VPN-сервер IKEv2

Починаючи з версії KeeneticOS 3.5, реалізований IKEv2-сервер Virtual IP на основі сертифіката Let's Encrypt.

IKEv2 (Internet Key Exchange) — протокол обміну ключами версії 2, який входить до набору протоколів IPSec. Забезпечує високу безпеку даних, швидкість, стабільність роботи.

VPN-сервер IKEv2 дозволяє авторизованим користувачам безпечно підключатися до ресурсів вашої домашньої мережі через Інтернет. Клієнти для підключення до сервера IKEv2 доступні в операційних системах Windows, MacOS та iOS, а також у популярних дистрибутивах Linux та пристроях Blackberry. Для організації підключення в Android потрібно встановити додаткове ПЗ.

Протокол тунелювання IKEv2 є частиною протоколу IPSec з передачею даних через UDP-порти 500 та/або 4500 та із захистом даних надійними криптоалгоритмами 3DES/AES. Завдяки своїй безпеці, стабільності та швидкості роботи, IKEv2 в даний час є одним з найкращих рішень VPN для мобільних користувачів.

NOTE: Важливо! Інтернет-центр Keenetic, на якому працюватиме VPN-сервер IKEv2, має бути підключений до Інтернету з публічною IP-адресою, а при використанні доменного імені KeenDNS, воно має бути налаштоване в режимі "Прямий доступ", для якого також потрібна публічна IP-адреса. У разі недотримання будь-якої з цих умов підключення до такого сервера з Інтернету буде неможливим.

VPN-сервер IKEv2 використовує тип підключення IKEv2 EAP (Логін/Пароль), використовуючи ім'я користувача та пароль як тип даних для входу. Вказуйте тип автентифікації "Користувач" під час налаштування підключення на клієнта.

Для налаштування захищених підключень за протоколом IKEv2 в інтернет-центрі Keenetic потрібно встановити компонент системи IPsec VPN. Зробити це можна в веб-конфігураторі на сторінці "Загальні налаштування" , натиснувши "Змінити набір компонентів".

mceclip0.png

Після цього перейдіть на сторінку "Додатки". Тут ви побачите панель "VPN-сервер IKEv2".

mceclip1.png

Для роботи сервера потрібно зареєструвати інтернет-центр у службі хмарної KeenDNS, отримавши ім'я з домену keenetic.link, keenetic.pro або keenetic.name, що підтримують роботу з сертифікатом безпеки SSL. Інакше, клієнт, що підключається до сервера, не зможе встановити довірене https-з'єднання. Інформацію про те, як зареєструвати ім'я KeenDNS, ви знайдете в статті "Сервіс доменних імен KeenDNS".
Крім цього, потрібно дозволити доступ з Інтернету за протоколом HTTPS. Зробити це можна на сторінці "Користувачі". У розділі "Віддалений адміністрування" увімкніть доступ до веб-конфігуратора за протоколами "HTTP та HTTPS" або "Тільки HTTPS".

mceclip2.png

На сторінці "Додатки" натисніть на посилання "VPN-сервер IKEv2".

mceclip3.png

Виконайте налаштування серверу.

mceclip4.png

Параметр "Паралельний вхід" надає можливість встановлювати до сервера кілька одночасних підключень, використовуючи при цьому одні й ті самі облікові дані. Це не є рекомендованим сценарієм через зниження рівня безпеки та незручності при моніторингу. Однак, при початковому налаштуванні або для випадків, коли потрібно дозволити встановлення тунелю з кількох пристроїв одного користувача, опцію можна залишити увімкненою.
З одним логіном та паролем можна підключити кілька клієнтів.

NOTE: Важливо! При вимкненій опції "Паралельний вхід", з'являється можливість призначити постійну IP-адресу для IKEv2-клієнта. Зробити це можна на сторінці налаштування VPN-сервера IKEv2 у розділі "Користувачі".

У налаштуваннях сервера за замовчуванням увімкнено опцію "NAT для клієнтів". Це налаштування для доступу клієнтів VPN-сервера до Інтернету.

Загальна кількість можливих одночасних підключень визначається настроюванням розміру пулу IP-адрес. Як і початкова IP-адреса, це налаштування не рекомендується змінювати без необхідності.

NOTE: Важливо! Вказана підмережа IP-адрес не повинна збігатися або перетинатися з IP-адресами інших інтерфейсів інтернет-центру Keenetic, оскільки це може призвести до конфлікту адрес.

