L2tp keenetic

Объединение сетей с помощью L2TP/IPsec на Mikrotik и Keenetic Ultra II

L2tp keenetic

Появилась задача подключить к локальной сети два дополнительных удалённых офиса. Про настройку OpenVPN сервера для желающим поработать из дома или в командировке я уже рассказывал, однако перспектива выдачи каждому пользователю сети отдельного сертификата с последующей настройкой соединения меня совсем не радовала. Потому для подключения филиалов было решено пойти другим путём.

Объединять сети будем через VPN туннели по технологии L2TP/IPsec без поднятия дополнительных серверов и использования дорогостоящего оборудования, непосредственно на роутерах Mikrotik и Keenetic Ultra II. Поводом для такого объединения, помимо удобства пользователей и моей лени, послужила некорректная работа встроенного L2TP/IPsec клиента в Windows.

Как видно из схемы, пользователи в филиалах должны иметь доступ к терминальному серверу, расположенному за роутером Keenetic Ultra II. Так как на «Кинетике» уже был настроен и благополучно работал L2TP/IPsec сервер, то «Микротикам» досталась роль клиентов. Кроме того, такой вариант существенно проще в настройке, по сравнению с поднятием VPN сервера на «микротике».

Обязательное условие: адреса объединяемых сетей не должны пересекаться друг с другом.

Настройка L2TP VPN-сервера на роутере Keenetic

С подробностями настройки L2TP/IPsec сервера на Keenetic Ultra можно ознакомиться перейдя по этой ссылке. Там всё просто, потому не буду повторяться. В дополнение к той статье, необходимо остановиться на паре существенных моментов, без которых не возможна нормальная работа VPN туннелей:

  • Отключить NAT для клиентов, оно тут будет только мешать;
  • Снять галочку, напротив поля «Множественный вход», если она там стояла. Это позволит точно указать IP адрес, выдаваемый клиенту L2TP сервером при подключении;
  • Настроить статическую маршрутизацию.

Для удалённых филиалов я выбрал имена office_01 и оffice_02 и назначил им соответсенно статические адреса 172.16.2.35 и 172.16.2.35. Эти адреса, указываются в качестве шлюзов при создании статических маршрутов для сетей, расположенных за ними. У office_01 внутренняя сеть 192.168.11.0/24, office_02 — 192.168.0.0/24

Настройка Mikrotik в качестве клиента L2TP/IPsec

Настройку удаленного клиента начнём с добавления нового интерфейса L2TP Client в разделе интерфейсов. Указываем IP-адрес L2TP сервера, свои учётные данные и общий ключ шифрования IPSec.

Если вы думаете, что этого достаточно для успешной установки соединения с сервером, поднятом на Keenetic Ultra II, то глубоко заблуждаетесь, ибо настройка «микротов» это всегда боль и страдания.

Складывается впечатление, что компания Mikrotik намеренно лишает себя прибыли.

Я не понимаю, что мешает выпустить нормальные пошаговые руководства по настройке своих железок и стать ведущим игроком на рынке.

Далее требуется указать нужные алгоритмы шифрования SA (Security Association) в настройках IP->IPsec->Proposals и изменить значение параметра PFS Group с modp1024на none.

Аббревиатура PFS расшифровывается как Perfect Forward Secrecy — что-то связанное со второй фазой обмена ключами в IPsec. Честно говоря, так глубоко в эту тему не вникал и если не ошибаюсь, то на устройствах от Apple данный параметр в настройках IPsec по умолчанию тоже выключен. В общем, чтобы канал до Keenetic Ultra II поднялся, значение параметра PFS Group должно быть none.

Также скорректируем и профиль шифрования по-умолчанию IP->IPsec->Profiles:

Нажимаем «Применить», и если мы всё сделали правильно, соединение должно быть установлено.

Туннель у нас поднялся. Осталась самая малость, чтобы компьютеры за роутером получили доступ в удалённую сеть 192.168.99.0/24, где находится терминальный сервер. Для этого необходимо добавить правило маскарада добавить и новый статический маршрут.

Переходим во вкладку IP->Firewall->NAT:

На вкладке IP->Routes в качестве шлюза указываем созданный интерфейс l2tpMainOffice, а в поле Pref. Source – наш IP-адрес в виртуальной сети:

Аналогичным образом настраивается и клиент для второй сети.

Напоследок хотелось поделиться несколькими ссылками с сайта центра поддержки KEENETIC (https://help.keenetic.com/hc/ru/):

  • VPN-сервер L2TP/IPsec https://help.keenetic.com/hc/ru/articles/360000684919-VPN-сервер-L2TP-IPsec
  • Объединение более двух сетей, используя VPN-сервер на Keenetic https://help.keenetic.com/hc/ru/articles/360005620840-Объединение-более-двух-сетей-используя-VPN-сервер-на-Keenetic
  • Маршрутизация сетей через VPN https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN

ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.https://mdex-nn.ru/page/l2tp-ipsec-tunnel-mikrotik-i-keenetik.html

Источник: https://zen.yandex.ru/media/mdex/obedinenie-setei-s-pomosciu-l2tpipsec-na-mikrotik-i-keenetic-ultra-ii-5d3576f66f5f6f00add74843

VPN-сервер L2TP/IPsec

L2tp keenetic

В интернет-центрах Keenetic есть возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec) для доступа к ресурсам домашней сети.
В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.

