Как настроить прокси на роутере zyxel

Меняем функции кнопок

Смена функций кнопок — это нововведение в сфере сетевой техники. Ее используют для того, чтобы сделать маршрутизатор более удобным для конкретного пользователя.

Для реализации подобной замены имеется кнопка «FN», находящаяся рядом с кнопкой сброса настроек.

Остальное можно сделать в веб-интерфейсе самостоятельно без посторонней помощи:

зайти на домашнюю страницу роутера и выбрать вкладку «система»;

в обновленном окне выбрать раздел «кнопки»;

выбрать кнопку и указать ее новую функцию;

нажать на опцию «применить».

Таким образом, кнопка «FN» будет запрограммирована на новую функцию.

Настройка маршрутизатора Zyxel Keenetic Omni не так труда, как кажется на первый взгляд. Можно наладить работу в интернете удаленно, настроить принтер или даже цифровое ТВ.

Простой и понятный веб-интерфейс поможет начинающему пользователю самостоятельно без помощи профессионала подключиться к интернету. Главное — строго следовать инструкции.

Первоначальная настройка роутера

Подготовительный этап является обязательной составляющей при организации защищенной сети с использованием роутера Keenetic. Для установки первоначальных настроек необходимо вначале подключить роутер к сети питания. Затем, используя патч-корд, осуществляется соединение роутера с компьютером. Кабель поставщика услуг связи необходимо подключить к разъему WAN роутера.

На следующем этапе рекомендуется обновить микропрограмму сетевого устройства. Настройка VPN-сервера PPTP роутера Keenetic возможна только на приборах с программой NDMS V 2.04.B2.

Перед настройкой защищенной сети следует также определить тип IP-адреса, предоставляемого оператором интернета. Для использования VPN на оборудовании Keenetic потребуется приобрести у провайдера статический айпи.

ШАГ 1: Вход в настройки роутера

Все настройки мы будем производить через обычный веб-интерфейс, доступ к которому можно получить из обычного браузера. Вы можете выполнять настройки с любого устройства, будь то компьютер, ноутбук, телефон или даже телевизор. Откройте браузер и введите один из предложенных адресов в адресной строке (или перейдите по ссылкам):

Далее вам нужно будет ввести свой логин и пароль. Комбинация по умолчанию – админ-админ. Всю информацию о входе в админку роутера можно посмотреть на этикетке внизу устройства.

Как открыть порты в роутере ZyXEL Keenetic? Мы также разберемся с этим, но прежде чем мы начнем, давайте правильно воспользуемся этим понятием. На маршрутизаторе они еще не открываются, а пересылают (перенаправляют или перенаправляют) порты. Самому маршрутизатору эти порты не нужны, но они используются конечными приложениями или даже устройствами в локальной сети. В этом плане Интернет-центр выступает своеобразным проливом, по которому проходит трафик. На финальном устройстве двери уже открыты. Например, на компьютере я тоже расскажу об этом ниже. Надеюсь, мы понимаем эту концепцию.

ШАГ 3: Проброс портов

Сначала вам нужно выяснить, какой порт и протокол использует ваша программа или устройство. Список всех портов можно найти в файле PDF ниже.

Новая прошивка

Например, я настрою проброс портов для компьютера – для работы с удаленным рабочим столом из Windows. Для этого используется TCP-порт 3389.

1. В разделе «Мои сети и Wi-Fi» нажмите «Список устройств».

1. Вам необходимо зарегистрировать устройство, на которое вы будете перенаправлять порт. Просто щелкните по нему.

1. Для начала введите свое имя и нажмите кнопку регистрации.

1. Это устройство появилось в списке ниже, давайте еще раз щелкнем по нему.

1. Установите флажок, как на изображении ниже, чтобы у устройства всегда был IP-адрес. Ниже в разделе «Перенаправление портов» нажмите «Добавить правило».

1. А теперь пройдемся по всем важным моментам:
   1. Описание: введите знакомое имя.
   2. Логин – здесь мы указываем подключение, которое вы используете для Интернета. Мы указываем именно то, что вы создали, в начале, когда вы впервые настраиваете интернет-центр.
   3. Выход: указываем наше зарегистрированное устройство, на которое пойдет перенаправление портов.
   4. Протокол – укажите TCP или UDP. Если вам нужно создать правило для двух протоколов одновременно, вам нужно будет создать две отдельные настройки (для TCP и UDP).
   5. Тип правила: указываем порт или диапазон и ниже вставляем значение.
   6. Порт назначения: используется очень редко, обычно для подмены портов. Например, 80 для 8080.

