RussianProxy.ru
Для доступа к ресурсам домашней сети в интернет-центра Keenetic реализована возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec).
В таком туннеле можно абсолютно не волноваться о конфиденциальности данных файлового сервера, IP-телефонии или потоков видеонаблюдения. L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этого типа VPN есть удобный встроенный клиент. К тому же, во многих моделях Keenetic передача данных по L2TP over IPsec ускоряется аппаратно.
Для настройки подключения L2TP/IPsec обязательно нужно установить компонент системы «IPsec VPN». Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав «Изменить набор компонентов».
Для настройки подключения L2TP/IPsec перейдите на страницу «Другие подключения» и в разделе «VPN-подключения» нажмите «Добавить подключение». В окне «Параметры VPN-подключения» в поле «Тип (протокол)» выберите значение «L2TP/IPsec».
В поле «Имя подключения» впишите имя соединения, а в поле «Адрес сервера» укажите IP-адрес или доменное имя сервера. В полях «Имя пользователя» и «Пароль» соответственно укажите данные учетной записи, которой разрешен доступ в локальную сеть по протоколу L2TP/IPsec. В поле «Секретный ключ» укажите предварительно согласованный ключ, который установлен на сервере.
Для настройки параметров IP, расписания работы или определения интерфейса, через который будет осуществляться подключение, нажмите «Показать дополнительные настройки».
После создания подключения переведите переключатель в состояние Включено.
На этой же странице будет отображаться статус данного подключения.
Для проверки соединения с клиентского компьютера обратитесь к какому-нибудь ресурсу в удаленной сети или выполните пинг хоста удаленной сети (локальной сети сервера).
Настройка сервера L2TP/IPsec в Keenetic подробно представлена в статье «VPN-сервер L2TP/IPsec».
Совет: Если данное подключение нужно использовать для выхода в Интернет, назначьте этому соединению самый высокий приоритет. Информацию о приоритетах вы найдете в статье «Приоритеты подключений».
© 1996-2024 RussianProxy.ru — PPTP / L2TP / OpenVPN TCP / OpenVPN UDP VPN сервис, безлимитные тарифы.
RussianProxy.ru
Настройка подключения L2TP over IPSec на роутерах Zyxel Keenetic
Пример настройки подключения L2TP over IPSec на интернет-центре серии Zyxel Keenetic
Возможность подключения к VPN-серверу по протоколу L2TP over IPSec доступна в интернет-центрах Keenetic, начиная с операционной системы NDMS v2.08.B0. На начало 2017 года это уникальная способность среди роутеров для дома и малого офиса.
В интернет-центре Keenetic необходимо произвести следующие настройки:
1. Зайдите в меню Интернет > PPPoE/VPN, нажмите Добавить соединение и в поле Тип (протокол) выберите значение L2TP/IPsec.
2. Укажите следующие параметры:
- Установите галочку в поле Включить;
- Если через данное подключение будет осуществляться выход в Интернет, а не только доступ к удаленной сети, то установите галочку в поле Использовать для выхода в Интернет;
- Если данное подключение должно работать в определенные дни и часы, воспользуйтесь настройкой Рабочее расписание.
- В поле Описание нужно указать название подключения;
- В поле Подключаться через укажите внешний интерфейс или оставьте значение по умолчанию;
- В полях Имя пользователя и Пароль необходимо указать параметры учетной записи, параметры Вашей учетной записи Вы можете посмотреть на странице настроек;
- В поле Секретный ключ необходимо указать Pre-Shared Key: AiS-AliveProxy-VPN;
- В поле Метод проверки подлинности укажите MS-CHAP v2;
- В поле Адрес сервера укажите внешний IP-адрес или доменное имя vpn сервера, имя vpn сервера для Вашего логина Вы можете посмотреть на странице настроек, например pptp-l2tp-vpn-russia-1.atomintersoft.com.
3. После ввода необходимых параметров нажмите кнопку Применить и дождитесь подключения к серверу.
Наш роутер получил выделенный IP 89.208.212.96.
4. Проверим доступность нашего роутера напрямую из интернета:
© 1996-2024 RussianProxy.ru — PPTP / L2TP / OpenVPN TCP / OpenVPN UDP VPN сервис, безлимитные тарифы.
Привязываем статический IP адрес к роутеру KEENETIC на NDMS 2.12 и выше
Обладатели камер, видеорегистратора или сервера в локальной сети, заинтересованы в качественном удаленном доступе к ним. А для этого лучше всего привязать статический IP адрес к роутеру и настроить проброс портов.
