для работы с VPNKI по протоколу L2TP c шифрованием IPsec
Для подключения беспроводного маршрутизатора Zyxel Keenetic по протоколу L2TP/IPsec проверьте установленную прошивку на вашем устройстве.
1. Войдите в пункт меню настроек системы и нажмите на вкладку "Обновление"
2. Далее нажмите кнопку показать компоненты
4. Выберите IPsec VPN в пункте Applications
5. Далее нажмите кнопку Установить. Начнется установка новой прошивки. Дождитесь окончания процесса. Устройство будет перезагружено.
6. После успешной установки зайдите в пункт меню настроек Интернет и выберите вкладку PPPOE/VPN и нажмите кнопку Добавить соединение.
7. В окне настройка соединения заполните:
Включить: Поставить галочку
Использовать для выхода в Интернет: Снимите галочку
Описание: VPNKI
Подключаться через: Выберите интерфейс, через который вы подключены к Интернет
Имя пользователя: Имя пользователя, которое вы получили для устройства в системе VPNKI (например UserXX)
Пароль: Введите ваш пароль
Секретный ключ: vpnki
Метод проверки пользователя: CHAP
Адрес сервера: msk.vpnki.ru
Настройка параметров IP: Автоматически
Автоподстройка TCP-MSS: Поставьте галочку
Нажмите кнопку Применить
8. Выберите вкладку Подключения и удостоверьтесь в корректном подключении туннеля VPNKI (Галочка напротив должна быть серая)
9. Далее необходимо проверить, что маршруты к сети 172.16.0.0/16 успешно поступили на вам Zyxel. Мы ведь ставили галочку про "автоматическую настройку параметров IP". Однако. Мы часто сталкивались с тем, что маршруты НЕ поступают на Zyxel.
Проверьте наличие маршрута 172.16.0.0/16 в таблице маршрутов Zyxel Keenetic.
Если там присутствует токль маршрут 172.16.0.0/32, а 172.16.0.0/16 отсутствует, то в этом случае нужно вручную добавить маршрут до VPNKI — выбеите вкладку Прочее и нажмите кнопку Добавить маршрут
Также вы можете добавить маршут к вашей удаленной сети 192.168.x.x/x
10. Заполните поля:
Тип маршрута: Маршрут до сети
Адрес сети назначения: 172.16.0.0
Маска подсети: 255.255.0.0
Добавлять автоматически: поставте галочку
Адрес шлюза: 172.16.0.1
Интерфейс VPNKI (L2TP0)
11. Нажмите кнопку применить
ВАЖНО! В целях диагностики и упрощения поиска неисправностей рекомендуем убедиться, что вашему Keenetic разрешено отвечать на запросы ping приходящие из туннельного интерфейса L2TP.
Ознакомьтесь, пожалуйста, с этим документом https://zyxel.ru/kb/2694/ и разрешите ответ на запросы ping (протокол ICMP).
Дополнение: в некоторых случаях, представленной настройки разрешения ICMP недостаточно. Если процедура из предыдущего абзаца не помогает, то убедитесь, что для интерфейса L2TP также разрешен трафик по протоколам TCP и UDP.
После успешного установления соединения между вашим маршрутизатором и сервером vpnki вы можете проверить связь при помощи утилит на странице "Инструменты" на вашей личной странице.
PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP/IPsec через 24 часа после установления соединения. При правильной настройке соединения должны автоматически переустановиться.
Наша система будет работать с многими типами домашних и офисных маршрутизаторов. Более подробно смотрите в разделе по настройке оборудования, а начать настройку лучше с этого примера.
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "Клиент L2TP/IPsec (L2TP over IPsec)".
Возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec) доступна в интернет-центрах Keenetic, начиная с операционной системы NDMS v2.08.B0. Поддержка реализована для Keenetic Giga III, Ultra II, Omni II, Lite III, 4G III, Start II, Air, Extra II, Viva, Extra, LTE и Keenetic III.