1. Мы соблюдаем правила.

Старая прошивка

Я покажу пример переадресации для подключения к FTP-серверу. То есть внутри локальной сети системный блок по-прежнему будет подключен к роутеру, на котором будет располагаться FTP. Это будет использовать порт 21 с протоколом TCP.

1. Во-первых, нам нужно зарегистрировать устройство, подключенное к сети: это необходимо, чтобы этому устройству был назначен постоянный IP-адрес. Щелкните значок «Домашняя сеть».

1. Во вкладке «Устройства» нажимаем на наше устройство. Установим флажок «Постоянный IP-адрес». Вы также можете ввести заголовок. Нажмите «Применить».

1. Щелкните значок щита.

1. На первой вкладке «NAT» нажмите кнопку, чтобы добавить правило.

1. А теперь перейдем ко всем пунктам:
   1. Отключить: вы можете включить или отключить переадресацию в любое время.
   2. Расписание заданий: установите расписание для включения или отключения пересылки.
   3. Описание: Здесь вы можете ввести то, что хотите.
   4. Интерфейс – это соединение, через которое проходит Интернет. Его можно посмотреть в разделе «Интернет» (значок планеты), во вкладке «Подключения». PPPoE использует собственное соединение. Для динамического IP «Широкополосное соединение (ISP)».
   5. Протокол: вы можете выбрать из списка, как я. Или укажите порт вручную, для этого выберите тип «TCP» или «UDP». Затем ниже в поле «Открыть» выберите диапазон портов или конкретный вход.
   6. Перенаправить на адрес: указывает на наше зарегистрированное устройство.
   7. Номер нового порта назначения – используется для подмены портов. Часто используется для картографии. Например, при использовании порта 2121 замените его на 21. Он нам не нужен и на практике используется редко.

1. Мы соблюдаем правила. В моем случае мне также нужно включить компонент («Система» – «Обновление»), который работает с FTP. Возможно, вашей задаче понадобится какой-то другой компонент, чтобы вы могли просматривать компоненты, если что-то у вас не работает.

Как настроить прокси-сервер на роутере

Существует множество способов настройки доступа в Интернет с помощью прокси-сервера. Это и программные, и аппаратные решения.

Использование прокси-сервера для доступа к сети можно настроить отдельно для программы или приложения, веб-сайта, браузера, а также в операционной системе на различных устройствах: настольных компьютерах, планшетах, ноутбуках, смартфонах.

Один из наиболее эффективных способов настройки прокси-сервера – это настроить его с помощью маршрутизатора. В этой статье мы рассмотрим основные преимущества использования роутера для выхода в Интернет через прокси-сервер, а также механизм реализации этого решения (пошагово).

Firewall и безопасность

Таблица ограничена 500 записями, причём в это число не входят сервисы, запущенные на самом шлюзе — для них отведена отдельная вкладка. Помимо портов и протоколов, в настройках правил можно указывать только частоту (rate) для каждой записи. Этим сегодня никого не удивишь, и всё это было в домашних роутерах много лет назад.

А вот изюминка Zyxel VPN2S — это возможность отключения доступа к разным типам сайтов для разных категорий пользователей. Настройте менеджерам доступ к соц.сетям, чтобы они могли продавать ваш товар, набиваясь людям в друзьям, дайте техническим специалистам доступ к сайтам с документацией и обзорами, снимите все ограничения с гостей вашего офиса, и запретите начальству читать новости. Причём, вы указываете только категории медиа, а не сайты. Как Zyxel узнаёт, какой сайт к какой категории относится? Вот именно за это вы и платите при оформлении подписки на сигнатуры. И кстати, будьте внимательны: даже если вам через интерфейс управления доступна контентная фильтрация, вам всё равно нужно приобретать лицензию для активации данного сервиса.

