Оглавление
Меняем функции кнопок
Смена функций кнопок — это нововведение в сфере сетевой техники. Ее используют для того, чтобы сделать маршрутизатор более удобным для конкретного пользователя.
Для реализации подобной замены имеется кнопка «FN», находящаяся рядом с кнопкой сброса настроек.
Остальное можно сделать в веб-интерфейсе самостоятельно без посторонней помощи:
зайти на домашнюю страницу роутера и выбрать вкладку «система»;
в обновленном окне выбрать раздел «кнопки»;
выбрать кнопку и указать ее новую функцию;
нажать на опцию «применить».
Таким образом, кнопка «FN» будет запрограммирована на новую функцию.
Настройка маршрутизатора Zyxel Keenetic Omni не так труда, как кажется на первый взгляд. Можно наладить работу в интернете удаленно, настроить принтер или даже цифровое ТВ.
Простой и понятный веб-интерфейс поможет начинающему пользователю самостоятельно без помощи профессионала подключиться к интернету. Главное — строго следовать инструкции.
Первоначальная настройка роутера
Подготовительный этап является обязательной составляющей при организации защищенной сети с использованием роутера Keenetic. Для установки первоначальных настроек необходимо вначале подключить роутер к сети питания. Затем, используя патч-корд, осуществляется соединение роутера с компьютером. Кабель поставщика услуг связи необходимо подключить к разъему WAN роутера.
На следующем этапе рекомендуется обновить микропрограмму сетевого устройства. Настройка VPN-сервера PPTP роутера Keenetic возможна только на приборах с программой NDMS V 2.04.B2.
Перед настройкой защищенной сети следует также определить тип IP-адреса, предоставляемого оператором интернета. Для использования VPN на оборудовании Keenetic потребуется приобрести у провайдера статический айпи.
ШАГ 1: Вход в настройки роутера
Все настройки мы будем производить через обычный веб-интерфейс, доступ к которому можно получить из обычного браузера. Вы можете выполнять настройки с любого устройства, будь то компьютер, ноутбук, телефон или даже телевизор. Откройте браузер и введите один из предложенных адресов в адресной строке (или перейдите по ссылкам):
Далее вам нужно будет ввести свой логин и пароль. Комбинация по умолчанию – админ-админ. Всю информацию о входе в админку роутера можно посмотреть на этикетке внизу устройства.
Как открыть порты в роутере ZyXEL Keenetic? Мы также разберемся с этим, но прежде чем мы начнем, давайте правильно воспользуемся этим понятием. На маршрутизаторе они еще не открываются, а пересылают (перенаправляют или перенаправляют) порты. Самому маршрутизатору эти порты не нужны, но они используются конечными приложениями или даже устройствами в локальной сети. В этом плане Интернет-центр выступает своеобразным проливом, по которому проходит трафик. На финальном устройстве двери уже открыты. Например, на компьютере я тоже расскажу об этом ниже. Надеюсь, мы понимаем эту концепцию.
ШАГ 3: Проброс портов
Сначала вам нужно выяснить, какой порт и протокол использует ваша программа или устройство. Список всех портов можно найти в файле PDF ниже.
Новая прошивка
Например, я настрою проброс портов для компьютера – для работы с удаленным рабочим столом из Windows. Для этого используется TCP-порт 3389.
- В разделе «Мои сети и Wi-Fi» нажмите «Список устройств».
- Вам необходимо зарегистрировать устройство, на которое вы будете перенаправлять порт. Просто щелкните по нему.
- Для начала введите свое имя и нажмите кнопку регистрации.
- Это устройство появилось в списке ниже, давайте еще раз щелкнем по нему.
- Установите флажок, как на изображении ниже, чтобы у устройства всегда был IP-адрес. Ниже в разделе «Перенаправление портов» нажмите «Добавить правило».
- А теперь пройдемся по всем важным моментам:
- Описание: введите знакомое имя.
- Логин – здесь мы указываем подключение, которое вы используете для Интернета. Мы указываем именно то, что вы создали, в начале, когда вы впервые настраиваете интернет-центр.
- Выход: указываем наше зарегистрированное устройство, на которое пойдет перенаправление портов.