L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этого типа VPN есть удобный встроенный клиент.

К тому же, во многих моделях Keenetic передача данных по L2TP over IPsec ускоряется аппаратно.

Важно! Интернет-центр Keenetic, на котором будет работать VPN-сервер L2TP/IPsec, должен быть подключен к Интернету с публичным IP-адресом, а при использовании доменного имени KeenDNS, оно должно быть настроено в режиме “Прямой доступ”. При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно.

Предварительно нужно установить компонент системы “L2TP/IPsec VPN-сервер”. Сделать это можно на странице “Общие настройки” в разделе “Обновления и компоненты”, нажав на “Изменить набор компонентов”.

После этого перейдите на страницу “Приложения”. Здесь вы увидите панель “VPN-сервер L2TP/IPsec”. Нажмите по ссылке “VPN-сервер L2TP/IPsec”.

В появившемся окне “VPN-сервер L2TP/IPsec” в поле “Общий ключ IPsec” укажите ключ безопасности.

NOTE: Важно! Этот ключ также используется VPN-сервером IPsec (Virtual IP).

Параметр “Множественный вход” управляет возможностью устанавливать к серверу несколько одновременных подключений, используя при этом одни и те же учетные данные.

Это не является рекомендованным сценарием в связи с понижением уровня безопасности и неудобствами при мониторинге.

Однако, при первоначальной настройке, или для случаев, когда требуется разрешить установку туннеля с нескольких устройств одного пользователя, опцию можно оставить включенной.

NOTE: Важно! При выключенной опции “Множественный вход”, появляется возможность назначить постоянный IP-адрес для L2TP/IPsec-клиента. Сделать это можно на странице настройки VPN-сервера L2TP/IPsec в разделе “Пользователи”.

В настройках сервера по умолчанию включена опция “NAT для клиентов”. Эта настройка служит для доступа клиентов VPN-сервера в Интернет. В клиенте, встроенном в ОС Windows, такая функция включена по умолчанию и при установке туннеля запросы в Интернет будут отправляться через него.

NOTE: Важно! Если отключить функцию “NAT для клиентов” на сервере, но не перенастроить политику маршрутизации по умолчанию в Windows-клиенте, то после установки туннеля на компьютере может не работать доступ в Интернет. Дополнительная информация представлена в статье “Изменение политики маршрутизации VPN-подключения в Windows, при выключенной опции “NAT для клиентов” на сервере”.

В настройках сервера в поле “Доступ к сети” также можно указать отличный от Домашней сети сегмент, если это необходимо. Через туннель в таком случае будет доступна сеть указанного сегмента.

Общее количество возможных одновременных подключений задается настройкой размера пула IP-адресов. Как и начальный IP-адрес, эту настройку не рекомендуется менять без необходимости.

NOTE: Важно! Если “Начальный IP-адрес” попадает в диапазон сети указанного в поле “Доступ к сети” сегмента, включается функция ARP-Proxy, что позволит обращаться к такому VPN-клиенту из указанного локального сегмента. Например, если в поле “Доступ к сети” выбрана домашняя сеть 192.168.1.

0 с маской 255.255.255.0 и настройками DHCP-сервера: “Начальный адрес пула”: 192.168.1.33, “Размер пула адресов”: 120, вы можете задать “Начальный IP-адрес” VPN-сервера 192.168.1.154, который попадает в диапазон 192.168.1.1-192.168.1.

254, и иметь доступ из домашней сети к VPN-клиентам наравне с доступом к локальным устройствам.

В разделе “Пользователи” выберите пользователей, которым хотите разрешить доступ к L2TP/IPsec-серверу и в локальную сеть. Здесь же вы можете добавить нового пользователя, указав имя и пароль.

После настройки сервера переведите переключатель в состояние Включено.

Нажав на ссылку “Статистика подключений” вы можете посмотреть статус подключения и дополнительную информацию об активных сессиях.

Если вы хотите организовать доступ клиентов не только к локальной сети VPN-сервера, но и в обратную сторону, т.е. из сети VPN-сервера в удаленную сеть VPN-клиента, чтобы обеспечить обмен данными между двумя сторонами VPN-туннеля, обратитесь к инструкции “Маршрутизация сетей через VPN”.

TIP: Примечание Для подключения к серверу в качестве клиента можно использовать:

интернет-центр Keenetic – “Клиент L2TP/IPsec (L2TP over IPsec)”;

компьютер под управлением ОС Windows 7 – “Пример подключения L2TP/IPsec в Windows 7” или ОС Windows 10 – “Подключение к VPN-серверу L2TP/IPSec из Windows”;

мобильное устройство на базе Android – “Подключение к VPN-серверу L2TP/IPSec из Android”;

мобильное устройство на базе iOS – “Подключение к VPN-серверу L2TP/IPSec из iOS”;

компьютер под управлением MacOS – “Подключение к VPN-серверу L2TP/IPSec с компьютера из MacOS”.

