Netcraze Orbiter 6 (NAP-630) Справочный центр

Интернет-центры Netcraze позволяют настроить подключение к Интернету по выделенной линии Ethernet через провайдеров, использующих любые типы подключений: IPoE, PPPoE, PPTP, L2TP, 802.1x, VLAN 802.1q, IPv4/IPv6.

Также возможно подключение к Интернету через предоставленный провайдером PON-терминал или модем с портом Ethernet.

Кабель выделенной линии Ethernet от провайдера, оканчивающийся стандартным 8-контактным коннектором RJ-45, должен быть проложен до места расположения интернет‐центра и подключен к его порту 0 (WAN/Интернет).

Самый популярный и простой способ подключения к сети по технологии IPoE. При этом способе не потребуется логин и пароль для доступа в Интернет. Достаточно подключить кабель провайдера к порту 0 интернет-центра, а домашние устройства подключить к его сети Wi-Fi или кабелем Ethernet к свободным сетевым портам. Как правило, дополнительной настройки не требуется.

В случае если интернет-провайдер выделил вам постоянный публичный IP-адрес для работы в сети Интернет, его нужно указать в настройках интернет-центра. Для этого перейдите на страницу "Подключения к интернету по Ethernet-кабелю". В разделе "Параметры IPv4" в поле "Настройка IPv4" установите значение "Ручная".

Затем в поле "IPv4-адрес" впишите адрес, предоставленный провайдером.Если интернет-провайдер также предоставил другие параметры IP (маску подсети, адреса шлюза и DNS), укажите их в соответствующих полях. Например:

Некоторые провайдеры ограничивают доступ в Интернет только с одного устройства и регистрируют определенный MAC-адрес. Обычно, пользователь предоставляет провайдеру MAC-адрес сетевого адаптера компьютера. В этом случае доступ в Интернет будет возможен только с данного MAC-адреса.

Если это действительно так и вы знаете MAC-адрес, который зарегистрирован у вашего интернет-провайдера — это может быть адрес вашего предыдущего маршрутизатора, сетевого адаптера вашего ПК или МАC-адрес просто распечатывается в договоре, тогда можно заменить заводской МАС интернет-центра с необходимым MAC-адресом, которые ваш провайдер примет.

На странице "Подключения к интернету по Ethernet-кабелю" в разделе "Требования провайдера" в поле "MAC-адрес" можно выбрать одно из значений:

"По умолчанию" — будет использоваться WAN MAC-адрес, указанный на наклейке интернет-центра;

"Взять с вашего ПК" — произойдет смена WAN MAC-адреса интернет-центра на MAC-адрес вашего компьютера;

"Вручную" — можно вручную указать MAC-адрес, который будет использоваться как WAN MAC-адрес.

Узнать MAC-адрес компьютера вы можете в операционной системе по инструкции "Как в Windows посмотреть настройки сетевой карты (IP-адрес, MAC-адрес и IP-адрес шлюза провайдера)?"

Протокол PPPoE обычно используется при подключении к Интернету по ADSL / VDSL (самый распространенный способ), но иногда такой тип подключения применяется и у провайдеров предоставляющих Интернет по выделенной линии Ethernet.

На странице "Подключения к интернету по Ethernet-кабелю" в разделе "Аутентификация у провайдера (PPPoE)" в поле "Тип (протокол)" укажите значение "PPPoE".

Затем в полях "Имя пользователя" и "Пароль" введите соответственно логин и пароль, предоставленные провайдером для подключения к Интернету.

Нажмите "Показать дополнительные настройки PPPoE" для отображения полей с дополнительными параметрами.

Поля "Имя сервиса" и "Имя концентратора" являются необязательными, оставьте их пустыми, если ваш провайдер не предоставил дополнительной информации.

В поле "Настройка IPv4" оставьте значение "Авто", если IP-адрес для доступа в Интернет провайдер назначает автоматически.

Если провайдер предоставил вам постоянный (статический) IP-адрес, укажите в поле "Настройка IPv4" значение "Ручная" и в появившихся полях "IP-адрес" и "Удаленный IP-адрес" укажите соответственно IP-адрес и адрес шлюза. Например:

Если ваш провайдер не выдает IP-адрес на внешний интерфейс интернет-центра и не требует его назначения, отключите режим автоматического получения IP-адреса по DHCP на WAN-порту. Для этого в разделе "Параметры IPv4" в поле "Настройка IPv4" укажите значение "Не используется".

Протоколы PPTP и L2TP достаточно часто используются в сетях интернет-провайдеров. Главным преимуществом этих протоколов является безопасность передачи данных в Интернет. Далее мы рассмотрим пример настройки подключения по протоколу PPTP, как наиболее распространенного. Подключение L2TP настраивается аналогично.

На странице "Подключения к интернету по Ethernet-кабелю" в разделе "Аутентификация у провайдера (PPPoE / PPTP / L2TP)" в поле "Тип (протокол)" укажите значение "PPTP" или "L2TP", в зависимости от того, какой тип подключения вы хотите настроить. В поле "Адрес сервера" впишите IP-адрес или доменное имя PPTP- или L2TP-сервера. В поля "Имя пользователя" и "Пароль" введите соответственно логин и пароль, предоставленные провайдером для подключения к Интернету.