- Протокол – укажите TCP или UDP. Если вам нужно создать правило для двух протоколов одновременно, вам нужно будет создать две отдельные настройки (для TCP и UDP).
- Тип правила: указываем порт или диапазон и ниже вставляем значение.
- Порт назначения: используется очень редко, обычно для подмены портов. Например, 80 для 8080.
- Мы соблюдаем правила.
Старая прошивка
Я покажу пример переадресации для подключения к FTP-серверу. То есть внутри локальной сети системный блок по-прежнему будет подключен к роутеру, на котором будет располагаться FTP. Это будет использовать порт 21 с протоколом TCP.
- Во-первых, нам нужно зарегистрировать устройство, подключенное к сети: это необходимо, чтобы этому устройству был назначен постоянный IP-адрес. Щелкните значок «Домашняя сеть».
- Во вкладке «Устройства» нажимаем на наше устройство. Установим флажок «Постоянный IP-адрес». Вы также можете ввести заголовок. Нажмите «Применить».
- Щелкните значок щита.
- На первой вкладке «NAT» нажмите кнопку, чтобы добавить правило.
- А теперь перейдем ко всем пунктам:
- Отключить: вы можете включить или отключить переадресацию в любое время.
- Расписание заданий: установите расписание для включения или отключения пересылки.
- Описание: Здесь вы можете ввести то, что хотите.
- Интерфейс – это соединение, через которое проходит Интернет. Его можно посмотреть в разделе «Интернет» (значок планеты), во вкладке «Подключения». PPPoE использует собственное соединение. Для динамического IP «Широкополосное соединение (ISP)».
- Протокол: вы можете выбрать из списка, как я. Или укажите порт вручную, для этого выберите тип «TCP» или «UDP». Затем ниже в поле «Открыть» выберите диапазон портов или конкретный вход.
- Перенаправить на адрес: указывает на наше зарегистрированное устройство.
- Номер нового порта назначения – используется для подмены портов. Часто используется для картографии. Например, при использовании порта 2121 замените его на 21. Он нам не нужен и на практике используется редко.
- Мы соблюдаем правила. В моем случае мне также нужно включить компонент («Система» – «Обновление»), который работает с FTP. Возможно, вашей задаче понадобится какой-то другой компонент, чтобы вы могли просматривать компоненты, если что-то у вас не работает.
Как настроить прокси-сервер на роутере
Существует множество способов настройки доступа в Интернет с помощью прокси-сервера. Это и программные, и аппаратные решения.
Использование прокси-сервера для доступа к сети можно настроить отдельно для программы или приложения, веб-сайта, браузера, а также в операционной системе на различных устройствах: настольных компьютерах, планшетах, ноутбуках, смартфонах.
Один из наиболее эффективных способов настройки прокси-сервера – это настроить его с помощью маршрутизатора. В этой статье мы рассмотрим основные преимущества использования роутера для выхода в Интернет через прокси-сервер, а также механизм реализации этого решения (пошагово).
Firewall и безопасность
Таблица ограничена 500 записями, причём в это число не входят сервисы, запущенные на самом шлюзе — для них отведена отдельная вкладка. Помимо портов и протоколов, в настройках правил можно указывать только частоту (rate) для каждой записи. Этим сегодня никого не удивишь, и всё это было в домашних роутерах много лет назад.
А вот изюминка Zyxel VPN2S — это возможность отключения доступа к разным типам сайтов для разных категорий пользователей. Настройте менеджерам доступ к соц.сетям, чтобы они могли продавать ваш товар, набиваясь людям в друзьям, дайте техническим специалистам доступ к сайтам с документацией и обзорами, снимите все ограничения с гостей вашего офиса, и запретите начальству читать новости. Причём, вы указываете только категории медиа, а не сайты. Как Zyxel узнаёт, какой сайт к какой категории относится? Вот именно за это вы и платите при оформлении подписки на сигнатуры. И кстати, будьте внимательны: даже если вам через интерфейс управления доступна контентная фильтрация, вам всё равно нужно приобретать лицензию для активации данного сервиса.