Услышали незнакомые термины и захотелось вызвать программиста на дом? В этом нет необходимости. Наша Инструкция написана «человеческим» языком такими же пользователями Сервиса как и Вы. Дочитав ее до конца, Вы убедитесь — процедура настройки удаленного доступа проста, и если немного разобраться, то все легко настроить самостоятельно.
Для Вашего удобства Инструкция интерактивная и поделена на шаги, а слева расположено меню для быстрой навигации. В первом шаге проверим оборудование, во втором привяжем IP, а в третьем настроим доступ. В заключении сделаем Контроль соединения, чтобы все работало стабильно. Инструкция покажет все необходимые сведения для настройки, после активации одного из тарифов в Личном кабинете и перехода по ссылке из данных Устройства.
Не будем терять времени, приступим!
Шаг 1. Готовимся к настройке
Зайдите в веб-интерфейс роутера, указав Логин и Пароль администратора. Как правило, локальный ip-адрес роутера KEENETIC http://192.168.1.1/
Во избежание различных ошибок, обновите программное обеспечение роутера, который будете привязывать к статическому IP адресу. Перейдите по ссылке «Общие настройки системы» в роутер и включите Автоматическое обновление ПО .
Убедитесь что видеокамера, видеорегистратор или сервер работают и открываются в локальной сети по ip-адресу с указанием порта. Адрес можно узнать через веб-интерфейс роутера в разделе «Список устройств».
Например, адрес в браузере может выглядеть так http://192.168.1.1:80/ , где:
- http:// — протокол,
- 192.168.1.1 — локальный ip-адрес,
- 80 — порт, указан через : двоеточие.
В приложениях для видеонаблюдения обычно есть отдельное поле для ввода порта и двоеточие не пишется.
Шаг 2. Авторизуем ID (доступно-после-активации-тарифа)
Авторизация — это успешная привязка роутера KEENETIC к статическому IP адресу 185.195.xxx.xxx после создания и включения в нем L2TP/IPSEC-клиента (один из протоколов передачи данных). Все необходимые сведения, включая Логин и Пароль, есть в табличке Настройки L2TP/IPSEC-клиента.
Обратите внимание: L2TP/IPSEC-клиент из раздела VPN и L2TP/IPSEC-подключение из раздела WAN в роутерах это не одно и то же. Не помешает ознакомиться здесь с нашими рекомендациями и минимальными требованиями к оборудованию.
По истечении 10 минут после того, как был создан L2TP/IPSEC-клиент или изменен протокол авторизации, проверьте в Личном кабинете статус Устройства. Видите надпись « Подключено »? Отлично, теперь можно переходить к следующему «Шагу 3. Проброс портов».
Если же в течение 15 минут подключение не произошло, то стоит обратиться к списку Частых ошибок авторизации. Они находятся ниже блока Настройки L2TP/IPSEC-клиента в этом Шаге.
172.17.1.x и 172.17.1.xxx — это ip-адреса для настройки L2TP/IPSEC-клиента и они не используются для удаленного доступа.
Данные, написанные СИНИМ ЦВЕТОМ , полностью выделяются и копируются в буфер обмена по клику. Вам остается лишь вставить их в соответствующие поля 🙂
Настройки L2TP/IPSEC-клиента
В левом меню роутера перейдите в раздел «Другие подключения» и нажмите кнопку «Добавить подключение».
| Параметр | Значение |
|---|---|
| Использовать для выхода в Интернет | Нет |
| Имя подключения | BiREVIA ID (доступно-после-активации-тарифа) |
| Тип (протокол) | L2TP/IPSEC |
| Адрес сервера | (доступно-после-активации-тарифа) |
| Имя пользователя | (доступно-после-активации-тарифа) |
| Пароль | (доступно-после-активации-тарифа) |
| Секретный ключ | (доступно-после-активации-тарифа) |
| Проверка подлинности | Авто |
| Шифрование данных | Да |
| Сжатие данных (CCP) | Да |
| Дополнительные настройки | |
| Подключаться через | Любое интернет-подключение |
| Настройка IP | Ручная |
| IP-адрес | 172.17.1.xxx |
| Удаленный IP-адрес | 172.17.1.x |
| DNS 1 | |
| DNS 2 | |
| DNS 3 | |
| Подстройка TCP-MSS | Да |
Частые ошибки авторизации
Что-то пошло не так? Не отчаивайтесь! Нажмите на ошибку и узнаете ее решение:
-
После авторизации пропал доступ к интернету
Это случилось, потому что через наш IP адрес заблокирован выход в интернет (подробнее). В настройках L2TP/IPSEC-клиента уберите галку с параметра Использовать для выхода в Интернет . Выключите и включите подключение в роутере с помощью переключателя.