Нажмите "Показать дополнительные настройки PPTP" для отображения полей с дополнительными параметрами.

Если для протокола PPTP используется шифрование данных (MPPE), включите соответствующую опцию.

В поле "Настройка IPv4" оставьте значение "Автоматическая", если IP-адрес для доступа в Интернет провайдер назначает автоматически.

Если провайдер предоставил вам постоянный (статический) IP-адрес, укажите в поле "Настройка IP" значение "Ручная" и в появившихся полях "IP-адрес" и "Удаленный IP-адрес" укажите соответственно IP-адрес и адрес шлюза. Например:

В большинстве случаев, при использовании в интернет-центре Netcraze предустановленных заводских настроек, цифровое телевидение (IPTV) работает сразу же как на компьютерах, так и на приставках, без предварительной настройки.

Иногда вам может потребоваться подключить домашнюю сеть к Интернету, предоставляемому по Wi-Fi. Это может быть провайдерский хот-спот Wi-Fi, сеть Wi-Fi вашего соседа, сеть какого-то кафе находящегося поблизости или подключение к мобильной точке доступа в смартфоне. Если вы путешествуете со множеством гаджетов, режим WISP (Wireless ISP) будет удобен для подключения к сети Wi-Fi в гостинице. Ваш Netcraze подключается к Wi-Fi сети гостиницы, а все мобильные устройства к его предварительно настроенной, защищенной сети Wi-Fi.

Подключение WISP можно использовать как основное или как резервное, включающееся автоматически при проблемах на основном канале доступа в Интернет.

Подключение к Интернету через беспроводную сеть Wi-Fi провайдера можно настроить на странице Wireless ISP (Подключение к интернету через публичную/соседнюю сеть Wi-Fi). 

На странице Wireless ISP нажмите Обзор сетей для выбора нужной беспроводной сети.

В появившемся окне будут показаны доступные сети Wi-Fi, находящиеся в радиусе действия интернет-центра. Выберите нужную сеть (щелкните по ней мышкой).

Затем вы снова окажетесь на странице Wireless ISP (Подключение к интернету через публичную/соседнюю сеть Wi-Fi).

При выборе беспроводной сети автоматически устанавливаются значения полей Имя сети (SSID) и Защита сети. В поле Пароль нужно ввести пароль для доступа к выбранной сети Wi-Fi.

По умолчанию установлена автоматическая настройка Параметров IPv4, т.е. интернет-центр при подключении к вышестоящей точке доступа получит IP-адрес автоматически. Если вам нужно установить постоянный (статический) IP-адрес, IP-адрес шлюза и DNS-сервера, укажите их в соответствующих полях, выбрав в поле Настройка IPv4 значение Ручная. Например:

Для смены локального IP-адреса интернет-центра перейдите на страницу Домашняя сеть, и в разделе Параметры IP в поле IP-адрес введите частный IP-адрес, отличный от 192.168.1.1 (например, укажите IP-адрес 192.168.0.1).

Для запуска подключения Wireless ISP переведите переключатель в состояние Включено.

После успешного подключения, на стартовой странице Системный монитор в разделе Интернет отобразится информация о текущем подключении.

Подключение Wireless ISP может быть определено как основное или резервное.

При использовании резервирования подключений, когда соединение Wireless ISP настроено в качестве основного, на этой же странице вы можете включить Проверка доступности Интернета (Ping Сheck). В этом случае, при сбое основного подключения интернет‑центр автоматически переключится на работу с резервным.

Примечание

С версии NDMS 3.8.2 добавлена новая опция Номер канала для подключения Wireless ISP, которая позволяет установить определенный номер канала вместо автоматического выбора канала на основе SSID. Этот параметр значительно сокращает время сканирования эфира клиентской частью роутера, оставляя больше ресурсов для раздачи Wi-Fi и работы служебного транспортного соединения Mesh Wi-Fi (backhaul). Используйте этот параметр для сценариев, когда обеспечивающая Интернет вышестоящая точка доступа имеет фиксированный номер канала Wi-Fi.

Точка доступа Wi-Fi на роутере и встроенный клиент WISP используют один радиомодуль (речь об одном диапазоне), и аппаратно невозможно заставить встроенный клиент WISP работать на разных каналах с точкой доступа Wi-Fi. Например, удаленная точка доступа провайдера работает на беспроводном канале 48; если вы установите вручную канал 149 на своей точке доступа Wi-Fi, то не сможете подключиться по WISP к точке доступа провайдера, которая работает на канале 48 (это возможно только в рамках разных диапазонов 2.4 и 5 ГГц, в этом случае используются разные радиомодули). Если вы установите режим Авто для выбора канала на точке доступа, то клиент WISP всегда будет следовать за удаленной точкой доступа Wi-Fi и станет "ведущим" для своей точки доступа. При этом точка доступа Wi-Fi на вашем роутере становится "ведомой" и также переключается на канал, который выставил клиент WISP.

