Подключение к VPN-серверу L2TP/IPSec из Windows
Важно
Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный "белый" IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.
Встроенный VPN-сервер L2TP/IPSec можно настроить по инструкции "VPN-сервер L2TP/IPsec".
Рассмотрим пример создания VPN-подключения L2TP/IPSec на компьютере с ОС Windows 10.
Нажмите правой кнопкой мыши на значок "Пуск", выберите раздел "Сетевые подключения" и на появившемся экране VPN.
Выберите пункт "Добавить VPN-подключение".
В настройках подключения в качестве поставщика услуг VPN выберите "Windows (встроенные)". Задайте имя подключения, например "Домашняя сеть
". Введите доменное имя или IP-адрес Keenetic, в нашем примере myhomerouter.keenetic.link
. Выберите тип VPN — "L2TP/IPSec с предварительным ключом". Введите общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic, потом имя пользователя (которому разрешено подключение по VPN) и его пароль. Нажмите кнопку "Сохранить".
Для установления соединения нажмите кнопку "Подключиться".
Соединение установлено.
Подсказка
Если подключение с сервером не устанавливается и завершается ошибкой, попробуйте в свойствах соединения разрешить подключение только с протоколом MS-CHAP v2
:
Примечание
Возможность подключиться из Интернет к имеющему частный "серый" IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с "белым" IP настроен проброс портов на "серый" адрес Keenetic'а. Для L2TP/IPSec требуется проброс UDP 500
и UDP 4500
. Другой вариант - проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.
Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера "белый" адрес и выдавать Keenetic'у "серый". Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.
Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним "белым" IP-адресом такого маршрутизатора. Он пробросит его на "серый" адрес Keenetic'а.
Правда в случае L2TP/IPSec есть исключение и из этого правила. Такое подключение легко установится со смартфона или планшета, но не установится с Windows-клиента.
Это известное ограничение Windows. В журнале Keenetic в таком случае попытка соединения заканчивается ошибками:
ipsec11[IKE] received retransmit of request with ID 0, retransmitting response ipsec16[IKE] received retransmit of request with ID 0, retransmitting response ipsec15[IKE] received retransmit of request with ID 0, retransmitting response ipsec15[JOB] deleting half open IKE_SA with 193.0.174.212 after timeout
Да, L2TP/IPSec из Windows можно установить только если сам Keenetic имеет "белый" адрес. Проброс не поможет. Существуют однако другие, не столь привередливые виды VPN: PPTP, SSTP или OpenVPN.
Их можно использовать для подключения Windows к серверу за NAT-ом после проброса. Для PPTP нужно пробросить TCP порт 1723
и GRE-протокол, для SSTP — TCP 443
, а для OpenVPN UDP порт 1194
по умолчанию. Впрочем в последнем случае как протокол так и порт могут быть изменены по вашему желанию в конфигурации OpenVPN.