Проверьте Тип (протокол) созданного подключения. Должно быть L2TP/IPSEC. Если это не так, удалите подключение и создайте L2TP/IPSEC-клиент заново. Все получится!
- Несколько раз отключите и включите питание модема с помощью «переключателя»;
- Включите Пропуск L2TP/IPSEC-трафика в настройках вышестоящего роутера или модема;
- Удалите созданный L2TP/IPSEC-клиент. В Личном кабинете выберите другой Протокол, откройте заново или обновите Инструкцию по авторизации. Проделайте все шаги сначала.
- Выключите L2TP/IPSEC-клиент. Выберите другую Локацию в Личном кабинете, откройте заново или обновите Инструкцию по авторизации. Замените в L2TP/IPSEC-клиенте все изменившиеся данные, включите его. Либо удалите его и проделайте все шаги сначала.
Внимательно копируйте все данные из таблички Настройки L2TP/IPSEC-клиента. В примере пароль виден в поле не полностью, но по нажатию выделяется и копируется целиком.
С помощью «переключателя» выключите L2TP/IPSEC-клиент в роутере и откройте его настройки. Скопируйте параметры IP-адрес и Удаленный IP-адрес из примера. Сохраните и снова включите L2TP/IPSEC-клиент.
Вы не расставили все галочки как в примере или в раскрывающихся списках активны другие параметры.
Почти всегда решение такое же, как и у третьей ошибки. Дерзайте!
Сделайте Контроль соединения, про который написано в самом низу страницы. Полный порядок диагностики ищите тут.
Шаг 3. Настраиваем проброс портов (NAT)
А теперь плавно переходим к созданию правил проброса портов. Они необходимы для удаленного доступа к вашему оборудованию из внешней сети. И для того, чтобы роутер знал, с какого порта статического IP адреса на какой локальный ip-адрес и порт девайса ему перенаправлять запрос. К примеру:
Подключение к 185.195.xxx.xxx:10000 перенаправить на 192.168.1.10:80
Вместо статического IP адреса 185.195.xxx.xxx можно использовать домен (доступно-после-активации-тарифа) и номера портов от 10000 до 10099 из диапазона ID (доступно-после-активации-тарифа).
После списка Частых ошибок, связанных с пробросом портов, приведено три примера правил для удаленного доступа. Чтобы убедиться в верной настройке подключения, создайте Правило для роутера.
В левом меню роутера перейдите в раздел «Переадресация» и нажмите кнопку «Добавить правило».
Проверка статуса порта
После добавления правила проброса порта в роутере, введите в поле ниже его номер. Проверка покажет, отвечает ли ваше оборудование (программное обеспечение) на указанном порту статического IP адреса.
185.195.xxx.xxx:
Частые ошибки проброса портов
Добавили правила, но доступа нет? Ничего страшного — выберите ошибку и узнаете ее решение:
-
Нет галочки на параметре Включить правило
Нужно поставить.
В параметре Вход должно быть выбрано название созданного ранее L2TP/IPSEC-клиента. Список интерфейсов упорядочен в алфавитном порядке. Прокрутите выпадающий список вверх, чтобы выбрать BiREVIA ID (доступно-после-активации-тарифа) .
Как бы очевидно это ни звучало — исправьте на корректный в параметре Выход .
В настройках Сети (Network) оборудования в поле Шлюз (GATEWAY) должен быть указан локальный ip-адрес роутера, который вы авторизовали в Шаге 2. После исправления перезагрузите оборудование.
Перепроверьте параметры Настройка IP , IP-адрес и Удаленный IP-адрес . Должно быть указано Ручная , 172.17.1.xxx и 172.17.1.x соответственно. Смотрите пример. Выключите подключение в роутере перед внесением изменений, иначе не получится сохранить.
Отключите Фаервол и Брандмауэр. Перезагрузите компьютер (роутер) и убедитесь, что они действительно не работают. Иногда потребуется отключить еще и Службу Брандмауэра.