Это действительно очень крутая функция, которая способна поднять рабочий ритм в вашей фирме, не давая отвлекаться на всякие там Ютубы, особенно если ваш офис — под землёй, где не ловит 4G.

mikrotik firewall

Начнём с фаервола. IP – Firewall – address-list. Для того что бы не создавать правило под каждый зиксель или любое другое устройство которое мы потом будем подключать к миротикку будем использовать address-list итак, жмём add (+)

Name – имя списка, Address – внешний ip зикселя. Переходим на вкладку Filter Rules и создаем правило (+).На вкладке general – chain — input

На вкладке Advanced в Src. Address List выбираем наш список

На вкладке Action ставим accept

Ставим правило ВЫШЕ всех запрещающих.

Если нам потом потребуется подключить ещё какие-то устройство, правило создавать уже не надо будет, надо будет только добавить адрес в address list.
Дальше так же в Address-list добавляем ещё один список — anti-nat, поскольку с zyxel ipsec будет работать в тунельном режиме, надо исключить пакеты предназначающиеся в сеть зикселя из маскарада.

Переходим на вкладку NAT и в правилах где есть srcnat на вкладке Аdvanced добавляем наш список с галочкой в dst.

В данном случае рассматривается дефолтная настройка микротика, где в NAT будет всего одно правило.

Галочка в правилах означает отрицание. Т.е. правило будет срабатывать для всех адресов назначения КРОМЕ тех что мы добавили в список anti-nat.

Если будем добавлять ещё устройство, то правила уже менять не надо, только подсети в список anti-nat добавляем.

Как установить и как пользоваться OpenVPN

• Скачайте OpenVPN для Windows по официальной ссылке внизу этого обзора, запустите файл и следуйте инструкции.
• Скачайте файл конфигурации подключения . ovpn, для подключения к серверу ретрансляции. Загрузить OpenVPN Config file можно на — https://www.vpngate.net/en/.
• Выберите VPN-сервер, к которому вы хотите подключиться и кликните на файл *.ovpn, скачайте его. Далее нужно переместить файл *.ovpn в папку config — C:\Program Files\OpenVPN\config.
• Кликните по иконке OpenVPN GUI и выберите запуск от имени администратора.
• Статус подключения будет отображаться на экране.
• После проделанных манипуляций в системе Windows создается виртуальный сетевой адаптер и этот адаптер получит IP-адрес, который начинается с 10.211. Виртуальный адаптер получит адрес шлюза по умолчанию (проверить конфигурацию можно командой ipconfig /all в командной строке). Командой tracert 8.8.8.8 — убедиться, что трафик будет проходить через VPN-сервер.

Автоматическая настройка

Самый простой способ. Если IP-адрес провайдер присваивает по DHCP и не требует привязки MAC-адреса, подключение будет установлено без участия пользователя, нужно только подождать несколько минут. Если же IP статический и неизвестен или требуется узнать MAC-адрес, проще всего это сделать через командную строку.

Сначала нужно её запустить: Win+R – cmd – Enter:

После этого ввести команду ipconfig /all и посмотреть на строки вывода, отмеченные на следующей картинке красным:

Это и есть MAC-адреса сетевых адаптеров. Вписать нужно тот, который зарегистрирован у провайдера. Если пользователь не знает, какой именно, лучше поинтересоваться у службы поддержки.

После всех этих манипуляций настройка Zyxel Keenetic Start пройдёт без участия юзера, а в конце он получит полностью готовое подключение к интернету.

Приоритеты подключений

Чем отличаются сети 3G от 4G: особенности, преимущества и недостатки

Начиная с версии 2.0, прошивка роутеров Zyxel поддерживает функцию приоритезации. По сравнению с первой версией можно по-разному комбинировать соединения.

Создаваемые соединения используют физические порты сетевого устройства или виртуальные интерфейсы. Каждому каналу связи, созданному на устройстве, назначается приоритет. Его значение изменяется вручную или остается неизменным:

На скриншоте самый высокий приоритет отдается интерфейсу интернет-провайдера. Это настройка по умолчанию для доступа в Интернет через сетевой кабель.

Далее идет Yota: беспроводное соединение. Если первый вариант перестанет работать, роутер автоматически перейдет в указанный режим. Таким образом настраиваются резервные каналы связи и VPN-подключения.

