Починаючи з Кенетикос 4.2.1, додано Сервер і клієнт OpenConnect VPN, що дозволяє користувачам налаштувати віддалене підключення SSL VPN до маршрутизатора Keenetic.
Цей тип VPN є своєрідним, оскільки він використовує протоколи безпеки SSL/TLS, які дозволяють безпечну передачу даних через трафік HTTPS. Тип підключення OpenConnect є сумісним аналогом Cisco AnyConnect. OpenConnect VPN - це простий засіб віддаленого доступу до локальної мережі маршрутизатора, що дозволяє користувачам безпечно працювати з будь-якої точки Інтернету, легко проходячи через NAT і брандмауери ISP.
Важливо
Перевага OpenConnect VPN тунелю - це його здатність працювати через хмару. Це дозволяє здійснювати з'єднання між клієнтом і сервером, навіть якщо з двох сторін приватні IP-адреси (SSTP VPN також має цю особливість). Інші сервери VPN вимагають публічної IP-адреси. Передача даних в тунелі використовує HTTPS трафік (TCP/443). Оскільки сервер OpenConnect VPN працює через сервери Keenetic Cloud, його швидкість залежить від кількості користувачів хмари та
їхньої активності
Для підключення до Серверу OpenConnect Вам потрібно буде встановлювати додаткові програми та компоненти в Windows, iOS та Android. Маршрутизатор Keenetic самостійно може працювати як Клієнт OpenConnect. Більше інформації в статті OpenConnect VPN client.
Щоб налаштувати сервер, необхідно встановити Сервер OpenConnect VPN. Ви можете зробити це на сторінці Параметри системи в секції KeeneticOS Оновлення та параметри компонентів натиснувши Змінити набір компонентів.
Як тільки це буде зроблено, перейдіть до сторінки Додатки. Тут ви побачите плитку Сервер OpenConnect VPN .
Щоб сервер працював, маршрутизатор повинен бути попередньо зареєстрований у хмарному сервісі KeenDNS шляхом отримання імені в домені keenetic.link, keenetic.pro або keenetic.name, що підтримує роботу з безпековим SSL сертифікатом. В інакшому випадку клієнт, який підключається до сервера, не зможе встановити надійне HTTPS-з'єднання. Для отримання інформації про те, як зареєструвати ім'я KeenDNS, див. статтю KeenDNS service.
Для підключення до VPN-сервера автоматично буде згенеровано доменне ім'я 4-го рівня маршрутизатора; воно буде вказано в полі Адреса сервера і буде виглядати так ****.*****.keenetic.* (У нашому прикладі це 9413.*****.keenetic.pro). Саме цю адресу вам доведеться ввести в налаштуваннях VPN-клієнта для підключення до сервера.
Тепер перейдемо безпосередньо до конфігурації сервера VPN.
На сторінці Додатки натисніть посилання Сервер OpenConnect VPN.
У основних налаштуваннях за замовчуванням в Доступ до мережі вибрано Домашня мережа. При необхідності можна вказати сегмент, відмінний від Домашньої мережі. В цьому випадку через VPN тунель буде доступ до зазначеного сегмента.
Загальну кількість можливих одночасних з'єднань можна встановити, налаштувавши розмір пулу IP-адрес. Як і початкову IP-адресу, цей параметр не слід змінювати без потреби.
Важливо
Якщо Початкова IP-адреса потрапляє в мережевий діапазон сегмента, зазначеного в полі Доступ до мережі , вмикається функція ARP Proxy, що дозволяє отримати доступ до такого VPN-клієнта із зазначеного локального сегмента. Наприклад, якщо в полі Доступ до мережі встановлено Домашня мережа 192.168.1.0 з маскою 255.255.255.0 і налаштуваннями серверу DHCP: Початкова IP-адреса: 192.168.1.33, Пул IP-адрес: 120, Ви можете встановити для VPN-сервера Початкову IP-адресу 192.168.1.154, яка потрапляє в діапазон 192.168.1.1.1–192.168.1.254, і мати доступ з Домашньої мережі до клієнтів VPN сервера нарівні з доступом до локальних клієнтів.
Паралельний вхід - це налаштування дозволяє встановлення декількох одночасних з'єднань з сервером за допомогою однакових облікових даних. Це не рекомендований сценарій через знижену безпеку та незручний моніторинг. Однак для початкової конфігурації або випадків, коли ви хочете дозволити тунелі з декількох пристроїв одного користувача, опцію можна залишити увімк неною.
Важливо
Якщо опція Паралельний вхід вимкнена, є можливість призначити статичну IP-адресу для клієнтів. Ви можете зробити це на сторінці конфігурації сервера VPN у секції Користувачі.
За замовчуванням в конфігурації сервера опція NAT для клієнтів відключена . Цей параметр використовується для доступу клієнтів сервера VPN до Інтернету. У разі Хмарного доступу (Служба KeenDNS налаштування), ми рекомендуємо не використовувати NAT для клієнтів, оскільки пропускна здатність тунелю хмарного з'єднання може бути нижчою, ніж пропускна здатність сервера або клієнтського підключення до Інтернету.
Camouflage mode забезпечує додаткову безпеку підключення OpenConnect VPN від віддаленого сканування доступних сервісів.
У розділі Користувачі виберіть облікові записи користувачів, яким потрібно дозволити доступ до сервера OpenConnect і до локальної мережі. Тут ви також можете додати нового користувача, вказавши ім'я та пароль.
Після налаштування сервера VPN встановіть перемикач на Увімкнено.
Статистика підключення дозволяє переглядати стан з'єднання та додаткову інформацію про активні сеанси.
Якщо ви хочете організувати клієнтський доступ не тільки до локальної мережі VPN-сервера, але й у зворотному напрямку, тобто від мережі сервера VPN до віддаленої мережі VPN-клієнта, щоб забезпечити обмін даними між двома сторонами тунелю VPN, зверніться до інструкцій Routing networks over VPN.
Примітка
Для підключення до сервера в якості клієнта можна використовувати:
Маршрутизатор Keenetic — стаття OpenConnect VPN client;
Мобільний пристрій Android - Підключення OpenConnect VPN з Андроїд.