В NDMS имеется возможность задать MAC-адрес точки доступа (BSSID) для подключения в режиме Wireless ISP (WISP). Эта возможность будет полезна, когда в радиоэфире присутствуют несколько точек доступа с одинаковым именем (SSID). В этом случае вы можете выбрать определенную точку для подключения, указав вручную её MAC-адрес.Connecting to the Internet via a Wireless ISP

В веб-конфигураторе роутера данная настройка находится в меню Wireless ISP на странице Подключение к интернету через публичную/соседнюю сеть Wi-Fi. В двухдиапазонных моделях интернет-центров (2,4 / 5 ГГц) эта настройка доступна в обоих диапазонах.

Перейдите на страницу Подключение к интернету через публичную/соседнюю сеть Wi-Fi и в разделе Настройки беспроводного подключения нажмите Показать дополнительные настройки. В появившемся поле BSSID (MAC-адрес точки доступа) введите MAC-адрес точки доступа, к которой нужно подключиться.

Чтобы узнать точный MAC-адрес точки доступа Wi-Fi, который нужно вписать в поле BSSID, на вышестоящем устройстве Netcraze выполните команду для сети 2,4 ГГц:

show interface AccessPoint

или для сети 5 ГГц:

show interface AccessPoint_5G

Выполнить команду можно из веб-конфигуратора (web cli) или через telnet-подключение. Подробную информацию вы найдете в инструкции Интерфейс командной строки (CLI) интернет-центра.

VPN (Virtual Private Network; виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (туннелей) поверх другой сети (например Интернет).

Существует много причин для использования виртуальных частных сетей. Наиболее типичные из них — безопасность и конфиденциальность данных. С использованием средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.

Известно, что сети, использующие протокол IP (Internet Protocol), имеют "слабое место", обусловленное самой структурой протокола. Он не имеет средств защиты передаваемых данных и не может гарантировать, что отправитель является именно тем, за кого себя выдает. Данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.

Если вы из Интернета подключаетесь к собственному домашнему серверу, файлам USB-накопителя, подключенного к роутеру, видеорегистратору или по протоколу RDP к рабочему столу компьютера, рекомендуем использовать VPN-соединение. В этом случае можно будет не волноваться о безопасности передаваемых данных, т.к. VPN-соединение между клиентом и сервером, как правило, зашифровано.

Интернет-центры Netcraze поддерживают следующие типы VPN-соединений:

С помощью интернет-центра Netcraze ваша домашняя сеть может быть подключена по VPN к публичному VPN-сервису, сети офиса или другого интернет-центра Netcraze при любом способе доступа в Интернет.

Во всех моделях Netcraze реализованы как VPN клиенты/серверы для безопасного доступа: PPTP, L2TP over IPSec, IKEv2, Wireguard, OpenVPN, SSTP, OpenConnect так и туннели для объединения сетей: Site-to-Site IPSec, EoIP (Ethernet over IP), GRE, IPIP (IP over IP).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения разных сценариев: хост-хост, хост-сеть, хосты-сеть, клиент-сервер, клиенты-сервер, роутер-роутер, роутеры-роутер (vpn concentrator), сеть-сеть (site-to-site).

Если вы не знаете, какой тип VPN выбрать, приведенные ниже таблицы и рекомендации помогут в этом.

* — для моделей Runner 4G, Start, 4G, Lite, Omni, City, Air, Extra используется ускорение только работы алгоритма AES, а в моделях Viva, Ultra, Giga, Giant, Hero 4G, DUO, DSL, Peak, Hopper используется аппаратное ускорение всего протокола IPSec.

** — до 200 для Peak, Giant, Giga и Ultra; до 150 для DSL и Duo; до 100 для Start, 4G, Lite, Omni, City, Air, Extra.

*** — с версии NDMS 3.7 увеличено число подключений WireGuard для моделей на ARM-процессоре (KN-2710, KN-1811, KN-1012, KN-3811, KN-3812) до 128 и для KN-1011, KN-1810, KN-1912, KN-2311, KN-2610 и KN-3013 до 48.

**** — до версии NDMS 3.3 ограничение составляло до 10 подключений для Giga (KN-1011), Ultra (KN-1810) и до 5 для всех остальных моделей.

* — для организации подключения понадобится установить дополнительное бесплатное ПО в операционных системах Windows, macOS, Linux, Android, iOS.

** — представлены относительные величины, а не конкретные цифры, т.к. скорости для VPN-подключений зависят от моделей и целого ряда факторов — типа используемых алгоритмов шифрования, числа одновременных подключений, типа подключения к Интернету и скорости интернет-канала, от загрузки интернет-канала, нагрузки на сервер и других факторов. Низкой будем называть скорость до 15 Мбит/с, средняя в районе 30 - 50 Мбит/с и высокая — свыше 70 Мбит/с.

* — данная возможность реализована на нашем облачном сервере как специальное программное расширение и доступна только для пользователей интернет-центров Netcraze.