В интернет-центре Keenetic необходимо произвести следующие настройки:
1. Зайдите в меню Интернет > PPPoE/VPN, нажмите Добавить соединение и в поле Тип (протокол) выберите значение L2TP/IPsec.
2. Укажите следующие параметры:
- Установите галочку в поле Включить;
- Если через данное подключение будет осуществляться выход в Интернет, а не только доступ к удаленной сети, то установите галочку в поле Использовать для выхода в Интернет;
- Если данное подключение должно работать в определенные дни и часы, воспользуйтесь настройкой Рабочее расписание. Подробнее о настройке расписаний можно прочитать в статье: «Настройка расписаний в интернет-центре»;
- В поле Описание нужно указать название подключения;
- В поле Подключаться через укажите внешний интерфейс или оставьте значение по умолчанию;
- В полях Имя пользователя и Пароль необходимо указать параметры учетной записи, которая настроена на сервере для подключения;
- В поле Секретный ключ необходимо указать Pre-Shared Key, указанный в настройках IPSec-соединения аппаратного шлюза;
- В поле Метод проверки подлинности укажите PAP;
- В поле Адрес сервера укажите внешний IP-адрес или доменное имя удаленного аппаратного шлюза.
3. После ввода необходимых параметров нажмите кнопку Применить и дождитесь подключения к серверу.
4. Если созданный интерфейс используется для выхода в Интернет и имеет наивысший приоритет, то весь трафик будет отправляться в туннель.
Если туннель используется для доступа к удаленной подсети, то в интернет-центре Keenetic необходимо создать статический маршрут в меню Интернет > Прочее > Добавить маршрут, указав адресацию удаленной подсети и интерфейс VPN-подключения.
5. После этого удаленная подсеть будет доступна из локальной сети интернет-центра Keenetic.
Пользователи, считающие этот материал полезным: 16 из 22
В интернет-центрах Keenetic есть возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec) для доступа к ресурсам домашней сети.
В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этого типа VPN есть удобный встроенный клиент. К тому же, во многих моделях Keenetic передача данных по L2TP over IPsec ускоряется аппаратно.
двойного инкапсулирования (создается IPsec-туннель, а данные ходят через L2TP)
двойного инкапсулирования (создается IPsec-туннель, а данные ходят через L2TP)
двойного инкапсулирования (создается IPsec-туннель, а данные ходят через L2TP)
Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с белым IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ". При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.
Для настройки сервера обязательно нужно установить компонент системы "L2TP/IPsec VPN-сервер". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".
После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер L2TP/IPsec". Нажмите по ссылке "VPN-сервер L2TP/IPsec".
В появившемся окне "VPN-сервер L2TP/IPsec" в поле "Общий ключ IPsec" укажите ключ безопасности.
NOTE: Важно! Этот ключ также используется VPN-сервером IPsec (Virtual IP).
Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.
NOTE: Важно! При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для L2TP/IPsec-клиента. Сделать это можно на странице настройки VPN-сервера L2TP/IPsec в разделе "Пользователи".
В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.
NOTE: Важно! Если отключить функцию "NAT для клиентов" на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет.
В настройках сервера в поле "Доступ к сети" также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.
Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.
NOTE: Важно! Если "Начальный IP-адрес" попадает в диапазон сети указанного в поле "Доступ к сети" сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле "Доступ к сети" выбрана домашняя сеть 192.168.1.0 с маской 255.255.255.0 и настройками DHCP-сервера: "Н ачальный адрес пула": 192.168.1.33, "Размер пула адресов": 120, вы можете задать "Начальный IP-адрес" VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.
В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к L2TP/IPsec-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.
После настройки сервера переведите переключатель в состояние Включено.
Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.
Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции "Маршрутизация сетей через VPN".
TIP: Примечание
Для подключения к серверу в качестве клиента можно использовать: