Настройка туннеля IPSec VPN между интернет-центром и компьютером с ОС Windows

Каким образом настроить туннель IPSec VPN между интернет-центром и компьютером с операционной системой Windows?


Возможность устанавливать туннели IPSec VPN реализована для Keenetic Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Giga II, Ultra и Keenetic II. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, установить из любой точки Интернета защищенное подключение к удаленной офисной или домашней сети.
 
Предположим, что у вас установлен указанный выше роутер с доступом в Интернет (с публичным, "белым" IP-адресом) и есть необходимость организовать доступ к локальной сети с удаленного компьютера под управлением операционной системы Windows.
Для решения этой задачи необходимо выполнить следующие действия:
 
1. В интернет-центре должен быть установлен компонент микропрограммы IPsec VPN.
 
Сначала необходимо проверить, что в интернет-центре установлен специальный компонент микропрограммы IPsec VPN (клиент/сервер IPSec VPN для создания защищенных IP-соединений). Проверить наличие компонента можно через встроенный веб-конфигуратор устройства в меню Система > Обновление. Компонент IPsec VPN находится в разделе Applications (приложения). Убедитесь, что около данного компонента установлена галочка.
 
Если галочка отсутствует, установите ее и нажмите кнопку Обновить, которая находится в нижней части окна. Запустится процесс обновления компонентов микропрограммы в устройстве. Дополнительную информацию по обновлению компонентов, вы можете найти в статье «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор».
 
2. После установки нужного компонента в меню интернет-центра Безопасность появится вкладка IPsec VPN.
 
 
3. В разделе IPsec-подключения нажмите кнопку Добавить. После чего откроется окно с настройками IPSec-туннеля.
 
4. Окно настроек делится на три сегмента — основные настройки, Фаза 1 и Фаза 2.
В основных настройках следует установить галочку в поле Ожидать подключение от удаленного пира (так как инициатором подключения в нашем примере будет компьютер с ОС Windows) и указать Имя подключения (любое на выбор, в нашем случае это Windows).

Вы можете использовать опции Nail up (данная настройка будет поддерживать работу туннеля в простое, т.е. когда нет передачи трафика, и восстанавливать его при разрыве) и Обнаружение неработающего пира DPD (данная функция проверяет работоспособность туннеля, посылая Hello-пакеты, на которые удаленная сторона должна прислать ответ).

 
5. Внимание! Настройки разделов Фаза 1 и Фаза 2 должны обязательно совпадать с соответствующими настройками фаз на удаленной стороне туннеля, т.е. на устройстве с Windows.
В Фаза 1 установите следующие значения:
  • Идентификатор этого шлюза (в нашем примере это адрес 192.168.222.1 - локальный адрес Keenetic);
  • Ключ PSK (в нашем примере используется ключ 12345678);
  • Остальные настройки оставьте без изменения.
 
6. Настройки Фаза 2 будут выглядеть следующим образом:
  • IP-адрес локальной сети: 192.168.222.0 255.255.255.0 (локальная подсеть за интернет-центром Keenetic);
  • IP-адрес удаленной сети: 192.168.221.33 255.255.255.255 (IP-адрес устройства с Windows в удаленной сети; если устройство выходит в Интернет напрямую без роутера, нужно указывать IP-адрес, полученный от провайдера);
  • Остальные значения оставьте по умолчанию.
 
Нажмите кнопку Применить для сохранения настроек. 
 
7. В меню Безопасность > IPsec VPN поставьте галочку в поле Включить и нажмите кнопку Применить.
 
 
8. После указанных выше настроек можно приступать к настройке IPSec-подключения в Windows.
В нашем примере мы будем использовать бесплатное ПО Shrew VPN Client, скачать его можно на сайте производителя: https://www.shrew.net/download.
Установите VPN-клиент и проверьте, что установился специальный драйвер для работы Shrew (в Свойствах сетевого подключения должна стоять галочка напротив Shrew Soft Lightweight Filter).
 
Запустите VPN Access Manager.
 
 
9. После запуска откроется окно программы.
 
10. Нажмите кнопку Add для создания VPN-подключения.
 
11. На вкладке General нужно указать настройки:
  • Host Name or IP address — внешний/публичный IP-адрес Keenetic (в нашем случае 46.72.181.99);
  • Auto Configuration: disabled;
  • Adapter ModeUse an existing adapter and current address.
 
12. На вкладке Client оставьте значения по умолчанию.
 
13. На вкладке Name Resolution снимите галочки Enable DNS и Enable WINS.
 