Для обычных пользователей для использования удаленных подключений клиенты-сервер мы рекомендуем:

В ряде моделей Netcraze передача данных по IPSec (в том числе L2TP over IPSec и IKEv2) ускоряется аппаратно с помощью процессора устройства, что обеспечивает высокие скорости передачи данных. В таком туннеле можно абсолютно не волноваться о конфиденциальности IP-телефонии или потоков видеонаблюдения.

Если провайдер выдает вам публичный IP-адрес, рекомендуем обратить внимание на серверы IKEv2,  L2TP over the IPSec server и на так называемый виртуальный сервер IPSec (Xauth PSK). Они замечательны тем, что обеспечивают абсолютно защищенный доступ к домашней сети со смартфона, планшета или компьютера с минимальной настройкой: в Android, iOS и Windows для этих типов VPN есть удобные встроенные клиенты. Для IKEv2 в ОС Android используйте бесплатный популярный VPN-клиент strongSwan.

В качестве самого оптимального универсального варианта можно считать IKEv2 и L2TP/IPSec.

Если же интернет-провайдер предоставляет вам только частный IP-адрес для работы в Интернете, и нет возможности получить публичный IP, вы всё-равно сможете организовать удаленный доступ к своей домашней сети, используя VPN-сервер SSTP или OpenConnect. Основным преимуществом туннелей SSTP и OpenConnect является способность работать через облако, т.е. он позволяет установить подключение между клиентом и сервером, даже при наличии "серых" IP-адресов с обеих сторон. Все остальные VPN-сервера требуют наличия публичного "белого" IP-адреса. Обращаем ваше внимание, что данная возможность реализована на нашем облачном сервере и доступно только для пользователей Netcraze.

Что касается туннельного протокола PPTP, он наиболее прост и удобен в настройке, но потенциально уязвим, в сравнении с другими типами VPN. Тем не менее лучше использовать его, чем не применять VPN вовсе.

Для опытных пользователей к этому списку можно добавить:

OpenVPN очень популярен, но чрезвычайно ресурсоемкий и не имеет особых преимуществ против IPSec. В интернет-центре Netcraze для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.

Современный протокол WireGuard сделает работу с VPN проще и быстрее (в несколько раз в сравнении с OpenVPN) без наращивания мощности железа в устройстве.

Для мобильных устройств, и организации удаленного подключения к роутеру, используйте:

Клиент IKEv2 EAP (Логин/Пароль) является встроенным в Android, iOS, MacOS, Windows.

Для объединения сетей и организации Site-to-Site VPN используйте:

Для решения специализированных задач по объединению сетей:

IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования. Он является идеальным вариантом для создания подключений типа Site-to-Site VPN для объединения сетей. Кроме этого для профессионалов и опытных пользователей имеется возможность создавать туннели IPIP, GRE, EoIP как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN. Поддержка туннелей IPIP, GRE, EoIP позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами с ОС UNIX/Linux, а также с другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей. Настройка туннелей данного типа доступна только в интерфейсе командной строки (CLI) интернет-центра.

Дополнительную информацию, по настройке разных типов VPN в интернет-центрах Netcraze, вы найдете в инструкциях:

WireGuard — бесплатное программное приложение с открытым исходным кодом, протокол виртуальной частной сети (VPN) для передачи данных в зашифрованном виде и создания безопасных соединений точка-точка.

Отличия и преимущества протокола WireGuard в использовании современных, узкоспециализированных алгоритмов обработки данных. Кодовая база проекта написана с нуля и отличается компактностью исполнения.

WireGuard является частью модуля ядра системы. WireGuard-подключение ускоряется программно и является многопоточным, т.е. может стабильно работать и использовать ресурсы одного ядра.

Интернет-центр Netcraze может работать как VPN-сервер, так и VPN-клиент. В силу специфики протокола понятия "клиент" и "сервер" являются условными. Но обычно сервером называют устройство, которое ожидает подключения, а клиентом — устройство, которое инициирует подключение.

При подключении к VPN-серверу WireGuard на Netcraze в качестве VPN-клиента можно использовать: компьютер (на базе Windows, Linux, macOS), мобильное устройство (на базе Android и iOS) или интернет-центр Netcraze.

Используя VPN-клиент WireGuard на Netcraze можно подключиться к VPN-провайдеру, который предоставляет услугу VPN-подключения по протоколу WireGuard или к интернет-центру Netcraze, который работает в роли VPN-сервера и получить удаленный доступ к его локальной сети.

Для настройки защищенных туннелей по протоколу WireGuard в интернет-центре Netcraze нужно установить компонент системы "WireGuard VPN". Сделать это можно в веб-конфигураторе на странице "Общие настройки системы" в разделе "Обновление и компоненты NDMS", нажав на "Изменить набор компонентов".

После этого раздел "Wireguard" появится на странице "Другие подключения".

Для самостоятельной настройки WireGuard-интерфейса нажмите на "Добавить подключение". В данной статье мы не будем рассматривать параметры настройки подключения,  они подробно показаны в инструкции:

Помимо самостоятельной настройки подключения, вы можете импортировать настройки WireGuard-интерфейса из предварительно созданного файла конфигурации. Для этого нажмите на "импортировать из файла" и затем укажите путь к предварительно сконфигурированному файлу на компьютере.

