VPN-сервер IPsec (Virtual IP)
В интернет-центрах Keenetic есть возможность подключения к виртуальному серверу IPsec Virtual IP, используя аутентификацию Xauth PSK, для доступа к ресурсам домашней сети. IPsec-подключение обеспечивает абсолютно защищенный доступ к домашней сети со смартфона или планшета: в Android и iOS для этого типа VPN есть удобные встроенные клиенты.
Важно
Интернет-центр Keenetic, на котором будет работать VPN-сервер IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.
Перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер IPsec". Нажмите по ссылке "VPN-сервер IPsec".
В появившемся окне "VPN-сервер IPsec (Virtual IP)" в поле "Общий ключ IPsec" укажите ключ безопасности. Этот ключ безопасности нужно будет указать на клиенте, при настройке VPN-подключения.
Важно
Этот ключ также используется VPN-сервером L2TP/IPsec.
В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет.
Примечание
В текущей реализации система не выполняет проверку на предмет конфликта между адресами в серверах и адресами в локальных сегментах и на внешних интерфейсах. В результате возможны следующие ситуации:
Если адрес сервера совпадает с адресацией сегмента, для которого автоматический NAT включен, то отключение опции "NAT для клиентов" в настройке VPN-сервера не выключит NAT для адресов используемых этим сервером, т.е. отключение "не сработает".
Если адрес сервера совпадает с адресацией на WAN-интерфейсе, то тогда наоборот NAT не будет работать даже если опция "NAT для клиентов" включена.
Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.
Важно
Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.
В настройках виртуального VPN-сервера IPsec присутствует поле "DNS-сервер". Это связано с особенностью работы виртуального сервера. Во всех других VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на виртуальном VPN-сервере IPsec адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя.
В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180 (это IP, который приобретен нами для имени my.keenetic.net). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180 перехватывается всегда. Получив 78.47.125.180, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.
В разделе "Пользователи" выберите учетные записи, которым хотите разрешить доступ к VPN-серверу. Здесь же вы можете добавить нового пользователя, указав имя и пароль.
После настройки сервера переведите переключатель в состояние Включено.
Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.
Примечание
При настройке подключения к VPN-серверу на Android-устройствах выбирайте тип VPN-подключения "IPsec Xauth PSK", а на iOS-устройствах — "IPsec".