У налаштуваннях VPN-сервера IKEv2 є поле "DNS-сервер". Це пов'язано з особливістю роботи сервера. Зазвичай у VPN-серверах в рамках встановлення з'єднання використовуються дві IP-адреси: адреса клієнта та сервера (роутера), і адреса роутера використовується клієнтами як DNS-сервер. На VPN-сервері IKEv2 адреса роутера відсутня, тому необхідно вказати адресу DNS-сервера. Якщо його не вказати, клієнт не зможе дозволити жодне ім'я. Як DNS-сервер за промовчанням використовується адреса 78.47.125.180 (це IP, який придбано нами для імені my.keenetic.net). Запити на нього перехоплюються роутером і виходить так само, якби в цьому полі було прописано адресу роутера в домашній мережі (192.168.1.1), за винятком того, що останній може бути змінений користувачем, і тоді довелося б змінювати його і налаштуваннях VPN- сервера, а 78.47.125.180 перехоплюється завжди. Отримавши 78.47.125.180, клієнт передаватиме всі DNS-запити на Keenetic, а він уже передаватиме на свої DNS-сервера, отримані від провайдера або прописані вручну.

NOTE: Важливо! При підключенні з Keenetic (VPN-клієнт IKEv2) на Keenetic (VPN-сервер IKEv2), потрібно вказати на VPN-сервері IP-адресу домашньої мережі (Home-сегмента) як DNS-сервер. Наприклад:

mceclip5.png  

У розділі "Користувачі" виберіть користувачів, яким хочете дозволити доступ до IKEv2-сервера та локальної мережі. Тут же ви можете додати нового користувача, вказавши ім'я та пароль.

Дозволи доступу користувачів до серверів IPSec VPN (IKEv1 xAuth Virtual IP) та IKEv2 VPN загальні. Після налаштування сервера переведіть перемикач у стан Увімкнено.

mceclip6.png

Натиснувши на посилання "Статистика підключень", ви можете переглянути статус підключення та додаткову інформацію про активні сесії.

mceclip8.png

Для підключення до VPN-сервера як клієнта на мобільному пристрої рекомендуємо використовувати популярний VPN-клієнт strongSwan.

Як клієнт ви також можете використовувати будь-який інтернет-центр Keenetic (з версією ПЗ KeeneticOS 3.5 і вище), створивши з'єднання "Клієнт IKEv2", або комп'ютер з Windows (вбудована підтримка підключень IKEv2 з'явилася з Windows 7).

NOTE: Важливо!IKEv2-сервер у поточній реалізації дозволяє отримати лише доступ з боку клієнта до домашньої мережі сервера.Доступ із мережі сервера до домашньої мережі клієнта шляхом додавання автоматичного маршруту через видану клієнту IP-адресу, як у разі інших VPN-серверів, не можливий.

NOTE: Важливо!IKEv2-сервер у версії KeeneticOS 3.5 не передає клієнтам маршрут до домашньої мережі Keenetic, тому доступ до неї можливий лише при налаштуванні "Використовувати основний шлюз у віддаленій мережі" або ручному додаванні маршруту на клієнта IKEv2.Починаючи з версії KeeneticOS 3.6, маршрут у домашню мережу передається автоматично, а для передачі маршрутів в інші мережі додана команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
де {address} {mask} - адреса та маска відповідної мережі

NOTE: Важливо! На молодших моделях Keenetic Start (KN-1110), 4G (KN-1210), Lite (KN-1310), City (KN-1510) та Air (KN-1610) можуть виникнути труднощі із встановленням компонента мікропрограми IPsec VPN. При його встановленні автоматично також встановлюється залежний компонент "Клієнт IKE" і разом їх розмір становить близько 1.2 Мбайта, а на вказаних вище моделях використовується флеш-пам'ять (ПЗП) для зберігання компонентів операційної системи KeeneticOS об'ємом 8 Мбайт (це апаратне обмеження). Якщо на пристрої вже встановлено багато компонентів, то для вибраного IPSec VPN не вистачить місця у флеш-пам'яті роутера. Для встановлення на молодших моделях, ми рекомендуємо спочатку видалити компоненти мікропрограми, що не використовуються (тобто звільнити флеш-пам'ять на пристрої), а потім встановити компонент "IPsec VPN".

Наприклад, для Keenetic Start (KN-1110) набір компонентів може бути наступний: Мови - English, Українська, Базові компоненти - Майстер початкового налаштування, Інтерфейс Wi-Fi, Мережеві прискорювачі, Сервер DHCP, Мережеві функції - Клієнт PPPoE, Клієнт L2TP, IPsec VPN, Клієнт IKE, Утиліти та сервіси - Мобільний додаток «Keenetic», Агент хмарної служби Keenetic Cloud та KeenDNS.

 

Чи була ця стаття корисною?

80 з 107 вважають статтю корисною