7.5 Konfiguracja tuneli VPN
Konfiguracja i zarządzanie połaczeniami VPN na routerach MiDGE/MG102i.
7.5.1. OpenVPN
Administracja
Status administracyjny OpenVPN: Włącz (enabled) lub wyłącz (disabled) OpenVPN
Jeśli włączony, konfiguracja klienta OpenVPN zostanie uruchomiona w momencie ustanowienia łącza WAN. Konfiguracja serwera będzie uruchomiona od razu po starcie urządzenia.
Konfiguracja tuneli
Router wspiera pojedynczy tunel serwera i do 4 tuneli klienckich. Parametry tunelu można ustawić w konfiguracji standardowej albo załadować plik trybu expert – który generujemy z poziomu routera.
Operation mode: Wybierz tryb klienta lub serwera dla tego tunelu
Tryb klienta
|
Primary server address |
Adres głównego serwera OpenVPN dla klientów |
|
Primary server port |
Podstawowy port serwera OpenVPN, domyślny 1194 |
|
Secondary server address |
Dodatkowy adres serwera OpenVPN, do przełączenia w momencie niedostępności serwera głównego (dla klientów) |
|
Secondary server port |
Dodatkowy port serwera (dla klientów) |
|
Type |
Typ urządzenia VPN TUN (routowalne połączenia) albo TAP (sieci mostkowane) |
|
Network mode |
Tryb sieci. Opisuje jak pakiety mają być przekazywane, mogą być routowane albo mostkowanie od albo do wybranego interfejsu. |
|
Cipher |
Rodzaj szyfrowania |
|
Use compression |
Włącz lub wyłącz kompresję OpenVPN |
|
Use keep alive |
Podtrzymanie w przypadku nieaktywności tunelu |
|
Redirect gateway |
Przekierowanie bramki. Wszystkie pakiety będą przekierowane do tunelu VPN. |
|
Protocol |
Rodzaj protokołu do użycia w tunelu |
|
Authentication |
Autentykacja. Można wybrać: bez autentykacji, bazujące na poświadczeniach i bazujące na kluczach i certyfikatach. Klucze i certyfikaty tworzymy w SYSTEM -> Keys/Certificate. Można je także wgrać samodzielnie. |
Tryb serwera
Do utworzenia tunelu serwera potrzebne są następujące pliki:
- server.conf (OpenVPN plik konfiguracyjny),
- ca.crt (root certyfikat),
- server.crt (certyfikat),
- server.key (klucz prywatny),
- dh1024.pem (plik parametrów Diffie hellman),
- katalog (z domyślną nazwą “ccd”) zawierający pliki konfiguracyjne klienta.
Ważne: Tunel OpenVpn wymaga poprawnego czasu systemowego. Proszę się upewnić czy serwery NTP są dostępne. Serwery DNS muszą być także dostępne podczas używania nazw hostów.
Zarządzanie klientami
Po utworzeniu serwera OpenVPN można zarządzać klientami oraz dodawać nowych. Na stronie można także sprawdzić jaki klient jest aktualnie połączony. Ponadto można określić na sztywno adres punktu końcowego tunelu dla każdego klienta i odpowiadającej mu sieci. Można także zdefiniować domyślne ścieżki routingu które będą podane każdemu klientowi jeżeli chcesz przekierować ruch dla wybranych sieci w stronę serwera.
Możesz generować i pobierać pliki trybu eksperckiego do analizy.
Zobacz też:
Konfiguracja tuneli VPN "Krok-po-kroku"7.5.2 IPSec
IPSec jest używany głównie dla zabezpieczania połączenia internetowego przez autentykację i/lub kodowanie pakietów IP w strumieniu danych. IPsec zawiera różne kryptograficzne protokoły i szyfry dla wymiany kluczy i szyfrowania danych.