Правило для веб-интерфейса видеорегистратора или камеры
Создадим правило проброса порта, чтобы веб-интерфейс камеры или видеорегистратора (доступный в локальной сети, к примеру, по адресу http://192.168.1.10), можно было открыть удаленно по адресу http://(доступно-после-активации-тарифа):10000.
Поле Описание обязательно для заполнения.
| Параметр | Значение |
|---|---|
| Включить правило | Да |
| Описание | DVR веб-интерфейс |
| Вход | BiREVIA ID (доступно-после-активации-тарифа) |
| Выход | 192.168.1.10 |
| Протокол | TCP / UDP |
| Открыть порт | 10000 |
| Порт назначения | 80 |
В большинстве случаев видеопоток берется с другого порта, поэтому веб-интерфейс показывается без видео. Регистратор может даже выдавать ошибки, не позволяя войти в интерфейс. В таком случае создайте дополнительное правило для видеопотока – проброс с ЗАМЕНОЙ порта.
Правило для удаленного просмотра видеопотока
Как следует из названия, правило необходимо, чтобы просматривать видео в приложении или окне браузера. В зависимости от способа просмотра видеопотока, нужно создать одно из двух правил: ПРОСТОЙ проброс или проброс с ЗАМЕНОЙ порта. Последний используется когда в приложении не предусмотрена возможность ручного ввода порта. Это несложная процедура, убедитесь сами:
Покажем, как сделать проброс порта 10001 на Медиа порт камеры или видеорегистратора для просмотра видео в программах вроде CMS, XMEye, gDMSS lite, EYE4 NVR, RViSmartPSS и т.д. Такой порт может называться по-разному: Порт сервера, TCP, UDP, Data порт, RTP, RTSP и т.п., но точно не HTTP (80). Ведь это порт веб-интерфейса. Иногда потребуется делать правило проброса на каждый отдельный порт из раздела Сеть/Порты девайса. Разумеется, надо использовать разные номера портов из диапазона Устройства от 10000 до 10099.
В примере использован локальный порт 34567 видеорегистратора, а у вас он может быть другим: 554, 5000, 9000 и т.д.
| Параметр | Значение |
|---|---|
| Включить правило | Да |
| Описание | DVR видеопоток |
| Вход | BiREVIA ID (доступно-после-активации-тарифа) |
| Выход | 192.168.1.10 |
| Протокол | TCP / UDP |
| Открыть порт | 10001 |
| Порт назначения | 34567 |
Сохранив правило в роутере, после успешной Проверки статуса порта создайте в приложении для видеонаблюдения новое устройство, используя данные:
- Domain: (доступно-после-активации-тарифа)
- IP: 185.195.xxx.xxx
- Port: 10001
- User Name: Имя пользователя видеорегистратора
- Password: Пароль пользователя видеорегистратора
Некоторым девайсам ПРОСТОГО проброса порта будет недостаточно. Приложения, подключающиеся через HTTP порт (SuperLivePro и др.), а также ряд моделей Dahua, RVI потребуют обязательно заменить в видеорегистраторе порт видеопотока (как при просмотре через браузер). Вкладка «проброс с ЗАМЕНОЙ порта» поможет.
Программное обеспечение камер и видеорегистраторов обычно использует надстройку ActiveX для просмотра видео в браузере. Она поддерживается только в Internet Explorer. В EDGE и других браузерах ActiveX нет!
Чтобы ActiveX начал воспроизводить видео в браузере или запустилось приложение, которому мало ПРОСТОГО проброса порта, откройте настройки Сети/Портов девайса. Замените Медиа порт на 10001 и создайте правило как внизу. Такой порт может называться иначе: Порт сервера, TCP, Data порт, RTP, RTSP, UDP и т.п., но только не HTTP (80). Это порт веб-интерфейса.
Смысл проброса с ЗАМЕНОЙ порта состоит в том, что порт 10001 внешнего адреса 185.195.xxx.xxx будет ссылаться на порт с таким же номером локального адреса видеорегистратора. С остальными портами, кроме HTTP (80), нужно проделать то же самое. Разумеется, надо использовать разные номера портов из диапазона Устройства от 10000 до 10099.