Это действительно очень крутая функция, которая способна поднять рабочий ритм в вашей фирме, не давая отвлекаться на всякие там Ютубы, особенно если ваш офис — под землёй, где не ловит 4G.
mikrotik firewall
Начнём с фаервола. IP – Firewall – address-list. Для того что бы не создавать правило под каждый зиксель или любое другое устройство которое мы потом будем подключать к миротикку будем использовать address-list итак, жмём add (+)
Name – имя списка, Address – внешний ip зикселя. Переходим на вкладку Filter Rules и создаем правило (+).На вкладке general – chain — input
На вкладке Advanced в Src. Address List выбираем наш список
На вкладке Action ставим accept
Ставим правило ВЫШЕ всех запрещающих.
Если нам потом потребуется подключить ещё какие-то устройство, правило создавать уже не надо будет, надо будет только добавить адрес в address list.
Дальше так же в Address-list добавляем ещё один список — anti-nat, поскольку с zyxel ipsec будет работать в тунельном режиме, надо исключить пакеты предназначающиеся в сеть зикселя из маскарада.
Переходим на вкладку NAT и в правилах где есть srcnat на вкладке Аdvanced добавляем наш список с галочкой в dst.
В данном случае рассматривается дефолтная настройка микротика, где в NAT будет всего одно правило.
Галочка в правилах означает отрицание. Т.е. правило будет срабатывать для всех адресов назначения КРОМЕ тех что мы добавили в список anti-nat.
Если будем добавлять ещё устройство, то правила уже менять не надо, только подсети в список anti-nat добавляем.
Как установить и как пользоваться OpenVPN
- Скачайте OpenVPN для Windows по официальной ссылке внизу этого обзора, запустите файл и следуйте инструкции.
- Скачайте файл конфигурации подключения . ovpn, для подключения к серверу ретрансляции. Загрузить OpenVPN Config file можно на — https://www.vpngate.net/en/.
- Выберите VPN-сервер, к которому вы хотите подключиться и кликните на файл *.ovpn, скачайте его. Далее нужно переместить файл *.ovpn в папку config — C:\Program Files\OpenVPN\config.
- Кликните по иконке OpenVPN GUI и выберите запуск от имени администратора.
- Статус подключения будет отображаться на экране.
- После проделанных манипуляций в системе Windows создается виртуальный сетевой адаптер и этот адаптер получит IP-адрес, который начинается с 10.211. Виртуальный адаптер получит адрес шлюза по умолчанию (проверить конфигурацию можно командой ipconfig /all в командной строке). Командой tracert 8.8.8.8 — убедиться, что трафик будет проходить через VPN-сервер.
Автоматическая настройка
Самый простой способ. Если IP-адрес провайдер присваивает по DHCP и не требует привязки MAC-адреса, подключение будет установлено без участия пользователя, нужно только подождать несколько минут. Если же IP статический и неизвестен или требуется узнать MAC-адрес, проще всего это сделать через командную строку.
Сначала нужно её запустить: Win+R – cmd – Enter:
После этого ввести команду ipconfig /all и посмотреть на строки вывода, отмеченные на следующей картинке красным:
Это и есть MAC-адреса сетевых адаптеров. Вписать нужно тот, который зарегистрирован у провайдера. Если пользователь не знает, какой именно, лучше поинтересоваться у службы поддержки.
После всех этих манипуляций настройка Zyxel Keenetic Start пройдёт без участия юзера, а в конце он получит полностью готовое подключение к интернету.
Приоритеты подключений
Чем отличаются сети 3G от 4G: особенности, преимущества и недостатки
Начиная с версии 2.0, прошивка роутеров Zyxel поддерживает функцию приоритезации. По сравнению с первой версией можно по-разному комбинировать соединения.
Создаваемые соединения используют физические порты сетевого устройства или виртуальные интерфейсы. Каждому каналу связи, созданному на устройстве, назначается приоритет. Его значение изменяется вручную или остается неизменным:
На скриншоте самый высокий приоритет отдается интерфейсу интернет-провайдера. Это настройка по умолчанию для доступа в Интернет через сетевой кабель.
Далее идет Yota: беспроводное соединение. Если первый вариант перестанет работать, роутер автоматически перейдет в указанный режим. Таким образом настраиваются резервные каналы связи и VPN-подключения.
