підключити VPN-тунель. Роз’єднайте VPN-з’єднання, а потім активуйте його знову.
Налаштування Keenetic#2
На VPN-маршрутизаторі клієнта зверніть увагу на такі налаштування:
1. Під час налаштування VPN-з’єднання вам не потрібно вмикати опцію «NAT для клієнтів». Цей параметр використовується для доступу клієнтів сервера VPN до Інтернету. При підключенні до VPN-сервера клієнт автоматично отримає інформацію про локальну мережу, розташовану за сервером. Це позбавляє від необхідності налаштовувати статичну маршрутизацію.
2. Оскільки брандмауер за замовчуванням на клієнтському інтерфейсі VPN Keenetic#2 блокує всі вхідні підключення до локальної мережі (у нашому прикладі до мережі 192.168.2.x), для роботи потрібно відкрити порти/протоколи.
В меню «Міжмережевий екран» виберіть зі списку інтерфейс, на якому буде відстежуватися вхідний трафік (це VPN-з’єднання), і натисніть «Додати правило», щоб створити правила доступу для будь-яких протоколів (як правило, цього буде достатньо відкрити доступ через протоколи TCP/UDP/ICMP).
TIP: Примітка:
a. Якщо ви встановили VPN-з’єднання, бачите (можете пінгувати) віддалений маршрутизатор і не отримуєте жодних пінг-відповідей від комп’ютерів у віддаленій мережі, швидше за все, брандмауер Windows блокує трафік на комп’ютерах. Коли ви перевіряєте певну IP-адресу, переконайтеся, що ваш комп’ютер не блокує вхідні з’єднання (за умовчанням брандмауер Windows блокує запити ICMP). Спробуйте повторити пінг, відключивши блокування.
b. При використанні захищених VPN-тунелів можуть бути обмеження на швидкість обміну даними. Додаткове навантаження на пристрій, пов’язане з маршрутизацією, обробкою та шифруванням даних у VPN, може знизити швидкість передачі даних порівняно з пропускною здатністю каналу. Наприклад, сервер SSTP VPN працює через сервери Keenetic Cloud; його швидкість залежить від кількості клієнтів, які користуються хмарою, та їх активності.
в. Автоматичне визначення імен комп’ютерів і пристроїв у мережі Microsoft Windows через VPN-тунель не підтримується, оскільки мережі об’єднуються на рівні 3 моделі OSI за допомогою NAT (перетворення мережевих адрес) і маршрутизації. Обмеження, накладені цими факторами, перешкоджають службі Computer Browser, яка використовує типи передачі даних без маршрутизації, призначені для однорангових мереж. Тому доступ до віддалених мережевих пристроїв за їхніми мережевими іменами працювати не буде.
d. Ви можете об'єднати кілька домашніх мереж для доступу з кожної мережі до будь-якої іншої. До сервера VPN на одному маршрутизаторі можна встановити більше 10 одночасних з’єднань клієнтів. Максимальна кількість тунелів PPTP VPN: до 100 (для КН-1111, КН-1211, КН-1611, КН-1711); до 150 (для КН-2111) і до 200 (для КН-1010 і КН-1810). Немає обмежень для тунелів L2TP/IPsec VPN. д. SIP-телефонія, як і інші технології передачі даних, можуть працювати через встановлений VPN-тунель.