Skip to main content

Інструкція користувача

VPN-сервер IKEv2/IPsec

KeeneticOS має функцію VPN-сервера IKEv2 на основі SSL-сертифіката.

IKEv2 (Internet Key Exchange) — це протокол обміну ключами версії 2, що входить до набору протоколів IPSec. Він забезпечує високу безпеку даних, швидкість і стабільність.

VPN-сервер IKEv2/IPsec дозволяє автентифікованим користувачам безпечно підключатися до ресурсів домашньої мережі через Інтернет. Клієнти для підключення до сервера IKEv2 доступні в операційних системах Windows, macOS та iOS, а також у популярних дистрибутивах Linux та на пристроях Blackberry.

Протокол тунелювання IKEv2 є частиною протоколу IPSec, передає дані через порти UDP 500 та/або 4500 і захищений надійними алгоритмами шифрування 3DES/AES. Завдяки своїй безпеці, стабільності та швидкості IKEv2 наразі є одним з найкращих VPN-рішень для мобільних користувачів.

Важливо

Маршрутизатор Keenetic, на якому буде запущено VPN-сервер IKEv2/IPsec, має бути підключений до Інтернету з публічною IP-адресою, а при використанні доменного імені KeenDNS його необхідно налаштувати в режимі Прямий доступ. Якщо будь-яка з цих умов не виконується, підключення до такого сервера з Інтернету буде неможливим.

Сервер IKEv2 в поточній реалізації дозволяє доступ лише з боку клієнта до домашньої мережі сервера. Доступ із мережі сервера до домашньої мережі клієнта шляхом додавання автоматичного маршруту через IP-адресу, видану клієнту, як у випадку з іншими VPN-серверами, неможливий.

VPN-сервер IKEv2/IPsec використовує тип підключення IKEv2 EAP (логін/пароль), використовуючи ім'я користувача та пароль як тип даних для входу. Під час налаштування підключення на клієнті вкажіть тип автентифікації Користувач.

Щоб налаштувати безпечні підключення IKEv2/IPsec на вашому маршрутизаторі Keenetic, вам потрібно встановити системний компонент VPN-сервери IKEv1/IPsec та IKEv2/IPsec, VPN-клієнт L2TP/IPsec, IPsec VPN \"точка-точка\". Ви можете зробити це у вебінтерфейсі на сторінці Параметри системи в розділі KeeneticOS Оновлення та параметри компонентів, натиснувши Змінити набір компонентів.

ikev2-server-01-en.png

Після цього перейдіть на сторінку Додатки. Тут ви побачите панель Сервер IKEv2/IPsec VPN.

ikev2-server-02-en.png

Для роботи сервера потрібно зареєструвати маршрутизатор у хмарному сервісі KeenDNS, отримавши ім'я з домену *.keenetic.link, *.keenetic.pro або *.keenetic.name, що підтримує SSL-сертифікат безпеки. В іншому випадку клієнт, що підключається до сервера, не зможе встановити довірене HTTP-з'єднання. Інформацію про те, як зареєструвати ім'я KeenDNS, ви знайдете в статті про сервіс KeenDNS.

На сторінці Додатки натисніть на посилання Сервер IKEv2/IPsec VPN.

ikev2-server-04-en.png

Налаштуйте сервер.

ikev2-server-05-en.png

Опція Паралельний вхід надає можливість встановлення кількох одночасних підключень до сервера з використанням одних і тих самих облікових даних. Це не рекомендований сценарій через зниження безпеки та незручний моніторинг. Однак, опцію можна залишити ввімкненою для початкового налаштування або для випадків, коли ви хочете дозволити встановлення тунелю з кількох пристроїв одного користувача.

З одним логіном і паролем можна підключити кілька клієнтів.

Важливо

Коли опція Паралельний вхід вимкнена, можна призначити постійну IP-адресу клієнту IKEv2. Це можна зробити на сторінці налаштувань Сервер IKEv2/IPsec VPN у розділі Користувачі.