Источник: https://help.keenetic.com/hc/ru/articles/360000684919-VPN-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-L2TP-IPsec

FreeDom / Техподдержка / Настройка WI-FI-маршрутизатора Zyxel Keenetic Lite для подключения по L2TP и IPOE / Zyxel / Настройка Wi-Fi-роутеров – Служба технической поддержки Freedom

L2tp keenetic

Подключите кабель freedom в порт 0 роутера – выделен синим цветом;
кабель от компьютера подключите в любой разъем LANвыделены желтым цветом; включите питание роутера. Откройте любой веб-браузер (Google Chrome, Opera, Firefox, Internet Explorer или др.), введите в адресной строке http://192.168.1.1 и нажмите Enter.

Быстрая настройка

1. Выбираем Быстрая настройка

2. Отметьте пункт – Мой провайдер не регистрирует MAC-адреса и нажмите Далее.

3. Настройка IP-адресаАвтоматическая и нажмите Далее.

4. Заполняем поля:
Тип подключения: VPN (L2TP)
Логин (имя пользователя): Ваш логин (учетное имя)
Пароль для доступа Интернет: Ваш пароль
Адрес VPN-сервера: l2tp.freedom
В конце нажимаем Далее

6. На следующей странице произойдет проверка подключения к Интернету.

7. В следующем окне поле Включить приложение “Интернет-Фильтр Яндекс DNS” оставьте пустым и нажмите Далее.

Настройка через Веб-конфигуратор

1. Выбираем Веб-конфигуратор.

2. Установите пароль администратора для входа в настройки роутера. Стандартные логин / пароль – admin / admin и нажмите Применить. В целях безопасности рекомендуется задать уникальные логин и пароль.

3. Нажмите на иконку Интернет (значок земного шара) и выберите соединение Broadband connection.

Включить – галочка активна;
Использовать для выхода в Интернет – галочка активна;
Кабель от провайдера – отметить порт 0 (если кабель freedom подключен в порт 0);
Настройка параметров IP – Автоматически;
Нажимаем на кнопку Применить.

4. Нажмите на иконку Интернет (значок земного шара) и выберите вкладку PPPOE/VPN и нажмите кнопку Добавить соединение:

Включить – галочка активна;
Использовать для выхода в Интернет – галочка активна;
Описание: l2tp;
Тип (протокол): L2TP;
Подключаться через: Broadband connection;
Имя пользователя: Ваш логин (учетное имя);
Пароль: Ваш пароль;
Метод подлинности: CHAP;
Адрес сервера: l2tp.freedom;
Настройка параметров IP: Автоматическая;
Нажмите кнопку Применить. Начнется проверка параметров сети и авторизация роутера:

Соединение l2tp, отмеченное зеленым значком, сигнализирует об успешном соединении с сетью Интернет. В поле IP-адрес будет отображен внешний (публичный) IP-адрес:

Настройка Wi-Fi

1. Нажмите на значок беспроводной сети (в самом низу странички в виде лесенки):

Включить точку доступа – галочка активна;
Имя сети (SSID) – придумать своё имя сети Wi-Fi или оставить стандартное;
Зашита сети – WPA-PSK + WPA2-PSK;
Стандарт – 802.11 bgn;
Нажмите кнопку Применить;
Если все Ваши беспроводные устройства поддерживают стандарт 802.11n, то имеет смысл оптимизировать Wi-Fi сеть, выбрав Стандарт – 802.11n и Защита сети – WPA2-PSK.

Выделение порта для IPTV-приставки

Зайдите в раздел Интернет, нажав значок внизу, и откройте соединение Broadband connection:

Отметьте галочкой Выделенный порт для приставки IPTV (в нашем случае порт 4) и нажмите Применить:

Просмотр IPTV на ПК и устройствах

Переходим в раздел Домашняя сеть (два мониторчика внизу на панели), выбираем вкладку IGMP Proxy, ставим галочку у пункта Включить функцию IGMP proxy и нажимаем Применить.

Обновление ПО и установка/удаление дополнительных компонентов

Зайдите в раздел Система (значок шестеренки внизу на панели), выберите вкладку Обновление:
ИспользоватьРелиз (рекомендуется);
Устанавливать обновления автоматически – установите галочку;
Нажимаем кнопку Установить:

*Иногда при обновлениях могут активироваться дополнительные сервисы, затрудняющие выход в Интернет, например, Яндекс DNS, SkyDNS. Их можно отключить, нажав на кнопку Показать компоненты и сняв соответствующие галочки:

Источник: https://support.freedom-vrn.ru/guide/nastroyka-wi-fi-routerov/zyxel/nastroyka-wi-fi-marshrutizatora-zyxel-keenetic-lite.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.