 
14. На вкладке Authentication укажите следующие параметры:
  • Authentification Method: Mutual PSK;
  • Local Identifity > Identification Type: IP Address - Address String: 192.168.221.33 и снимите галочку Use a discovered local host address;
  • Remote Identifity > Identification Type: IP Address - Address String: 192.168.222.1 и снимите галочку Use a discovered local host address;
  • Credentials > Pre Shared Key: 12345678.
 
 
 
15. На вкладке Phase1 укажите:
  • Exchange Type: main;
  • DH Exchange: group 1;
  • Cipher Algorithm: des;
  • Hash Algorithm: md5;
  • Key Life Time limit: 3600.
 
16. На вкладке Phase 2 укажите:
  • Transform Algorithm: esp-des;
  • HMAC Algorithm: md5.

Внимание! Настройки фаз 1 и 2 должны совпадать с аналогичными параметрами, установленными на устройстве, с которым будет устанавливаться VPN-туннель.
 
17. На вкладке Policy снимите галочку Obtain Topology Automatically or Tunnel All, нажмите Add и укажите локальную подсеть за Keenetic.
 
Нажмите OK и Save для сохранения настроек.
 
18. В списке подключений появится созданное VPN-соединение.
 
19. Дважды щелкните по ярлыку VPN-подключения и нажмите в открывшемся окне Connect для запуска VPN-соединения.
В итоге вы должны увидеть последнюю запись: tunnel enabled (данное сообщение означает, что успешно установлена фаза 1 туннеля).
 
20. Для завершения установки VPN-туннеля нужно с компьютера (из командной строки Windows) запустить трафик в направлении удаленной подсети, находящейся за роутером Keenetic.
Например, сделать это можно командой ping (в нашем примере выполняется пинг IP-адреса роутера 192.168.222.1).
 
21. После этого в веб-конфигураторе интернет-центра Keenetic в меню Системный монитор на вкладке IPsec VPN соединение также должно быть активным (зеленый статус).
 
22. Со стороны локальной сети за интернет-центром Keenetic также должен быть доступ к компьютеру с ОС Windows по его локальному адресу (в нашем примере это 192.168.221.33).
 
 
23. Для отключения туннеля в VPN Access Manager нажмите кнопку Disconnect.
 
Примечание

  • Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nail up и Обнаружение неработающего пира (DPD).

  • На компьютере с ОС Linux также можно воспользоваться бесплатным программным VPN-клиентом Shrew Soft VPN Client. Загрузить программу можно с сайта разработчика https://www.shrew.net/download или найти её и установить через Центр приложений операционной системы.
    Shrew Soft VPN Client успешно работает в операционных системах FreeBSD, NetBSD, Fedora Core и в различных дистрибутивах Ubuntu Linux (Mint, Xubuntu и др.) на платформах x86 и amd64.

  • Пример настройки туннеля IPSec VPN между интернет-центром Keenetic и компьютером с операционной системой Mac OS: «Настройка туннеля IPSec VPN между интернет-центром и компьютером с ОС Mac OS»

 

KB-4881

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 11 из 14
Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 4
  • Если интернет-центр за NAT-ом, то какие порты нужно прокинуть?

  • Нужно пробросить в межсетевом экране порты UDP/500 (ISAKMP/IKEv1), UDP/4500 (NAT-T или NAT Traversal), IP/50 (ESP). NAT-T по умолчанию включен в интернет-центре.

  • Отличная статья! Но подскажите, как сделать, чтобы компьютеры удаленной сети отображались в сетевом окружении на компе, с которого инициирован vpn? Сейчас доступ к ним только по IP, что неудобно...

  • Устройства удаленной сети, доступ к которым получен через VPN-подключение, не будут отображаться в сетевом окружении. На данный момент протокол NetBIOS не работает через IPSec-туннель. Если точнее, то широковещательные запросы NetBIOS работают только в рамках одного широковещательного домена, и возможность перенаправить эти запросы в VPN-туннель не реализована.
    Как вариант, в этом случае можно попробовать использовать туннели EoIP (Ethernet over IP) или EoIP over IPSec. Через них кроме IP можно передавать любой трафик, в том числе и ARP, DHCP, PPPoE, IPv6 и др. Описание и примеры настройки этих туннелей указаны в статье «Настройка туннелей IPIP, GRE и EoIP». Но и тут есть нюансы: Оба участника туннеля EoIP должны иметь внешние IP-адреса (или находится в одной сети, т.е на удаленных сторонах туннеля должна быть одна и та же подсеть) и между ними не должно быть никакой трансляции адресов NAT. Это необходимые условия для установки туннеля.

Войдите в службу, чтобы оставить комментарий.