У налаштуваннях сервера за замовчуванням увімкнено опцію NAT для клієнтів. Цей параметр використовується для доступу клієнтів VPN-сервера до Інтернету.

Загальна кількість можливих одночасних підключень встановлюється параметром розміру пулу IP-адрес. Як і початкову IP-адресу, цей параметр не рекомендується змінювати без необхідності.

Важливо

Зазначена підмережа IP-адрес не повинна збігатися або перетинатися з IP-адресами інших інтерфейсів маршрутизатора Keenetic, оскільки це може спричинити конфлікт адрес.

У налаштуваннях VPN-сервера IKEv2/IPsec є поле DNS-сервер. Це пов'язано з особливостями роботи сервера. Зазвичай у VPN-серверах під час встановлення з'єднання використовуються дві IP-адреси: клієнта та сервера (маршрутизатора), а адреса маршрутизатора використовується клієнтами як DNS-сервер. А VPN-сервер IKEv2 не має адреси маршрутизатора, тому ви повинні вказати адресу DNS-сервера. Якщо її не вказати, клієнт не зможе розпізнати жодне ім'я. DNS-сервер за замовчуванням78.47.125.180 (це IP-адреса, яку ми придбали для імені my.keenetic.net). Запити на цю адресу перехоплюються маршрутизатором, і результат такий самий, якби в цьому полі була вказана адреса маршрутизатора в домашній мережі (192.168.1.1), за винятком того, що останню може змінити користувач, і тоді її потрібно буде змінити в налаштуваннях VPN-сервера, а 78.47.125.180 перехоплюється завжди. Отримавши 78.47.125.180, клієнт передаватиме всі DNS-запити до Keenetic, а він уже передаватиме їх на свої DNS-сервери, отримані від провайдера або прописані вручну.

Важливо

При підключенні з Keenetic (VPN-клієнт IKEv2) до Keenetic (Сервер IKEv2/IPsec VPN), ви повинні вказати IP-адресу домашньої мережі як DNS-сервер на VPN-сервері. Наприклад:

ikev2-server-06-en.png

У розділі Користувачі виберіть користувачів, яким ви хочете дозволити доступ до сервера IKEv2 та локальної мережі. Тут ви також можете додати нового користувача, вказавши ім'я та пароль.

Дозволи на доступ користувачів до серверів IKEv1/IPsec та IKEv2/IPsec є спільними.

Після налаштування сервера встановіть перемикач у положення Увімкнено.

ikev2-server-07-en.png

Ви можете переглянути статус підключення та додаткову інформацію про активні сеанси, натиснувши на посилання Статистика підключень.

ikev2-server-08-en.png

Ви також можете використовувати будь-який маршрутизатор Keenetic як клієнт, створивши підключення клієнта IKEv2.

Важливо

Ви також можете використовувати будь-який маршрутизатор KeeneticKeeneticOS версії 3.5 або вище) як клієнт, створивши з'єднання клієнтів IKEv1/IKEv2.

Також можна використовувати мобільні пристрої на базі Windows (вбудована підтримка підключень IKEv2 доступна починаючи з Windows 7), MacOS та iOS.

Для підключення до VPN-сервера як клієнта на вашому мобільному пристрої ми рекомендуємо використовувати популярний VPN-клієнт strongSwan. Додаткова інформація доступна тут: Підключення до сервера IKEv2 VPN з Android.

Важливо

Сервер IKEv2 у версії KeeneticOS 3.5 не передає клієнтам маршрут до домашньої мережі Keenetic, тому доступ до неї можливий лише шляхом встановлення шлюзу за замовчуванням у віддаленій мережі або ручного додавання маршруту на клієнті IKEv2. Починаючи з версії KeeneticOS 3.6, маршрут до домашньої мережі передається автоматично та додана команда для передачі маршрутів до інших мереж:

  • crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}

    де {address} {mask} — адреса та маска відповідної мережі.

У цьому розділі: