Есть личный выделенный сервер, который настроен в качестве VPN-сервера по протоколу L2TP\IPsec (есть так же IKEv2, но аутентифиакция по сертификату, я так понял keenetik поддерживает только login\pass?). К нему подключен домашний Keenetik AIR (KN-1611). Все отлично, трафик ходит.
Есть желание облегчить управление клиентами этого VPN - избежать использования SSH-клиентов, и консолей, т.к. сервер на Debian. Достичь этого решил с помощью сервера IKEv2 поднятого на домашнем Keenetik.
Задумка такая: Keenetik подключен к VPN на постоянку в качестве резервного соединения, с созданной специально для него учетной записи, без всяких шейперов. На самом Keenetik в свою очередь поднят сервер IKEv2 VPN, и вот тут уже мы рулим пользователями - создаем\удаляем\раздаем различные права.
Сервер поднят, клиенты (Iphone, в частности) подключаются, остался один момент: обеспечить маршрутизацию всего трафика, приходящего от клиентов сервера Keenetik на интерфейс IPSec.
И форум читал, и пробовал тестировать таблицы маршрутизации, пробросы портов, настраивать по этой инструкции. Никаких изменений не добился, трафик ходит по тому интерфейсу, который сейчас установлен в качестве приоритетного. Я конечно могу установить в качестве приоритетного соединения IPSec-подключение, и всех локальных клиентов привязать к нужным профилям локального подключения, но не считаю это гибким и правильным решением.
Я понимаю, что скорее всего я где-то подтупливаю, и проблема в какой-то мелочи. В связи с чем вопросы:
1. Есть у кого-нибудь какие либо наводки, или статьи которые еще можно почитать для понимания?
2. Если моя хотелка реализуема, как настроить маршрутизацию для некоторых устройств со статическим адресом (клиенты keenetik vpn) к определенным сегментам\подсетям роутера? Условно говоря, чтобы мои устройства имели доступ к домашней локальной сети, а другие только доступ к IPSec-каналу, для выхода наружу через VPN?
3. Все таки, может я что-то упустил - есть ли возможность настроить IKEv2 с аутентификацией по сертификату (без пары логин / пароль)? т.к. канал провайдера позволяет передавать до 100мбит, и с IKEv2 спокойно достигает до 80мбит\с при тестах speedtest, а вот при поднятом канале L2TP\IPSec, скорость режется вдвое, из-за двойной инкапсуляции. Получается некое узкое горлышко в канале.
Всем заранее спасибо, надеюсь на помощь. Скрины с конфигурацией IP-адресов прикладываю.
You can post now and register later.
If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.
Question
DalasDV
Всем привет.
Есть личный выделенный сервер, который настроен в качестве VPN-сервера по протоколу L2TP\IPsec (есть так же IKEv2, но аутентифиакция по сертификату, я так понял keenetik поддерживает только login\pass?). К нему подключен домашний Keenetik AIR (KN-1611). Все отлично, трафик ходит.
Есть желание облегчить управление клиентами этого VPN - избежать использования SSH-клиентов, и консолей, т.к. сервер на Debian. Достичь этого решил с помощью сервера IKEv2 поднятого на домашнем Keenetik.
Задумка такая: Keenetik подключен к VPN на постоянку в качестве резервного соединения, с созданной специально для него учетной записи, без всяких шейперов. На самом Keenetik в свою очередь поднят сервер IKEv2 VPN, и вот тут уже мы рулим пользователями - создаем\удаляем\раздаем различные права.
Сервер поднят, клиенты (Iphone, в частности) подключаются, остался один момент: обеспечить маршрутизацию всего трафика, приходящего от клиентов сервера Keenetik на интерфейс IPSec.
И форум читал, и пробовал тестировать таблицы маршрутизации, пробросы портов, настраивать по этой инструкции. Никаких изменений не добился, трафик ходит по тому интерфейсу, который сейчас установлен в качестве приоритетного. Я конечно могу установить в качестве приоритетного соединения IPSec-подключение, и всех локальных клиентов привязать к нужным профилям локального подключения, но не считаю это гибким и правильным решением.
Я понимаю, что скорее всего я где-то подтупливаю, и проблема в какой-то мелочи. В связи с чем вопросы:
1. Есть у кого-нибудь какие либо наводки, или статьи которые еще можно почитать для понимания?
2. Если моя хотелка реализуема, как настроить маршрутизацию для некоторых устройств со статическим адресом (клиенты keenetik vpn) к определенным сегментам\подсетям роутера? Условно говоря, чтобы мои устройства имели доступ к домашней локальной сети, а другие только доступ к IPSec-каналу, для выхода наружу через VPN?
3. Все таки, может я что-то упустил - есть ли возможность настроить IKEv2 с аутентификацией по сертификату (без пары логин / пароль)? т.к. канал провайдера позволяет передавать до 100мбит, и с IKEv2 спокойно достигает до 80мбит\с при тестах speedtest, а вот при поднятом канале L2TP\IPSec, скорость режется вдвое, из-за двойной инкапсуляции. Получается некое узкое горлышко в канале.
Всем заранее спасибо, надеюсь на помощь. Скрины с конфигурацией IP-адресов прикладываю.
Link to comment
Share on other sites
0 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.