Основные принципы работы WireGuard VPN

Примеры настроек WireGuard-подключений

Подробная инструкция, в которой показаны настройки интернет-центра в роли VPN-сервера и VPN-клиента для объединения двух локальных сетей:

Для настройки подключения к VPN-провайдерам, которые предоставляют возможность работы с WireGuard, обратитесь к инструкции:

Для подключения к роутеру Netcraze по протоколу WireGuard можно использовать мобильные устройства на базе ОС Android и iOS:

Или компьютеры на базе ОС Windows, Linux, macOS:

В некоторых случаях нужно, чтобы клиенты, подключенные к роутеру Netcraze по WireGuard, получали через данный VPN-туннель доступ в Интернет. Для этого потребуется на роутере выполнить дополнительную настройку из статьи:

Для подключения к публичному VPN-сервису, сети офиса, или другому интернет-центру Netcraze можно использовать протокол PPTP (Point-to-Point Tunneling Protocol). PPTP может также использоваться для организации безопасного туннеля между двумя локальными сетями. Преимуществом туннеля PPTP является его простота настройки и доступность. PPTP обеспечивает безопасную передачу данных через Интернет со смартфона, планшета или компьютера. Для защиты данных PPTP-трафика может быть использован протокол MPPE.

Помимо PPTP-подключения в интернет-центре Netcraze можно настроить подключение по протоколу L2TP (Layer 2 Tunneling Protocol). В отличие от других протоколов VPN, L2TP не использует шифрование данных.

Далее мы рассмотрим пример PPTP-подключения. Настройка L2TP-подключения выполняется аналогично.

Для настройки PPTP-подключения перейдите на страницу "Другие подключения" и в разделе "VPN-подключения" нажмите "Добавить подключение". В окне "Параметры VPN-подключения" в поле "Тип (протокол)" выберите значение "PPTP".

Затем в поле "Имя подключения" впишите имя соединения, а в поле "Адрес сервера" укажите доменное имя или WAN IP-адрес PPTP-сервера. В полях "Имя пользователя" и "Пароль" соответственно укажите данные учетной записи, которой разрешен доступ в локальную сеть по протоколу PPTP.

Для настройки параметров IP, расписания работы или определения интерфейса, через который будет работать подключение, нажмите "Показать дополнительные настройки".

После создания подключения переведите переключатель в состояние Включено.

На этой же странице будет отображаться статус данного подключения.

Для проверки соединения с клиентского компьютера обратитесь к какому-нибудь ресурсу в удаленной сети или выполните пинг хоста удаленной сети (локальной сети сервера).

Настройка сервера PPTP в Netcraze подробно представлена в статье "VPN-сервер PPTP".

Для доступа к ресурсам домашней сети в интернет-центра Netcraze реализована возможность подключения к VPN-серверу по протоколу L2TP over IPSec (L2TP/IPSec).

В таком туннеле можно абсолютно не волноваться о конфиденциальности данных файлового сервера, IP-телефонии или потоков видеонаблюдения. L2TP/IPSec обеспечивает абсолютно защищенный доступ к домашней сети с компьютера с минимальной настройкой: в операционной системе Windows для этого типа VPN есть удобный встроенный клиент. К тому же, во многих моделях Netcraze передача данных по L2TP over IPsec ускоряется аппаратно.

Для настройки подключения L2TP/IPsec нужно установить компонент системы "IKEv1/IPsec и IKEv2/IPsec VPN-серверы, клиент L2TP/IPsec VPN, IPsec VPN сеть-сеть". Сделать это можно на странице "Общие настройки системы" в разделе "Обновления и компоненты", нажав "Изменить набор компонентов".

Для настройки подключения L2TP/IPsec перейдите на страницу "Другие подключения" и в разделе "VPN-подключения" нажмите "Добавить подключение". В окне "Параметры VPN-подключения" в поле "Тип (протокол)" выберите значение "L2TP/IPsec".

В поле "Имя подключения" впишите имя соединения, а в поле "Адрес сервера" укажите IP-адрес или доменное имя сервера. В полях "Имя пользователя" и "Пароль" соответственно укажите данные учетной записи, которой разрешен доступ в локальную сеть по протоколу L2TP/IPsec. В поле "Секретный ключ" укажите предварительно согласованный ключ, который установлен на сервере.

Для настройки параметров IP, расписания работы или определения интерфейса, через который будет осуществляться подключение, нажмите "Показать дополнительные настройки".

После создания подключения переведите переключатель в состояние Включено.

На этой же странице будет отображаться статус данного подключения.

Для проверки соединения с клиентского компьютера обратитесь к какому-нибудь ресурсу в удаленной сети или выполните пинг хоста удаленной сети (локальной сети сервера).

Настройка сервера L2TP/IPsec в Netcraze подробно представлена в статье "VPN-сервер L2TP/IPsec".