Замер скорости
Ну а теперь самое интересное – как быстро всё работает. Я мерял подключение на основном Windows ПК, подключённом к роутеру кабелем. Остальные устройства не отключал – не вижу смысла в “лабораторных” замерах, если в реальной жизни условия довольно суровые. Сначала подключил ПК к профилю VPN по L2TP/IPSec, выбрав сервер в Швеции. Почему в Швеции? Ну потому, что там не блокируют пол-интернета, Швеция близко к Москве, и связь пошустрее, чем в Финляндии и Эстонии.
Тест проводил на Яндекс.Интернете и рандомном сервере в Speedtest.net. Как видно, там сервис нашёл какой-то сервер в Швеции, т.к. решил, что я сам нахожусь в Швеции. Это нам только на руку – замерим трафик до Стокгольма.
Два скриншота выше – замеры скорости по L2TP/IPSec
Как видно, всё вполне шустро. Теперь с теми же настройками, но без VPN, чтобы сравнить с “нормальным” интернетом, без VPN (поскольку VPN всё же замедляет чуток):
Два скриншота выше – подключение без VPN
Здесь пинг получился внезапно даже больше, чем по VPN, однако это можно объяснить большим количеством узлов.
Ну а теперь, под занавес, Open VPN, от того же провайдера Express VPN, с сервером в той же Швеции:
Два скрина выше – подключение к OpenVPN с помощью роутера. Тут надо отметить, что сами тесты скорости работали раза с десятого.
Думаю, комментарии излишни. Open VPN в целом неплохо работает на компьютере через какой-нибудь фирменный клиент VPN-провайдера, но на Keenetic его стоит настраивать лишь за неимением лучшего. L2TP/IPSec, с другой стороны, – продвинутая штука для быстрого, но свободного интернета, при этом ещё и с высокой секьюрностью.
What Can Go Wrong?
1 If you see log message such as below, please make sure both ZyWALL/USG and ZyWALL IPSec VPN Client use the same Pre-Shared Key to establish the IKE SA.
MONITOR > Log
2 If you see or log message such as below, please check ZyWALL/USG Phase 1 Settings. ZyWALL/USG and ZyWALL IPSec VPN Client must use the same Encryption, Authentication method, DH key group and ID Type/Content to establish the IKE SA.
MONITOR > Log
3 If you see that Phase 1 IKE SA process done but still get or log message as below, please check ZyWALL/USG Phase 2 Settings. ZyWALL/USG and ZyWALL IPSec VPN Client must use the same Active Protocol, Encapsulation, Proposal, PFS and set correct Local Policy to establish the IKE SA.
MONITOR > Log
4 If you see log message as below, please make sure you create a user account for the ZyWALL IPSec VPN Client user on ZyWALL/USG or the external authentication server. Or please check your password matches the settings in the user account.
MONITOR > Log
5 Make sure the service HTTPS Port on IPSec VPN Client application is available.
6 Make sure the To-ZyWALL security policies allow IPSec VPN traffic to the ZyWALL/USG. IKE uses UDP port 500, AH uses IP protocol 51, and ESP uses IP protocol 50.
7 The ZyWALL/USG supports UDP port 500 and UDP port 4500 for NAT traversal. If you enable this, make sure the To-ZyWALL security policies allow UDP port 4500 too.
Настройка IPSec VPN
IPSec VPN состоит из двух фаз: Phase-1 (также известная как IKE) и Phase-2 (также известная как IPSec). Целью Phase-1 является установление защищенного канала связи с использованием алгоритма обмена ключами Диффи-Хеллмана (DH) для генерации общего секретного ключа для шифрования связи IKE. Это согласование приводит к единственной двунаправленной ассоциации безопасности (SA) ISAKMP. Аутентификация может быть выполнена с использованием предварительно общего ключа (пароля) или сертификата. Во время Phase-2 удаленный клиент IPSec использует безопасный канал, установленный в Phase-1, для согласования SA для IPSec. В результате переговоров получается как минимум две однонаправленные SA, одна входящая и одна исходящая.
Создание политики VPN Gateway (Phase1)
Чтобы создать политику VPN Phase1, перейдите в «Configuration -> VPN -> IPSec VPN» и выберите вкладку « VPN Gateway ». Нажмите кнопку Add (Добавить), чтобы вставить новое правило VPN.
