VPN-сервер IKEv2
Начиная с версии KeeneticOS 3.5
реализован IKEv2-сервер Virtual IP на основе сертификата Let's Encrypt.
IKEv2 (Internet Key Exchange) — протокол обмена ключами версии 2
, входящий в набор протоколов IPSec. Обеспечивает высокую безопасность данных, скорость, стабильность работы.
VPN-сервер IKEv2 позволяет авторизованным пользователям безопасно подключаться к ресурсам вашей домашней сети через Интернет. Клиенты для подключения к серверу IKEv2 доступны в операционных системах Windows, MacOS и iOS, а также в популярных дистрибутивах Linux и устройствах Blackberry. Для организации подключения в Android понадобится установить дополнительное ПО.
Протокол туннелирования IKEv2 является частью протокола IPSec с передачей данных через UDP-порты 500
и/или 4500
и с защитой данных надежными криптоалгоритмами 3DES/AES. Благодаря своей безопасности, стабильности и скорости работы, IKEv2 в настоящее время является одним из лучших решений VPN для мобильных пользователей.
Важно
Интернет-центр Keenetic, на котором будет работать VPN-сервер IKEv2, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.
VPN-сервер IKEv2 использует тип подключения IKEv2 EAP (Логин/Пароль), используя имя пользователя и пароль в качестве типа данных для входа. Указывайте тип аутентификации "Пользователь" при настройке подключения на клиенте.
Для настройки защищенных подключений по протоколу IKEv2 в интернет-центре Keenetic нужно установить компонент системы "IKEv1/IPsec и IKEv2/IPsec VPN-серверы, клиент L2TP/IPsec VPN, IPsec VPN сеть-сеть". Сделать это можно в веб-конфигураторе на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".
После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер IKEv2".
Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.link
, keenetic.pro
или keenetic.name
, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье "Сервис доменных имен KeenDNS".
Помимо этого, нужно разрешить доступ из Интернета по протоколу HTTPS. Сделать это можно на странице "Пользователи и доступ". В разделе "Удаленный доступ" включите доступ к веб-конфигуратору по протоколам "HTTP и HTTPS" или "Только HTTPS".
На странице "Приложения" нажмите по ссылке "VPN-сервер IKEv2".
Выполните настройку сервера.
Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.
C одним логином и паролем можно подключить несколько клиентов.
Важно
При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для IKEv2-клиента. Сделать это можно на странице настройки VPN-сервера IKEv2 в разделе "Пользователи".
В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет.
Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.
Важно
Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.
В настройках VPN-сервера IKEv2 присутствует поле "DNS-сервер". Это связано с особенностью работы сервера. Обычно в VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на VPN-сервере IKEv2 адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180
(это IP, который приобретен нами для имени my.keenetic.net
). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1
), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180
перехватывается всегда. Получив 78.47.125.180
, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.
Важно
При подключении с Keenetic (VPN-клиент IKEv2) на Keenetic (VPN-сервер IKEv2), нужно указать на VPN-сервере IP-адрес Домашней сети (Home-сегмента) в качестве DNS-сервера. Например:
В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к IKEv2-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.
Разрешения доступа пользователей к серверам IPSec VPN (IKEv1 xAuth Virtual IP) и IKEv2 VPN общие.
После настройки сервера переведите переключатель в состояние Включено.
Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.
Для подключения к VPN-серверу в качестве клиента на мобильном устройстве рекомендуем использовать популярный VPN-клиент strongSwan.
В качестве клиента вы также можете использовать любой интернет-центр Keenetic (с версией ПО KeeneticOS 3.5 и выше), создав соединение "Клиент IKEv2", или компьютер с Windows (встроенная поддержка подключений IKEv2 появилась начиная с Windows 7).
Важно
IKEv2-сервер в текущей реализации позволяет получить только доступ со стороны клиента в домашнюю сеть сервера. Доступ из сети сервера в домашнюю сеть клиента путем добавления автоматического маршрута через выданный клиенту IP-адрес, как в случае других VPN-серверов, не возможен.
Важно
IKEv2-сервер в версии KeeneticOS 3.5
не передает клиентам маршрут в домашнюю сеть Keenetic, поэтому доступ в нее возможен только при настройке "Использовать основной шлюз в удаленной сети" или ручном добавлении маршрута на клиенте IKEv2. Начиная с версии KeeneticOS 3.6
маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
где
{address}
{mask}
— адрес и маска соответствующей сети