Замер скорости

Ну а теперь самое интересное – как быстро всё работает. Я мерял подключение на основном Windows ПК, подключённом к роутеру кабелем. Остальные устройства не отключал – не вижу смысла в “лабораторных” замерах, если в реальной жизни условия довольно суровые. Сначала подключил ПК к профилю VPN по L2TP/IPSec, выбрав сервер в Швеции. Почему в Швеции? Ну потому, что там не блокируют пол-интернета, Швеция близко к Москве, и связь пошустрее, чем в Финляндии и Эстонии.

Тест проводил на Яндекс.Интернете и рандомном сервере в Speedtest.net. Как видно, там сервис нашёл какой-то сервер в Швеции, т.к. решил, что я сам нахожусь в Швеции. Это нам только на руку – замерим трафик до Стокгольма.

Два скриншота выше – замеры скорости по L2TP/IPSec

Как видно, всё вполне шустро. Теперь с теми же настройками, но без VPN, чтобы сравнить с “нормальным” интернетом, без VPN (поскольку VPN всё же замедляет чуток):

Два скриншота выше – подключение без VPN

Здесь пинг получился внезапно даже больше, чем по VPN, однако это можно объяснить большим количеством узлов.

Ну а теперь, под занавес, Open VPN, от того же провайдера Express VPN, с сервером в той же Швеции:

Два скрина выше – подключение к OpenVPN с помощью роутера. Тут надо отметить, что сами тесты скорости работали раза с десятого.

Думаю, комментарии излишни. Open VPN в целом неплохо работает на компьютере через какой-нибудь фирменный клиент VPN-провайдера, но на Keenetic его стоит настраивать лишь за неимением лучшего. L2TP/IPSec,  с другой стороны, – продвинутая штука для быстрого, но свободного интернета, при этом ещё и с высокой секьюрностью.

What Can Go Wrong?

1        If you see log message such as below, please make sure both ZyWALL/USG and ZyWALL IPSec VPN Client use the same Pre-Shared Key to establish the IKE SA.

MONITOR > Log

2        If you see or log message such as below, please check ZyWALL/USG Phase 1 Settings. ZyWALL/USG and ZyWALL IPSec VPN Client must use the same Encryption, Authentication method, DH key group and ID Type/Content to establish the IKE SA.

MONITOR > Log

3        If you see that Phase 1 IKE SA process done but still get or log message as below, please check ZyWALL/USG Phase 2 Settings. ZyWALL/USG and ZyWALL IPSec VPN Client must use the same Active Protocol, Encapsulation, Proposal, PFS and set correct Local Policy to establish the IKE SA.

MONITOR > Log

4        If you see log message as below, please make sure you create a user account for the ZyWALL IPSec VPN Client user on ZyWALL/USG or the external authentication server. Or please check your password matches the settings in the user account.

MONITOR > Log

5   Make sure the service HTTPS Port on IPSec VPN Client application is available.

6    Make sure the To-ZyWALL security policies allow IPSec VPN traffic to the ZyWALL/USG. IKE uses UDP port 500, AH uses IP protocol 51, and ESP uses IP protocol 50.

7    The ZyWALL/USG supports UDP port 500 and UDP port 4500 for NAT traversal. If you enable this, make sure the To-ZyWALL security policies allow UDP port 4500 too. 

Настройка IPSec VPN

IPSec VPN состоит из двух фаз: Phase-1 (также известная как IKE) и Phase-2 (также известная как IPSec). Целью Phase-1 является установление защищенного канала связи с использованием алгоритма обмена ключами Диффи-Хеллмана (DH) для генерации общего секретного ключа для шифрования связи IKE. Это согласование приводит к единственной двунаправленной ассоциации безопасности (SA) ISAKMP. Аутентификация может быть выполнена с использованием предварительно общего ключа (пароля) или сертификата. Во время Phase-2 удаленный клиент IPSec использует безопасный канал, установленный в Phase-1, для согласования SA для IPSec. В результате переговоров получается как минимум две однонаправленные SA, одна входящая и одна исходящая.

Создание политики VPN Gateway (Phase1)

Чтобы создать политику VPN Phase1, перейдите в «Configuration -> VPN -> IPSec VPN» и выберите вкладку « VPN Gateway ». Нажмите кнопку Add (Добавить), чтобы вставить новое правило VPN.

