VPN-сервер IKEv2
В KeeneticOS реализован IKEv2 VPN-сервер на основе SSL-сертификата.
IKEv2 (Internet Key Exchange) — протокол обмена ключами версии 2
, входящий в набор протоколов IPSec. Обеспечивает высокую безопасность данных, скорость, стабильность работы.
VPN-сервер IKEv2/IPsec позволяет авторизованным пользователям безопасно подключаться к ресурсам вашей домашней сети через Интернет. Клиенты для подключения к серверу IKEv2 доступны в операционных системах Windows, MacOS и iOS, а также в популярных дистрибутивах Linux и устройствах Blackberry. Для организации подключения в Android понадобится установить дополнительное ПО.
Протокол туннелирования IKEv2 является частью протокола IPSec с передачей данных через UDP-порты 500
и/или 4500
и с защитой данных надежными криптоалгоритмами 3DES/AES. Благодаря своей безопасности, стабильности и скорости работы, IKEv2 в настоящее время является одним из лучших решений VPN для мобильных пользователей.
Важно
Интернет-центр Keenetic, на котором будет работать VPN-сервер IKEv2, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме Прямой доступ, для которого также требуется публичный IP-адрес. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.
IKEv2-сервер в текущей реализации позволяет получить только доступ со стороны клиента в домашнюю сеть сервера. Доступ из сети сервера в домашнюю сеть клиента путем добавления автоматического маршрута через выданный клиенту IP-адрес, как в случае других VPN-серверов, невозможен.
VPN-сервер IKEv2/IPsec использует тип подключения IKEv2 EAP (Логин/Пароль), используя имя пользователя и пароль в качестве типа данных для входа. Указывайте тип аутентификации Пользователь при настройке подключения на клиенте.
Для настройки защищенных подключений по протоколу IKEv2/IPsec в интернет-центре Keenetic нужно установить компонент системы IKEv1/IPsec и IKEv2/IPsec VPN-серверы, клиент L2TP/IPsec VPN, IPsec VPN сеть-сеть. Сделать это можно в веб-конфигураторе на странице Общие настройки системы в разделе Обновления и компоненты KeeneticOS, нажав на Изменить набор компонентов.

После этого перейдите на страницу Приложения. Здесь вы увидите панель VPN-сервер IKEv2/IPsec.

Для работы сервера нужно зарегистрировать интернет-центр в облачной службе KeenDNS, получив имя из домена keenetic.link
, keenetic.pro
или keenetic.name
, поддерживающих работу с сертификатом безопасности SSL. Иначе, подключающийся к серверу клиент не сможет установить доверенное https-соединение. Информацию о том как зарегистрировать имя KeenDNS вы найдете в статье Сервис доменных имен KeenDNS.
На странице Приложения нажмите по ссылке VPN-сервер IKEv2/IPsec.

Выполните настройку сервера.

Параметр Множественный вход управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные. Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге. Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.
C одним логином и паролем можно подключить несколько клиентов.
Важно
При выключенной опции Множественный вход, появляется возможность назначить постоянный IP-адрес для IKEv2-клиента. Сделать это можно на странице настройки VPN-сервера IKEv2/IPsec в разделе Пользователи.
В настройках сервера по умолчанию включена опция NAT для клиентов. Эта настройка служит для доступа клиентов VPN-сервера в Интернет.
Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.
Важно
Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.
В настройках VPN-сервера IKEv2/IPsec присутствует поле DNS-сервер. Это связано с особенностью работы сервера. Обычно в VPN-серверах в рамках установления соединения используются два IP-адреса: адрес клиента и сервера (роутера), и адрес роутера используется клиентами в качестве DNS-сервера. А на VPN-сервере IKEv2 адрес роутера отсутствует, поэтому необходимо указать адрес DNS-сервера. Если его не указать, клиент не сможет разрешить ни одно имя. В качестве DNS-сервера по умолчанию используется адрес 78.47.125.180
(это IP, который приобретен нами для имени my.keenetic.net
). Запросы на него перехватываются роутером и получается тоже самое, как если бы в этом поле был прописан адрес роутера в домашней сети (192.168.1.1
), за исключением того, что последний может быть изменен пользователем, и тогда пришлось бы менять его и настройках VPN-сервера, а 78.47.125.180
перехватывается всегда. Получив 78.47.125.180
, клиент будет передавать все DNS-запросы на Keenetic, а он уже передавать на свои DNS-сервера, полученные от провайдера или прописанные в ручную.
Важно
При подключении с Keenetic (VPN-клиент IKEv2) на Keenetic (VPN-сервер IKEv2/IPsec), нужно указать на VPN-сервере IP-адрес Домашней сети в качестве DNS-сервера. Например:

В разделе Пользователи выберите пользователей, которым хотите разрешить доступ к IKEv2-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.
Разрешения доступа пользователей к серверам IKEv1/IPsec и IKEv2/IPsec общие.
После настройки сервера переведите переключатель в состояние Включено.

Нажав на ссылку Статистика подключений вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

В качестве клиента вы также можете использовать любой интернет-центр Keenetic, создав соединение Клиент IKEv2.
Важно
В качестве клиента вы можете использовать любой интернет-центр Keenetic (с версией ПО KeeneticOS 3.5 и выше), создав соединение Клиенты IKEv1/IKEv2.
Также можно использовать мобильные устройства на базе ОС Windows (встроенная поддержка подключений IKEv2 появилась начиная с Windows 7), MacOS, iOS.
Для подключения к VPN-серверу в качестве клиента на мобильном устройстве с ОС Android рекомендуем использовать популярный VPN-клиент strongSwan. Дополнительная информация представлена в инструкции Подключение к VPN-серверу IKEv2 из Android.
Важно
IKEv2-сервер в версии KeeneticOS 3.5
не передает клиентам маршрут в домашнюю сеть Keenetic, поэтому доступ в нее возможен только при настройке Использовать основной шлюз в удаленной сети или ручном добавлении маршрута на клиенте IKEv2. Начиная с версии KeeneticOS 3.6
маршрут в домашнюю сеть передается автоматически, а для передачи маршрутов в другие сети добавлена команда:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route {address} {mask}
где
{address}
{mask}
— адрес и маска соответствующей сети