- Выберите опцию “Show Advanced Settings” в левом верхнем углу и убедитесь, что флажок включения установлен
- Укажите имя для VPN Gateway — например, IKEv2_Tunnel
- Выберите IKEv2 в разделе “IKE Version”
- Настройте параметры“Gateway Settings”, для “My Address” (адрес шлюза) and “Peer Gateway Address” (адрес клиента — динамический)
- Установите в разделе «Authentication» использование «Certificate», щелкните раскрывающийся список и выберите необходимый сертификат
- Добавьте следующие комбинации криптоалгоритмов в «Phase1 Settings»
- -3DES / SHA1
- -AES128 / MD5
- -AES128 / SHA1
- Выберете DH2 для «Key Group»
- Установите флажок для опции “Enable Extended Authentication Protocol” (Включить расширенный протокол аутентификации), а так же выберите «Server Mode» (Режим сервера) и выберите из списка ранее созданную группу пользователей для «Allowed Users» (Разрешенные пользователи)
- Нажмите ОК, чтобы сохранить настройки
Создать политику VPN-соединения (Phase2)
Чтобы создать политику VPN Phase2, перейдите на вкладку «VPN Connection» в меню « Configuration -> VPN -> IPSec VPN» . Нажмите кнопку Add (Добавить), чтобы вставить новое правило VPN.
Выберите опцию «Show Advanced Settings» в левом верхнем углу и убедитесь, что флажок включения установлен
Укажите имя для VPN-подключения — например, IKEv2_Tunnel
Установите параметр «VPN Gateway», чтобы использовать сценарий Remote Access (Server Role) — удаленный доступ (роль сервера)
Щелкните раскрывающийся список для опции «VPN Gateway» и выберите ранее созданную политику Phase1
Установите параметр «Local Policy», чтобы использовать объект адреса, созданный для всего трафика , если разрешен только доступ к локальной сети, выберите объект адреса для локальной сети
Но обратите внимание, что, когда клиент Windows IKEv2 устанавливает VPN-туннель, он будет пытаться отправить весь трафик через это соединение. Если весь трафик не разрешен параметром Local Policy, то доступ в Интернет будет потерян, пока установлено VPN-соединение
Чтобы обойти это ограничение, необходимо добавить маршруты политики в таблицу маршрутизации ОС Windows. (Zyxel не поддерживает создание маршрутов в операционных системах компьютеров)
Установите флажок “Enable Configuration Payload”
Установите «Пул IP-адресов»
Добавьте необязательные адреса сервера DNS и / или WINS
- Добавьте следующие комбинации криптоалгоритмов в «Phase2 Settings»
- -3DES / SHA
- -AES128 / SHA256
- -AES256 / SHA1
Нажмите ОК, чтобы сохранить настройки
Test the IPSec VPN Tunnel
1 Go to ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, the Status connect icon is lit when the interface is connected.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
2 Go to ZyWALL/USG MONITOR > VPN Monitor > IPSec and verify the tunnel Up Time and Inbound(Bytes)/Outbound(Bytes) Traffic.
MONITOR > VPN Monitor > IPSec
3 To test whether or not a tunnel is working, ping from a computer at one site to a computer at the other. Ensure that both computers have Internet access (via the IPSec devices).
PC with ZyWALL IPSec VPN Client installed > Window 7 > cmd > ping 192.168.1.33
PC behind ZyWALL/USG > Window 7 > cmd > ping 172.101.30.73
Исходные данные
Итак, мы хотим получить доступ со смартфона к серверу, расположенному у вас дома. Для этого нам нужно соединить два туннеля. Один с роутера Keenetic, второй со смартфона Android. Конечно, вы можете подключить туннель к VPNKI прямо с сервера, но это более простая задача и мы рассмотрим ее в другой инструкции. Между тем вариант непростой.
Устройство n. 1 – домашний роутер Zyxel Keenetic.
«Позади» (как видно из Интернета) находится ваша домашняя сеть с внутренней адресацией.