• Выберите опцию “Show Advanced Settings” в левом верхнем углу и убедитесь, что флажок включения установлен
• Укажите имя для VPN Gateway — например, IKEv2_Tunnel
• Выберите IKEv2 в разделе “IKE Version”
• Настройте параметры“Gateway Settings”, для “My Address” (адрес шлюза) and “Peer Gateway Address” (адрес клиента — динамический)
• Установите в разделе «Authentication» использование «Certificate», щелкните раскрывающийся список и выберите необходимый сертификат
• Добавьте следующие комбинации криптоалгоритмов в «Phase1 Settings»
  • -3DES / SHA1
  • -AES128 / MD5
  • -AES128 / SHA1
• Выберете DH2 для «Key Group» 
• Установите флажок для опции “Enable Extended Authentication Protocol” (Включить расширенный протокол аутентификации), а так же выберите «Server Mode» (Режим сервера) и выберите из списка ранее созданную группу пользователей для «Allowed Users» (Разрешенные пользователи)
• Нажмите ОК, чтобы сохранить настройки

Создать политику VPN-соединения (Phase2)

Чтобы создать политику VPN Phase2, перейдите на вкладку «VPN Connection» в меню « Configuration -> VPN -> IPSec VPN» . Нажмите кнопку Add (Добавить), чтобы вставить новое правило VPN.

Выберите опцию «Show Advanced Settings» в левом верхнем углу и убедитесь, что флажок включения установлен
Укажите имя для VPN-подключения — например, IKEv2_Tunnel
Установите параметр «VPN Gateway», чтобы использовать сценарий Remote Access (Server Role) — удаленный доступ (роль сервера)
Щелкните раскрывающийся список для опции «VPN Gateway» и выберите ранее созданную политику Phase1
Установите параметр «Local Policy», чтобы использовать объект адреса, созданный для всего трафика , если разрешен только доступ к локальной сети, выберите объект адреса для локальной сети

Но обратите внимание, что, когда клиент Windows IKEv2 устанавливает VPN-туннель, он будет пытаться отправить весь трафик через это соединение. Если весь трафик не разрешен параметром Local Policy, то доступ в Интернет будет потерян, пока установлено VPN-соединение

Чтобы обойти это ограничение, необходимо добавить маршруты политики в таблицу маршрутизации ОС Windows. (Zyxel не поддерживает создание маршрутов в операционных системах компьютеров) 
Установите флажок “Enable Configuration Payload” 

Установите «Пул IP-адресов»  

Добавьте необязательные адреса сервера DNS и / или WINS 

• Добавьте следующие комбинации криптоалгоритмов в «Phase2 Settings»
  • -3DES / SHA
  • -AES128 / SHA256
  • -AES256 / SHA1

Нажмите ОК, чтобы сохранить настройки

Test the IPSec VPN Tunnel

1     Go to ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, the Status connect icon is lit when the interface is connected.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

2     Go to ZyWALL/USG MONITOR > VPN Monitor > IPSec and verify the tunnel Up Time and Inbound(Bytes)/Outbound(Bytes) Traffic.

MONITOR > VPN Monitor > IPSec

3     To test whether or not a tunnel is working, ping from a computer at one site to a computer at the other. Ensure that both computers have Internet access (via the IPSec devices).

PC with ZyWALL IPSec VPN Client installed > Window 7 > cmd > ping 192.168.1.33

PC behind ZyWALL/USG > Window 7 > cmd > ping 172.101.30.73

Исходные данные

Итак, мы хотим получить доступ со смартфона к серверу, расположенному у вас дома. Для этого нам нужно соединить два туннеля. Один с роутера Keenetic, второй со смартфона Android. Конечно, вы можете подключить туннель к VPNKI прямо с сервера, но это более простая задача и мы рассмотрим ее в другой инструкции. Между тем вариант непростой.

Устройство n. 1 – домашний роутер Zyxel Keenetic.

«Позади» (как видно из Интернета) находится ваша домашняя сеть с внутренней адресацией.
Например, все устройства в домашней сети имеют адреса 192.168.1.1, 192.168.1.2, 192.168.1.3 и т.д. С маской 255.255.255.0
Таким образом, все устройства образуют единую сеть с адресом 192.168.1.0 с маской 255.255.255.0. Для тех, кто не знаком с терминологией, небольшое пояснение: есть адреса устройств, а также адрес самой сети, которая описывает все ваши устройства вместе. В этом примере адрес 192.168.1.0 с маской 255.255.255.0 описывает все ваши устройства.