Administracja
|
IPsec administrative status |
Włącz lub wyłącz IPsec |
|
Propose NAT Traversal |
Proponuj trawersowanie NAT. Używane dla połączeń z trawersowaniem ścieżek, gdzie router modyfikuje adres IP/port pakietów |
Konfiguracja
|
Remote server address |
Adres zdalnego serwera. Adres IP albo nazwa hosta IPsec serwera / respondera / peer’a |
|
Remote LAN address |
Zdalna sieć prywatna, zadeklarowana przez adres IP w notacji decymalnej |
|
Remote LAN subnet mask |
Zdalna sieć prywatna określona przez maskę podsieci w notacji decymalnej |
|
NAT Traversal |
Włącz lub wyłącz NAT Traversal. Trawersowanie NAT jest używane głównie dla połączeń z trawersowaną ścieżka gdzie serwer modyfikuje adresy IP lub porty pakietów. Enkapsułuje pakiety na UDP. |
|
Preshared Key (PSK) |
Klucz wstępny PSK |
|
IKE mode |
Wybierz tryb negocjacji. Domyślny jest tryb główny (ochrona prywatności). Tryb agresywny jest używany przy pracy z dynamicznym adresem punktu końcowego. Jednak jest mniej bezpieczny w porównaniu do trybu głównego i zdradza twoją tożsamość potencjalnemu podsłuchującemu |
|
IKE encryption |
Metoda szyfrowania IKE |
|
IKE hash |
IKE hash |
|
IKE Diffie-Hellman Group |
IKE Diffie-Hellman Group |
|
Perfect Forward Secrecy (PFS) |
Doskonałe utajnienie przekazywania. Ta funkcja rozbudowuje bezpieczeństwo, zapobiega penetracji na protokole wymiany klucza i zapobiega narażeniu podanych wcześniej kluczy |
|
Local ID |
Lokalne ID |
|
Remote ID |
Zdalne ID |
|
ESP encryption |
Metoda szyfrowania ESP |
|
ESP hash |
ESP hash |
|
Status |
Włącz lub wyłącz DPD (metoda podtrzymywania nieaktywnych sesji IKE). DPD wykrywa przerwane połączenia IPsec w szczególności tunelu ISAKMP i odświeża odpowiednie SA (Security Associations) oraz SPI (Security Payload Identifier) dla szybszego ponownego podniesienia tunelu |
|
Detection cycle [sec] |
Ustawienie przerwy w sekundach pomiędzy podtrzymywaniem DPD (RFC 3706) (R_U_THERE, R_U_THERE_ACK), które jest wysyłane dla tego połączenia (domyślnie 30 sekund) |
|
Failure count |
Liczba żądań DPD R_U_THERE na które nie uzyskano odpowiedzi, po których IPsec peer uzna próbę za nie udaną (router będzie próbował wznowić nie działające połączenie automatycznie) |
7.5.3 PPTP
Protokół PPTP jest metodą implementacji wirtualnych prywatnych sieci pomiędzy dwoma hostami. PPTP jest łatwe w konfiguracji i szeroko wdrażane zamiast Microsoft Dial-up networking serwer. Jednak w dzisiejszych czasach nie jest uważane za bezpieczne. Kiedy konfigurujesz tunel PPTP wybierz tryb ‘klient’ lub ‘serwer’.
Tunel Klienta (client) wymaga ustawienia następujących parametrów:
|
Server address |
Adres serwera zdalnego serwera |
|
Username |
Nazwa użytkownika |
|
Password |
Hasło użytkownika |
Zobacz też:
Konfiguracja tuneli VPN "Krok-po-kroku"7.5.4 Dial-in Server
Na tej stronie możesz skonfigurować dostęp wdzwaniany (komutowany) w celu uzyskania połączenia z siecią wewnętrzną lub publiczną. Funkcja wykorzystuje połączenie komutowane typu Voice. Maksymalna prędkość transmisji danych wynosi 9600bps. Równoczesne stosowanie sieci Dial-Out i Dial-In nie jest możliwe.
Jeżeli będzie konieczne stosowanie takiego rozwiązania proponujemy wykupić u operatora usługę DATA lub CSD z niezależnym numerem do transmisji danych (numer przychodzący). Dla połączenia typu DATA sieć GSM inaczej ustawia korekcję błędów oraz kontrolę pakietów danych. Połączenia takie jest wówczas bezstratne, a możliwa do uzyskania szybkość transmisji danych wynosi 14,4kbps (CSD).
Funkcja Dial-in Server nie jest wspierana przez MIDGE-LTE/MG102i-LTE
|
Administrative status: |
Włączony (enabled)/wyłączony (disabled) |
|
Modem: |
Określa modem do którego przychodzą połączenia |
|
Address range start: |
Startowy adres dla klientów połączonych do serwera Dial-in |
|
Address range size: |
Rozmiar puli adresów klientów połączonych do serwera |
|
Dial-in Server Status |
Pokazuje aktualny stan usługi. disabled - wyłączona / enabled - włączona. |