Например, все устройства в домашней сети имеют адреса 192.168.1.1, 192.168.1.2, 192.168.1.3 и т.д. С маской 255.255.255.0
Таким образом, все устройства образуют единую сеть с адресом 192.168.1.0 с маской 255.255.255.0. Для тех, кто не знаком с терминологией, небольшое пояснение: есть адреса устройств, а также адрес самой сети, которая описывает все ваши устройства вместе. В этом примере адрес 192.168.1.0 с маской 255.255.255.0 описывает все ваши устройства.
Допустим, адрес 192.168.1.1 – это адрес вашего маршрутизатора в домашней сети, а 192.168.1.33 – это адрес сервера в домашней сети, к которому мы хотим получить доступ.
№ устройства 2 – это смартфон на базе Android (версии 4.2 и новее), подключенный через мобильную сеть по протоколу PPTP / L2TP.
Вам понадобится любая утилита на Android, реализующая тестовый функционал: команда ping. Например, мы используем утилиту Ping and DNS, установленную Google Play.
Доступ с правами root не требуется.
Настройка в дистрибутивах Linux
Чтобы подключить через PPPoE протокол ПК с Linux, нужно учитывать, что для внесения любых изменений в ОС потребуются ROOT-права. Их получение отличается в зависимости от дистрибутива.
Обычно для настройки параметров при работе в Linux используется терминал. Он комфортен в обращении и предлагает широкий набор функций, но стоит знать как минимум начальный набор команд.
FreeBSD
Настройка PPPoE в этой ОС выполняется в файле конфигурации ppp.conf, расположенном по пути: /etc/ppp/. Он имеет вид, как на скриншоте ниже.
Чтобы создать соединение, нужно изменить файл в виде:
Default:
Set log Phase tun command
myisp:
set device PPPoE: rl0
set authname your_login
set authkey your_password
enable dns
add default HISADDR
Расшифровка параметров:
- set – установка параметров в системе;
- log – запись событий в журнал;
- phase – разделение записей в лог-файле на этапы для простоты понимания;
- tun – виртуальное устройство, формирующее подключение, в этом случае – «туннелирование»;
- comand – сохранение в журнал входящих запросов;
- myisp – наименование соединения, можно ввести любое слово;
- device – задействованное для подключения физическое устройство;
- PPPoE – указание используемого протокола;
- authname, authkey – имя пользователя и пароль, вместо строк «your_name» и «your_pasword» ввести данные, выданные провайдером;
- enable dns – сведения о серверах DNS получать из файла etc/resolv.conf.
- add default – команда, указывающая, что для соединения должен быть использован указанный в Linux по умолчанию адрес;
- HISSADR – IP-адрес подключенного сервера.
В файл resolv.conf самостоятельно внести данные, выданные провайдером. Они добавляются в строки «nameserver».
После ввода команд запустить соединение запросом: #ppp – ddial myisp. Чтобы вручную не вводить постоянно запрос, открыть файл автозапуска по адресу: /etc/rc.conf и ввести данные:
#echo ‘ppp_enable=”YES»’
#echo ‘ppp_mode=”ddial»’
#echo ‘ppp_profile=”myisp»
Чтобы вручную завершить соединение, а затем заново его запустить, нужно воспользоваться командами «/etc/rc.d/ ppp stop» и «/etc/rc.d/ ppp start» соответственно.
Debian и производные ОС
Руководство для Debian и Ubuntu:
- Запустить терминал, ввести запрос «sudo pppoeconf», где «sudo» — SuperUser do – означает запуск от имени администратора, а «pppoeconf» — переход к корректировке настроек PPPoE.
- Ввести пароль для входа в ОС.
- В окне, предупреждающем о добавлении изменений в файл, подтвердить действие. ОС выполнит поиск сетевых устройств. Выбрать нужное.
- Система выполнит поиск PPPoE. Если соединение не будет установлено, нужно посмотреть, подключен ли к устройству провод.
- В появившемся окне выбрать «Да», чтобы добавить параметры «noauth» и «defaultroute» и удалить параметр «nodetach».
- Появится оповещение о редактировании конфигурации «dsl-provider». Нужно сделать резервную копию, чтобы в случае сбоя иметь возможность восстановить начальную версию, а затем продолжить работу с новой конфигурацией.
- Ввести логин, предоставленный поставщиком услуг.
- Указать пароль.