Допустим, адрес 192.168.1.1 – это адрес вашего маршрутизатора в домашней сети, а 192.168.1.33 – это адрес сервера в домашней сети, к которому мы хотим получить доступ.

№ устройства 2 – это смартфон на базе Android (версии 4.2 и новее), подключенный через мобильную сеть по протоколу PPTP / L2TP.

Вам понадобится любая утилита на Android, реализующая тестовый функционал: команда ping. Например, мы используем утилиту Ping and DNS, установленную Google Play.

Доступ с правами root не требуется.

Настройка в дистрибутивах Linux

Чтобы подключить через PPPoE протокол ПК с Linux, нужно учитывать, что для внесения любых изменений в ОС потребуются ROOT-права. Их получение отличается в зависимости от дистрибутива.

Обычно для настройки параметров при работе в Linux используется терминал. Он комфортен в обращении и предлагает широкий набор функций, но стоит знать как минимум начальный набор команд.

FreeBSD

Настройка PPPoE в этой ОС выполняется в файле конфигурации ppp.conf, расположенном по пути: /etc/ppp/. Он имеет вид, как на скриншоте ниже.

Чтобы создать соединение, нужно изменить файл в виде:

Default:

Set log Phase tun command

myisp:

set device PPPoE: rl0

set authname your_login

set authkey your_password

enable dns

add default HISADDR

Расшифровка параметров:

• set – установка параметров в системе;
• log – запись событий в журнал;
• phase – разделение записей в лог-файле на этапы для простоты понимания;
• tun – виртуальное устройство, формирующее подключение, в этом случае – «туннелирование»;
• comand – сохранение в журнал входящих запросов;
• myisp – наименование соединения, можно ввести любое слово;
• device – задействованное для подключения физическое устройство;
• PPPoE – указание используемого протокола;
• authname, authkey – имя пользователя и пароль, вместо строк «your_name» и «your_pasword» ввести данные, выданные провайдером;
• enable dns – сведения о серверах DNS получать из файла etc/resolv.conf.
• add default – команда, указывающая, что для соединения должен быть использован указанный в Linux по умолчанию адрес;
• HISSADR – IP-адрес подключенного сервера.

В файл resolv.conf самостоятельно внести данные, выданные провайдером. Они добавляются в строки «nameserver».

После ввода команд запустить соединение запросом: #ppp – ddial myisp. Чтобы вручную не вводить постоянно запрос, открыть файл автозапуска по адресу: /etc/rc.conf и ввести данные:

#echo ‘ppp_enable=”YES»’

#echo ‘ppp_mode=”ddial»’

#echo ‘ppp_profile=”myisp»

Чтобы вручную завершить соединение, а затем заново его запустить, нужно воспользоваться командами «/etc/rc.d/ ppp stop» и «/etc/rc.d/ ppp start» соответственно.

Debian и производные ОС

Руководство для Debian и Ubuntu:

1. Запустить терминал, ввести запрос «sudo pppoeconf», где «sudo» — SuperUser do – означает запуск от имени администратора, а «pppoeconf» — переход к корректировке настроек PPPoE.
2. Ввести пароль для входа в ОС.
3. В окне, предупреждающем о добавлении изменений в файл, подтвердить действие. ОС выполнит поиск сетевых устройств. Выбрать нужное.
4. Система выполнит поиск PPPoE. Если соединение не будет установлено, нужно посмотреть, подключен ли к устройству провод.
5. В появившемся окне выбрать «Да», чтобы добавить параметры «noauth» и «defaultroute» и удалить параметр «nodetach».
6. Появится оповещение о редактировании конфигурации «dsl-provider». Нужно сделать резервную копию, чтобы в случае сбоя иметь возможность восстановить начальную версию, а затем продолжить работу с новой конфигурацией.
7. Ввести логин, предоставленный поставщиком услуг.

1. Указать пароль.
2. Подтвердить добавление адреса сервера в автоматическом режиме.
3. Кликнуть «Да» в новом окне.
4. Установить соединение, кликнув «Да».
5. Проверить соединение, нажав «Да».

