Настройка IPSec-туннеля между модемом LTE6100/6101 и интернет-центром Keenetic Giga III/Ultra II

Как настроить IPSec-туннель между модемом LTE6100/6101 и интернет-центром Keenetic Giga III/Ultra II?

В данной статье рассмотрим настройку IPSec-туннеля между модемом LTE6100/6101 и роутером Keenetic Giga III/Ultra II. В нашем примере роутер Keenetic Giga III работает в домашей сети 192.168.1.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.1.2 и выше) и имеет IP-адрес для управления 192.168.1.1. На внешнем интерфейсе WAN этого роутера установлен внешний/публичный IP-адрес.
Модем LTE61xx работает в другой сети 192.168.2.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.2.2 и выше) и имеет IP-адрес для управления 192.168.2.1. На внешнем интерфейсе WAN этого модема используется IP-адрес выданный провайдером (в нашем примере IP-адрес из подсети 10.132.x.x).
Необходимо организовать безопасный туннель IPSec VPN между двумя устройствами для объединения двух сетей.
 
1. Настройка интернет-центра Keenetic Giga III, который будет выполнять роль сервера IPSec VPN.
 
Сначала необходимо проверить, что в интернет-центре установлен специальный компонент микропрограммы IPsec VPN (клиент/сервер IPSec VPN для создания защищённых IP-соединений). Проверить наличие компонента можно через встроенный веб-конфигуратор устройства в меню Система > Обновление. Компонент IPsec VPN находится в разделе Applications (приложения). Убедитесь, что около данного компонента установлена галочка. Если галочка отсутствует, установите её и нажмите кнопку Обновить, которая находится в нижней части окна. Запустится процесс обновления компонентов микропрограммы в устройстве. Дополнительную информацию по обновлению компонентов, вы можете найти в статье «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор».
 
Теперь зайдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.
Откроется окно Настройка IPsec подключения. В нашем случае Keenetic Giga III будет выполнять роль сервера, поэтому поставим галочку в полях Ожидать подключение от удаленного пира (в этом случае инициатором подключения будет выступать клиент, а сервер будет ожидать подключения), Nail up (устройство будет восстанавливать соединение при разрыве) и Обнаружение неработающего пира DPD (функция Dead Peer Detection предназначена для определения работоспособности туннеля).
 
Что необходимо помнить при создании VPN-туннеля: на обоих устройствах настройки Фазы 1 и Фазы 2 обязательно должны совпадать! В противном случае туннель IPSec VPN не будет построен.
 
 
В настройках Фазы 1 в поле Идентификатор этого шлюза вы можете использовать любой идентификатор: адрес (IP-адрес), FQDN (полное имя домена), DN (имя домена), e-mail (адрес эл. почты). В нашем примере используется идентификатор e-mail и в пустое поле был вписан произвольный адрес электронной почты.
В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.1.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за IPSec-туннелем (в нашем примере 192.168.2.0).
Внимание! Адреса локальной и удаленной сети должны быть из разных подсетей! Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.
 
Сделав настройки IPSec-подключения нажмите кнопку Применить.
После создания подключения нужно обязательно в меню Приложения > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить для активации IPSec VPN.
 
2. Настройка модема LTE6100/6101.
 
Подключитесь к веб-интерфейсу модема и выполните настройку VPN-туннеля IPSec.
Внимание! Общий ключ и параметры безопасности Фазы 1 и 2 должны совпадать на обоих устройствах, в противном случае VPN-туннель не будет установлен.
 
В разделе Локальный адрес укажите свою локальную подсеть (подсеть за модемом), а в разделе Удаленный адрес – удаленную подсеть (за Keenetic).
Внимание! Локальные подсети роутера Keenetic и модема LTE61xx, между которыми строится туннель, не должны пересекаться!
В разделе Адресная информация укажите IP-адрес удаленного VPN-шлюза, т.е. IP-адрес, который установлен на WAN-интерфейсе Keenetic и через который будет строиться IPSec-туннель.
Установите предварительно согласованный ключ (Общий ключ) и выберите нужные параметры безопасности (алгоритмы шифрования и аутентификации).
 
 
Нажмите кнопку Применить для сохранения настроек в энергонезависимой памяти модема.
Рекомендуем выполнить перезагрузку LTE-модема после выполненных настроек.
 
3. На роутере Keenetic посмотреть состояние (статус) туннеля можно в меню Системный монитор на вкладке IPsec VPN.
 
 
 А также в в системном журнале (в меню Система > Журнал). При установлении туннеля должны появиться следующие записи (логи) в журнале:
 
 
Внимание! Если наблюдаются разрывы VPN-туннеля, попробуйте выключить механизм DPD в настройках обоих устройств.
 

KB-4872

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 1

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.