OpenVPN — один из самых популярных протоколов для организации VPN-соединения. С его помощью можно создать виртуальную частную сеть или объединять локальные сети. OpenVPN имеет открытый исходный код и бесплатно распространяется под лицензией GNU GPL. OpenVPN можно назвать одним из самых безопасных протоколов. Все передаваемые данные надежно защищены при помощи библиотеки шифрования OpenSSL и протоколов SSLv3/TLSv1, что обеспечивает высокую безопасность и анонимность.

В интернет-центре Netcraze для подключения OpenVPN реализованы такие возможности как режим TCP и UDP, аутентификация TLS, использование сертификатов и ключей шифрования для повышения уровня безопасности VPN-подключения.

Для настройки подключения OpenVPN обязательно нужно установить компонент системы "Клиент и сервер OpenVPN". С этим компонентом роутер Netcraze можно использовать как клиент, так и сервер OpenVPN. Установить компонент системы можно на странице "Общие настройки системы" в разделе "Обновления и компоненты NDMS", нажав "Изменить набор компонентов".

Режим работы OpenVPN (клиент или сервер) в основном определяется его файлом конфигурации.

Рассмотрим пример подключения OpenVPN типа "точка-точка" (site-to-site).

Будем подключать к серверу на Netcraze#1 (Home-сегмент 192.168.1.0/24, адрес конца туннеля: 10.1.0.1) клиент Netcraze#2 (Home-сегмент 192.168.2.0/24, адрес конца туннеля: 10.1.0.2).

Рекомендуем ознакомиться со следующей информацией:

Для удаленного подключения к локальной сети интернет-центра Netcraze можно использовать туннели SSTP (Secure Socket Tunnel Protocol).

Передача данных через Интернет в SSTP-туннеле происходит при помощи протокола HTTPS (данные передаются поверх криптографических протоколов SSL или TLS), что обеспечивает высокий уровень безопасности.

Для настройки SSTP-подключения обязательно нужно установить компонент системы "Клиент SSTP VPN". Сделать это можно на странице "Общие настройки системы" в разделе "Обновление и компоненты NDMS", нажав "Изменить набор компонентов".

После этого перейдите на страницу "Другие подключения" и в разделе "VPN-подключения" нажмите "Добавить подключение". В окне "Параметры VPN-подключения" в поле "Тип (протокол)" выберите значение "SSTP".

Затем в поле "Имя подключения" впишите имя соединения, а в поле "Адрес сервера" укажите доменное имя сервера (интернет-центра Netcraze). В полях "Имя пользователя" и "Пароль" соответственно укажите данные учетной записи, которой разрешен доступ в локальную сеть по протоколу SSTP.

После создания подключения переведите переключатель в состояние Включено.

На этой же странице будет отображаться статус данного подключения.

Для проверки соединения с клиентского компьютера обратитесь к какому-нибудь ресурсу в удаленной сети или выполните пинг хоста удаленной сети (локальной сети сервера).

Настройка сервера SSTP в Netcraze представлена в статье "Сервер SSTP".

Начиная с версии NDMS 3.5 добавлен IKE-клиент в виде отдельного компонента, который позволяет с интернет-центра устанавливать клиентские соединения по протоколам IKEv1 и IKEv2.

IKE (Internet Key Exchange) — протокол обмена ключами, входящий в набор протоколов IPSec. Он обеспечивает высокую безопасность данных, скорость, стабильность работы.

Для настройки защищенных подключений по протоколу IKEv1/IKEv2 в интернет-центре Netcraze нужно установить компонент системы "IKEv1/IPsec и IKEv2/IPsec VPN-клиенты". Сделать это можно в веб-конфигураторе на странице "Общие настройки системы" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

После этого на странице "Другие подключения" в разделе "VPN-подключения" нажмите "Добавить подключение" для создания и настройки IKE-клиента.

На экране "Параметры VPN-подключения" укажите регистрационные данные, выданные VPN-провайдером или администратором VPN-сервера.

Если данное подключение нужно использовать для выхода в Интернет, то включите соответствующую опцию.

В поле "Имя подключения" впишите любое имя для его идентификации, в поле "Тип (протокол)" установите значение "IKEv2" или "IKEv1", а также укажите адрес сервера, имя и пароль пользователя. В нашем примере используется VPN-подключение IKEv2.

После создания подключения переведите переключатель в состояние Включено.

На этой же странице будет отображаться статус данного подключения.

Настройка IKEv2-сервера в Netcraze представлена в статье "VPN-сервер IKEv2".

Для удаленного и безопасного подключения к локальной сети интернет-центра Netcraze можно использовать OpenConnect VPN. В качестве клиента OpenConnect может выступать сам интернет-центр Netcraze. Начиная с версии ОС 4.2.1 добавлен сервер и клиент OpenConnect VPN.

Для настройки подключения клиента OpenConnect нужно установить компонент системы OpenConnect VPN-клиент. Сделать это можно на странице Общие настройки в разделе Обновления и компоненты, нажав Изменить набор компонентов.