Создание подключения завершено.

Настройка IPSec VPN на стороне филиала (Branch_B):

1     Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway и нажмите Enable. Укажите имя VPN шлюза в поле VPN Gateway Name.  

Укажите основной и резервный IP-адрес шлюза удалённой стороны в поле Primary и Secondary (Peer Gateway Address) — IP-адрес wan1 стороны Hub_HQ (в примере, 172.16.10.1) и IP-адрес wan2 стороны Hub_HQ (в примере, 172.100.110.1). Включите Fall back to Primary Peer Gateway when possibleи установите желаемое время Fall Back Check Interval.  

Введите ключ безопасности (пароль) в поле Pre-Shared Key (8–32 символа), который должен совпадать с настроенным ключом на стороне удаленного филиала (Hub_HQ) и нажмите кнопку ОК.

CONFIGURATION > VPN > IPSec VPN > VPN Gateway

2      Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Enable. Укажите имя VPN соединения в поле Connection Name. Выберите сценарий Site-to-site и укажите название VPN-шлюза, созданного в шаге 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings and VPN Gateway

Нажмите Create new Object и добавьте объект с адресом локальной сети филиала (Branch_B) и объект-адрес с локальной подсетью стороны центрального офиса (Hub_HQ).

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object

Укажите созданные объекты в полях Local Policy (подсеть Branch_B) и Remote Policy (подсеть Hub_HQ). Нажмите ОК.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy

3      Перейдите в Network > Routing > Policy Route и добавьте правило маршрутизации, по которому трафик c локальной подсети филиала, при назначении на подсеть удаленного филиала, будет заворачиваться в созданный туннель (с Branch_B на Branch_A).

Нажмите на Create new Object и создайте адрес-объект для локальной сети за филиалом Branch_A. В поле Source Address укажите локальную подсеть стороны Branch_B. В поле Destination Address укажите только что созданный адрес-объект для локальной сети Branch_A. В поле Next-Hop укажите созданный туннель к центральному офису. Нажмите ОК.

Network > Routing > Policy Route

VPN-туннель IPSec

Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:

Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:

ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:

1. Активируем сам протокол шифрования.
2. Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
3. Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
4. Тип протокола оставляем, как есть.
5. В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
6. Прописываем имя «юзера» и пароль для него.
7. Секретный ключ придумываем самостоятельно. Например, Test.
8. Метод проверки подлинности оставляем, как показано на скриншоте.
9. Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
10. Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
11. Отмечаем галочкой последний пункт.

Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.

Установка клиента Windows IKEv2

Откройте “Network and Sharing Center” на компьютере под управлением Windows и выберите параметр “Set up a new connection or network”.

Команда в RUN для открытия сети и центра общего доступа “control.exe /name Microsoft.NetworkandSharingCenter”

Выберите для нового подключения “Connect to a workplace” и нажмите « Next .

Введите информацию «Internet address», установите флажок “Don’t connect now; just set it up so I can connect later” и нажмите« Далее » .

Введите учетные данные учетной записи пользователя и нажмите « Create », чтобы добавить новое VPN-подключение.

Отредактируйте VPN-правило, которое было создан , щелкнув правой кнопкой мыши на его иконке и перейдя к свойствам. Перейдите на вкладку « Security » и установите следующее:

• Type of VPN (Тип VPN): IKEv2
• Data encryption (Шифрование данных): Require encryption (disconnect if serverdeclines)
• Authentication (Аутентификация): Use Extensible Authentication Protocol (EAP)
• Установите раскрывающийся ниже список в значение: Microsoft: Secured password (EAP-MSCHAPv2) (encryption enabled)

Перейдите на вкладку « Networking» и отключите параметр « Internet Protocol Version 6(TCP/IPv6) .

Нажмите OK, чтобы сохранить настройки.

Дважды щелкните на созданное правило подключения к VPN или щелкните правой кнопкой мыши и выберите «Connect », чтобы открыть VPN подключение. Нажмите кнопку Connect , чтобы начать подключение.

Как только соединение установлено, VPN-клиент получит IP-адрес от шлюза в пределах диапазона, назначенного адресным объектом « IKEv2_POOL ».