После замены портов перезагрузите видеорегистратор!
| Параметр | Значение |
|---|---|
| Включить правило | Да |
| Описание | DVR видеопоток |
| Вход | BiREVIA ID (доступно-после-активации-тарифа) |
| Выход | 192.168.1.10 |
| Протокол | TCP / UDP |
| Открыть порт | 10001 |
| Порт назначения | 10001 |
Сохранив правила в роутере и проведя успешную Проверку статуса порта, можно смотреть видео в приложениях для видеонаблюдения: CMS, XMEye, gDMSS lite, EYE4 NVR, RViSmartPSS и т.п. Создайте новое устройство в приложении, используя учетные данные:
- Domain: (доступно-после-активации-тарифа)
- IP: 185.195.xxx.xxx
- Port: 10001
- User Name: Имя пользователя видеорегистратора
- Password: Пароль пользователя видеорегистратора
Правило для удаленного доступа к роутеру
Рассмотрим пример правила проброса порта на любое локальное оборудование, в т.ч. сам роутер с адресом 192.168.1.1. После того, как веб-интерфейс роутера стал доступен по адресу http://(доступно-после-активации-тарифа):10002/, настройте Контроль соединения.
| Параметр | Значение |
|---|---|
| Включить правило | Да |
| Описание | Роутер KEENETIC |
| Вход | BiREVIA ID (доступно-после-активации-тарифа) |
| Выход | 192.168.1.1 |
| Протокол | TCP / UDP |
| Открыть порт | 10002 |
| Порт назначения | 80 |
Контроль соединения
После настройки удаленного доступа к веб-интерфейсу роутера и успешной Проверки статуса порта, сделайте контроль соединения по TCP-порту роутера через удаленное подключение. Так роутер будет сам проверять свою авторизацию на статическом IP адресе.
В мобильных сетях такой контроль необходим, чтобы модем автоматически перезагружался по питанию в том случае, когда роутер станет недоступен на статическом IP адресе и порту 10002 . Подробнее.
Настройте «Ping Сheck» на модеме, через который роутер получает интернет:
| Параметр | Значение |
|---|---|
| Метод проверки | Проверка TCP-порта |
| Периодичность проверки (с) | 60 |
| Порог срабатывания | 5 |
| Проверять IP-адрес | 185.195.xxx.xxx |
| Порт TCP | 10002 |
Если указать адрес или порт, где ничего нет, или задать периодичность проверки чаще чем раз в минуту, то модем будет перезагружаться постоянно.
Чтобы появился раздел «Ping Сheck», в левом меню роутера перейдите в «Общие настройки» и в разделе «Обновления и компоненты» нажмите кнопку «Изменить набор компонентов». В группе «Улиты и сервисы» поставьте галочку на Контроль состояния интернет-подключения (Ping Check) и затем в самом низу страницы нажмите кнопку «Сохранить»
Как видите, в привязке статического IP адреса к роутеру или ПК действительно нет ничего сложного. Эта процедура не требует специальных познаний, а с нашей универсальной Инструкцией выполнить ее сможет каждый. Более того, рассмотренные принципы настройки, хоть и с небольшими вариациями, применимы и к другому оборудованию 🙂
VPN на все случаи жизни
Для чего нужен VPN-клиент? Ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Keenetic при любом способе доступа в интернет. До сих пор еще встречаются и провайдеры, дающие интернет именно по технологии VPN.
С точки зрения совместимости, вы можете подключаться по PPTP, OpenVPN, L2TP/IPsec с любого интернет-центра Keenetic. Иметь такой универсальный VPN-клиент особенно полезно, если при соединении сетей (например, чтобы получить доступ из городского дома к дачному) на одной стороне (обычно на даче) нет белого IP-адреса.
Помимо VPN-клиента, любая, даже самая младшая модель Keenetic имеет в арсенале аналогичные VPN-серверы: PPTP, OpenVPN, L2TP/IPsec.
Если вы не знаете, какой тип VPN выбрать, возьмите на карандаш, что во многих моделях Keenetic передача данных по IPSec (в том числе L2TP over IPsec) ускоряется аппаратно. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения. PPTP наиболее прост и удобен, но потенциально уязвим. OpenVPN очень популярен в определенных кругах, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPsec.
Если провайдер выдает вам белый IP-адрес, рекомендуем обратить внимание на две опции: так называемый виртуальный сервер IPSec (Xauth PSK) и сервер L2TP over IPSec. Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Если вы вдалеке от дома, в незнакомом или подозрительно месте используете открытую сеть Wi-Fi, ваши данные могут быть перехвачены. Чтобы не волноваться об этом, включите обязательное туннелирование вашего интернет-трафика через домашнюю сеть. Для вас это будет совершенно бесплатно и не опаснее, чем если бы вы выходили в интернет из дома.