VPN-сервер L2TP/IPSec
У маршрутизаторах Keenetic можна налаштувати VPN-сервер L2TP over IPSec (L2TP/IPSec) для доступу до ресурсів домашньої мережі.
У такому тунелі можна абсолютно не турбуватися про конфіденційність потоків IP-телефонії або відеоспостереження. L2TP/IPSec забезпечує безпечний доступ до домашньої мережі зі смартфона, планшета або комп'ютера. Крім того, багато моделей Keenetic пропонують апаратне прискорення передачі даних через L2TP over IPsec.
Важливо
Пристрій Keenetic, на якому розміщено VPN-сервер IPsec, має бути підключений до Інтернету з глобальною (публічною) IP-адресою, а при використанні доменного імені KeenDNS він має бути налаштований у режимі «Прямий доступ». Якщо будь-яка з цих умов не виконується, підключитися до такого сервера з Інтернету буде неможливо.
Щоб налаштувати сервер, необхідно встановити системний компонент 'VPN-сервер L2TP/IPsec'. Ви можете зробити це на сторінці 'Параметри системи' в розділі 'KeeneticOS Оновлення та параметри компонентів', натиснувши 'Змінити набір компонентів'.
Потім перейдіть на сторінку 'Додатки'. Тут ви побачите панель 'Сервер L2TP/IPsec VPN'. Натисніть на посилання 'Сервер L2TP/IPsecVPN'.
У вікні 'Сервер L2TP/IPsec VPN', що з'явиться, вкажіть ключ безпеки в полі 'Загальний ключ IPsec'. Цей ключ безпеки потрібно буде вказати на клієнті під час налаштування VPN-з'єднання.
Важливо
Цей ключ також використовується VPN-сервером IPsec (Virtual IP).
Параметр 'Паралельний вхід' надає можливість встановлювати кілька одночасних підключень до сервера, використовуючи ті самі облікові дані. Це не рекомендований сценарій через нижчий рівень безпеки та недоліки в моніторингу. Однак під час початкового налаштування або у випадках, коли ви хочете дозволити встановлення тунелю з кількох пристроїв одного користувача, ви можете залишити цю опцію увімкненою.
Важливо
Якщо опцію 'Паралельний вхід' вимкнено, ви можете призначити статичну IP-адресу клієнту L2TP/IPsec. Це можна зробити на сторінці налаштування Сервера L2TP/IPsec VPN у розділі 'Користувачі'.
За замовчуванням у конфігурації сервера ввімкнена опція 'NAT для клієнтів'. Цей параметр використовується, щоб дозволити клієнтам VPN-сервера доступ до Інтернету. У вбудованому клієнті Windows ця функція ввімкнена за замовчуванням, і коли тунель встановлено, запити в Інтернет надсилатимуться через нього.
Важливо
Якщо ви вимкнете функцію 'NAT для клієнтів' на сервері, але не переналаштуєте політику маршрутизації за замовчуванням у клієнті Windows, доступ до Інтернету може не працювати після встановлення тунелю на комп’ютері.
У налаштуваннях сервера в полі 'Доступ до мережі' за потреби можна вказати сегмент, відмінний від Домашньої мережі. У цьому випадку мережа вказаного сегмента буде доступна через тунель.
Загальна кількість можливих одночасних підключень залежить від налаштування розміру пулу IP-адрес. Як і у випадку з початковою IP-адресою, не рекомендується змінювати цей параметр без необхідності.
Важливо
Якщо 'Початкова IP-адреса' потрапляє в діапазон мережі сегмента, зазначеного в полі 'Доступ до мережі', функція ARP-Proxy вмикається, щоб дозволити доступ до такого VPN-клієнта із зазначеного локального сегмента.
Наприклад, якщо вибрано домашню мережу 192.168.1.0 з маскою мережі 255.255.255.0 і налаштуванням DHCP-сервера 'Початкова адреса пулу': 192.168.1.33, 'Пул IP-адрес': 120, ви можете встановити 'Початкову IP-адресу' VPN-сервера на 192.168.1.154, яка потрапляє в діапазон 192.168.1.1 ~ 192.168.1.254, і мати доступ з домашньої мережі до VPN-клієнтів так само, як і доступ до локальних пристроїв.
У розділі 'Користувачі' виберіть користувачів, яким ви хочете дозволити доступ до сервера L2TP/IPsec та локальної мережі. Тут ви також можете додати нового користувача, вказавши ім'я користувача та пароль.
Після налаштування сервера, переведіть перемикач у положення 'Увімкнено'.
Натиснувши на посилання 'Статистика з'єднань', ви можете побачити статус з'єднання та додаткову інформацію про активні сеанси.
Якщо ви хочете надати клієнтам доступ не тільки до локальної мережі VPN-сервера, але і в зворотному напрямку, тобто з мережі VPN-сервера до віддаленої мережі VPN-клієнта, щоб забезпечити обмін даними між двома сторонами VPN-тунелю, зверніться до інструкції Маршрутизація мереж через VPN.
Примітка
Щоб підключитися до сервера як клієнт, ви можете використовувати:
Маршрутизатор Keenetic — Клієнт L2TP/IPsec (L2TP over IPsec);
Комп'ютер з ОС Windows 10 — Підключення до вбудованого VPN-сервера L2TP/IPSec з пристрою на iOS та Windows;
Мобільний пристрій на базі Android — Підключення до VPN-сервера L2TP/IPSec з Android;
Мобільний пристрій на базі iOS — Підключення до VPN-сервера L2TP/IPSec з iOS.