Skip to main content

Руководство пользователя

VPN-сервер IKEv2

Начиная с версии KeeneticOS 3.5 реализован IKEv2-сервер Virtual IP на основе сертификата Let's Encrypt.

IKEv2 (Internet Key Exchange) — протокол обмена ключами версии 2, входящий в набор протоколов IPSec. Обеспечивает высокую безопасность данных, скорость, стабильность работы.

VPN-сервер IKEv2 позволяет авторизованным пользователям безопасно подключаться к ресурсам вашей домашней сети через Интернет. Клиенты для подключения к серверу IKEv2 доступны в операционных системах WindowsMacOS и iOS, а также в популярных дистрибутивах Linux и устройствах Blackberry. Для организации подключения в Android понадобится установить дополнительное ПО.

Протокол туннелирования IKEv2 является частью протокола IPSec с передачей данных через UDP-порты 500 и/или 4500 и с защитой данных надежными криптоалгоритмами 3DES/AES. Благодаря своей безопасности, стабильности и скорости работы, IKEv2 в настоящее время является одним из лучших решений VPN для мобильных пользователей.

Важно

Интернет-центр Keenetic, на котором будет работать VPN-сервер IKEv2, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме "Прямой доступ", для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

VPN-сервер IKEv2 использует тип подключения IKEv2 EAP (Логин/Пароль), используя имя пользователя и пароль в качестве типа данных для входа. Указывайте тип аутентификации "Пользователь" при настройке подключения на клиенте.

Для настройки защищенных подключений по протоколу IKEv2 в интернет-центре Keenetic нужно установить компонент системы "IKEv1/IPsec и IKEv2/IPsec VPN-серверы, клиент L2TP/IPsec VPN, IPsec VPN сеть-сеть". Сделать это можно в веб-конфигураторе на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

ikev2-server-01-en.png

После этого перейдите на страницу "Приложения". Здесь вы увидите панель "VPN-сервер IKEv2".

ikev2-server-02-en.png

Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.linkkeenetic.pro или keenetic.name, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье "Сервис доменных имен KeenDNS".

Помимо этого, нужно разрешить доступ из Интернета по протоколу HTTPS. Сделать это можно на странице "Пользователи и доступ". В разделе "Удаленный доступ" включите доступ к веб-конфигуратору по протоколам "HTTP и HTTPS" или "Только HTTPS".

ikev2-server-03-en.png

На странице "Приложения" нажмите по ссылке "VPN-сервер IKEv2".

ikev2-server-04-en.png

Выполните настройку сервера.

ikev2-server-05-en.png

Параметр "Множественный вход" управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

C одним логином и паролем можно подключить несколько клиентов.

Важно

При выключенной опции "Множественный вход", появляется возможность назначить постоянный IP-адрес для IKEv2-клиента. Сделать это можно на странице настройки VPN-сервера IKEv2 в разделе "Пользователи".

В настройках сервера по умолчанию включена опция "NAT для клиентов". Эта настройка служит для доступа клиентов VPN-сервера в Интернет.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

Важно

Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

В настройках VPN-сервера IKEv2 присутствует поле "DNS-сервер". Это связано с особенностью работы сервера. Обычно в VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на VPN-сервере IKEv2 адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180 (это IP, который приобретен нами для имени my.keenetic.net). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180 перехватывается всегда. Получив 78.47.125.180, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.

Важно

При подключении с Keenetic (VPN-клиент IKEv2) на Keenetic (VPN-сервер IKEv2), нужно указать на VPN-сервере IP-адрес Домашней сети (Home-сегмента) в качестве DNS-сервера. Например:

ikev2-server-06-en.png

В разделе "Пользователи" выберите пользователей, которым хотите разрешить доступ к IKEv2-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

Разрешения доступа пользователей к серверам IPSec VPN (IKEv1 xAuth Virtual IP) и IKEv2 VPN общие.

После настройки сервера переведите переключатель в состояние Включено.

ikev2-server-07-en.png

Нажав на ссылку "Статистика подключений" вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

ikev2-server-08-en.png

Для подключения к VPN-серверу в качестве клиента на мобильном устройстве рекомендуем использовать популярный VPN-клиент strongSwan.

В качестве клиента вы также можете использовать любой интернет-центр Keenetic (с версией ПО KeeneticOS 3.5 и выше), создав соединение "Клиент IKEv2", или компьютер с Windows (встроенная поддержка подключений IKEv2 появилась начиная с Windows 7).

Важно

IKEv2-сервер в текущей реализации позволяет получить только доступ со стороны клиента в домашнюю сеть сервера. Доступ из сети сервера в домашнюю сеть клиента путем добавления автоматического маршрута через выданный клиенту IP-адрес, как в случае других VPN-серверов, не возможен.

Важно

IKEv2-сервер в версии KeeneticOS 3.5 не передает клиентам маршрут в домашнюю сеть Keenetic, поэтому доступ в нее возможен только при настройке "Использовать основной шлюз в удаленной сети" или ручном добавлении маршрута на клиенте IKEv2. Начиная с версии KeeneticOS 3.6 маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:

  • crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}

    где {address} {mask} — адрес и маска соответствующей сети