После этого перейдите на страницу Другие подключения и в разделе VPN-подключения нажмите Добавить подключение. В окне Параметры VPN-подключения в поле Тип (протокол) выберите значение OpenConnect. Затем в поле Имя подключения впишите имя соединения, а в поле Адрес сервера укажите доменное имя сервера (автоматически сгенерированное на интернет-центре Netcraze, который выполняет роль VPN-сервера). В полях Имя пользователя и Пароль соответственно укажите данные учетной записи, которой разрешен доступ к роутеру и в локальную сеть по протоколу OpenConnect.

После создания подключения переведите переключатель в состояние Включено.

На этой же странице будет отображаться статус и статистика подключения.

Для проверки соединения с клиентского компьютера обратитесь к какому-нибудь ресурсу в удаленной сети или выполните пинг хоста удаленной сети (локальной сети сервера).

Настройка сервера OpenConnect в Netcraze представлена в инструкции OpenConnect VPN-сервер.

ZeroTier позволяет персональным устройствам и сетевым маршрутизаторам получать доступ к вашей локальной сети через распределенное межсетевое соединение, которое автоматически выбирает оптимальный маршрут между узлами. Дизайн протокола обеспечивает простоту развертывания, централизованное управление, стабильную производительность и защиту данных. В результате соединения становятся безопасными, обеспечивая низкую задержку и высокую пропускную способность.

Чтобы настроить устройство Netcraze на подключение к вашей сети ZeroTier при помощи интерфейса командной строки (CLI), сначала создадим интерфейс подключения, выполнив соответствующую команду CLI.

      interface ZeroTier{X}   

Где {X} — индекс нового интерфейса, выбранное по вашему усмотрению число.

Затем укажем NETWORK ID вашей сети ZeroTier.

      zerotier network-id {network_ID}   

Замените {network_ID} идентификатором NETWORK ID вашей сети ZeroTier без кавычек и скобок. Идентификатор сети можно найти в панели управления ZeroTier Central, как показано на рисунке.

Далее, включим прием адресов и маршрутов, рассылаемых в вашей сети ZeroTier.

zerotier accept-addresses
zerotier accept-routes

Затем, включаем интерфейс и сохраняем конфигурацию.

up
system configuration save

Полностью весь набор команд, перечисленных выше, должен выглядеть следующим образом.

(config)> interface ZeroTier0
Network::Interface::Repository: "ZeroTier0" interface created.
(config-if)> zerotier network-id 0123456789abcdef
ZeroTier::Interface: "ZeroTier0": set network ID to "0123456789abcdef".
(config-if)> zerotier accept-addresses
ZeroTier::Interface: "ZeroTier0": enabled addresses accept.
(config-if)> zerotier accept-routes
ZeroTier::Interface: "ZeroTier0": enabled routes accept.
(config-if)> up
Network::Interface::Base: "ZeroTier0": interface is up.
(config-if)> system configuration save
Core::System::StartupConfig: Saving (cli).

После ввода команд ваш узел Netcraze должен появиться на панели управления сетью ZeroTier Central. Чтобы упростить управление сетью, укажите имя и описание (Name/Description) устройства. Вам также может понадобиться авторизовать (Auth?) нового участника, если режим управления доступом Access Control в вашей сети установлен как Private (по умолчанию).

Вы можете использовать команду show для проверки состояния соединения на вашем устройстве Netcraze. Строка connected: yes означает, что состояние соединения — установлено.

(config)> show interface ZeroTier0
id: ZeroTier0
index: 0
interface-name: ZeroTier0
type: ZeroTier
description:
traits: Mac
traits: Ethernet
traits: Ip
traits: Ip6
traits: Supplicant
traits: EthernetIp
traits: ZeroTier
link: up
connected: yes <------
state: up
mtu: 2800
tx-queue-length: 1000
address: 172.26.81.177 <------
mask: 255.255.0.0
uptime: 312
global: no
security-level: public <------

ipv6:
addresses:
address: fe80::cc56:2aff:fed4:d8a3
prefix-length: 64
proto: KERNEL
valid-lifetime: infinite

mac: 32:dd:64:a3:fa:73
auth-type: none

zerotier:
via: GigabitEthernet1
local-id: 4aac294d2f
network-id: 0123456789abcdef
network-name:
status: OK

summary:
layer:
conf: running
link: running
ipv4: running
ipv6: disabled
ctrl: running

Отметим, что созданный интерфейс имеет параметр security-level: public. Это означает, что входящие соединения должны быть явно разрешены через Межсетевой экран. Принимая, что ваша сеть ZeroTier является доверенной, одного правила, разрешающего весь входящий трафик, будет достаточно. Добавим новое правило с действием Разрешить для созданного интерфейса ZeroTier, укажем в нем Протокол — IP и Любой в качестве Адреса источника и Адреса назначения, как показано на рисунке.

Подсказка

Чтобы другие устройства в сети ZeroTier узнавали о локальной сети за вашим новым узлом, создадим маршрут в разделе Advanced сетевых настроек. Укажите адрес Managed IPs (строка address: 172.26.81.177 в выводе выше) в качестве Via-адреса. Укажите адрес подсети локальной сети вашего маршрутизатора (по умолчанию 192.168.1.0/24) в поле Destination.

В Netcraze реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, объединить несколько интернет-центров в одну сеть по туннелю IPSec VPN.