- Подтвердить добавление адреса сервера в автоматическом режиме.
- Кликнуть «Да» в новом окне.
- Установить соединение, кликнув «Да».
- Проверить соединение, нажав «Да».
Создание подключения завершено.
Настройка IPSec VPN на стороне филиала (Branch_B):
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway и нажмите Enable. Укажите имя VPN шлюза в поле VPN Gateway Name.
Укажите основной и резервный IP-адрес шлюза удалённой стороны в поле Primary и Secondary (Peer Gateway Address) — IP-адрес wan1 стороны Hub_HQ (в примере, 172.16.10.1) и IP-адрес wan2 стороны Hub_HQ (в примере, 172.100.110.1). Включите Fall back to Primary Peer Gateway when possibleи установите желаемое время Fall Back Check Interval.
Введите ключ безопасности (пароль) в поле Pre-Shared Key (8–32 символа), который должен совпадать с настроенным ключом на стороне удаленного филиала (Hub_HQ) и нажмите кнопку ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway
2 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Enable. Укажите имя VPN соединения в поле Connection Name. Выберите сценарий Site-to-site и укажите название VPN-шлюза, созданного в шаге 1.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings and VPN Gateway
Нажмите Create new Object и добавьте объект с адресом локальной сети филиала (Branch_B) и объект-адрес с локальной подсетью стороны центрального офиса (Hub_HQ).
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object
Укажите созданные объекты в полях Local Policy (подсеть Branch_B) и Remote Policy (подсеть Hub_HQ). Нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy
3 Перейдите в Network > Routing > Policy Route и добавьте правило маршрутизации, по которому трафик c локальной подсети филиала, при назначении на подсеть удаленного филиала, будет заворачиваться в созданный туннель (с Branch_B на Branch_A).
Нажмите на Create new Object и создайте адрес-объект для локальной сети за филиалом Branch_A. В поле Source Address укажите локальную подсеть стороны Branch_B. В поле Destination Address укажите только что созданный адрес-объект для локальной сети Branch_A. В поле Next-Hop укажите созданный туннель к центральному офису. Нажмите ОК.
Network > Routing > Policy Route
VPN-туннель IPSec
Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:
Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:
ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:
- Активируем сам протокол шифрования.
- Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
- Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
- Тип протокола оставляем, как есть.
- В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
- Прописываем имя «юзера» и пароль для него.
- Секретный ключ придумываем самостоятельно. Например, Test.
- Метод проверки подлинности оставляем, как показано на скриншоте.
- Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
- Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
- Отмечаем галочкой последний пункт.
Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.
Установка клиента Windows IKEv2
Откройте “Network and Sharing Center” на компьютере под управлением Windows и выберите параметр “Set up a new connection or network”.
Команда в RUN для открытия сети и центра общего доступа “control.exe /name Microsoft.NetworkandSharingCenter”
Выберите для нового подключения “Connect to a workplace” и нажмите « Next .
Введите информацию «Internet address», установите флажок “Don’t connect now; just set it up so I can connect later” и нажмите« Далее » .
Введите учетные данные учетной записи пользователя и нажмите « Create », чтобы добавить новое VPN-подключение.
Отредактируйте VPN-правило, которое было создан , щелкнув правой кнопкой мыши на его иконке и перейдя к свойствам. Перейдите на вкладку « Security » и установите следующее:
- Type of VPN (Тип VPN): IKEv2
- Data encryption (Шифрование данных): Require encryption (disconnect if serverdeclines)
- Authentication (Аутентификация): Use Extensible Authentication Protocol (EAP)
- Установите раскрывающийся ниже список в значение: Microsoft: Secured password (EAP-MSCHAPv2) (encryption enabled)
Перейдите на вкладку « Networking» и отключите параметр « Internet Protocol Version 6(TCP/IPv6) .
Нажмите OK, чтобы сохранить настройки.
Дважды щелкните на созданное правило подключения к VPN или щелкните правой кнопкой мыши и выберите «Connect », чтобы открыть VPN подключение. Нажмите кнопку Connect , чтобы начать подключение.
Как только соединение установлено, VPN-клиент получит IP-адрес от шлюза в пределах диапазона, назначенного адресным объектом « IKEv2_POOL ».