В основном, IPSec VPN применяется для безопасного подключения к офисной сети (например, из домашней сети к корпоративному серверу) или для объединения сетей (например, двух удаленных офисов). С туннелем IPSec VPN можно абсолютно не волноваться о конфиденциальности данных файлового сервера, IP-телефонии или потоков видеонаблюдения. IPSec является одним из самых безопасных протоколов VPN за счет использования криптостойких алгоритмов шифрования.

Рассмотрим пример объединения двух локальных сетей (192.168.2.x и 192.168.0.x) через IPSec VPN.

Для организации подключения IPSec VPN и объединения двух разных подсетей, понадобятся два интернет-центра Netcraze. Такой тип подключения называется "точка-точка" (site-to-site).

Один интернет-центр Netcraze будет выступать в роли ожидающего подключение IPSec (назовем его сервером), а другой Netcraze в роли инициатора подключения IPSec (назовем его клиентом).

Интернет-центр, выступающий в роли сервера IPSec, имеет постоянный публичный "белый" WAN IP-адрес для подключения к Интернету. Другой интернет-центр, выступающий в роли клиента IPSec, использует частный "серый" WAN IP-адрес.

Итак, перейдем непосредственно к настройке интернет-центров для организации между ними безопасного туннеля IPSec VPN для объединения двух сетей.

На интернет-центрах должен быть установлен компонент системы "IKEv1/IPsec и IKEv2/IPsec VPN-серверы, клиент L2TP/IPsec VPN, IPsec VPN сеть-сеть".

Сделать это можно на странице "Общие настройки системы" в разделе "Обновления и компоненты", нажав "Изменить набор компонентов".

В интернет-центрах Netcraze имеется возможность создавать туннели IPIP (IP over IP), GRE (Generic Routing Encapsulation), EoIP (Ethernet over IP) как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN.

Поддержка туннелей IPIP, GRE, EoIP в интернет-центрах Netcraze позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами c ОС UNIX/Linux, а также c другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей.

Для работы с туннелями нужно в настройках интернет-центра дополнительно установить соответствующие компоненты системы NDMS:

Сделать это можно на странице "Общие настройки системы" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

Краткое описание

IPIP и GRE-туннели — это туннели сетевого уровня (L3) модели OSI, при создании которых доступны IP-адреса обеих сторон. Они представляются в системе в виде интерфейсов GreX и IPIPX, и через них можно настраивать маршрутизацию (в том числе и default route) точно также, как и через любые другие интерфейсы. Плюс ко всему для этих интерфейсов можно настроить уровень доступа security level — private, protected или public (информацию по описаниям уровней доступа можно найти в статье "Настройка правил межсетевого экрана из командного интерфейса").

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

EoIP-туннель (Ethernet over IP) — это туннель канального уровня (L2) модели OSI поверх сетевого уровня (L3). Данные через этот туннель передаются на уровне Ethernet-кадров. EoIP позволяет создать прозрачную сетевую среду, эмулирующую прямое Ethernet-подключение между сетями. При этом видны все MAC-адреса, и можно объединить две локальные сети на уровне L2 через Интернет при помощи этого типа туннеля. В качестве транспорта EoIP использует GRE. EoIP-туннель может работать поверх IPIP, PPTP и любых других соединений, способных передавать IP-пакеты. Через него кроме IP можно передавать любой трафик, в том числе и ARP, DHCP, PPPoE, IPv6 и др. По умолчанию в туннеле при смене security level на private/protected будет работать сканирование подсети посредством ARP. В системе представлен в виде интерфейса EoIPX.

EoIP разработан компанией MikroTik, потому присутствует совместимость с ними, а также с Linux-роутерами, которые умеют работать с EoIP.

При необходимости вы можете использовать механизм Ping Check на туннельных интерфейсах IPIP, GRE и EoIP.

Туннели IPIP, GRE и EoIP работают непосредственно поверх IPv4-протокола. IPIP использует номер IP-протокола 4, GRE и EoIP используют номер IP-протокола 47.

Примеры

В указанных ниже примерах приведены частные "серые" IP-адреса, которые можно использовать только в пределах локальной сети. Для создания туннелей через Интернет на двух концах туннелей должны быть публичные "белые" IP-адреса.

Для GRE имя интерфейса будет Gre0, для IPIP имя интерфейса IPIP0.

Настройка туннеля GRE/IPIP между двумя интернет-центрами Netcraze

Настройка туннеля EoIP между двумя интернет-центрами Netcraze

Для EoIP имя интерфейса будет EoIP0.

В случае с туннелем EoIP настройки будут абсолютно те же, кроме двух моментов:

Настройка на одном конце туннеля:

(config)> interface EoIP0
(config-if)> tunnel destination router1.example.com
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

"Зеркальная" настройка на другом конце туннеля:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

После этого можно попробовать пропинговать с любой из сторон адрес удаленной стороны в туннеле для проверки работоспособности туннеля.

Интерфейс EoIPx можно включить в Bridge для объединения локальных сетей. Для этого на обеих сторонах нужно настроить EoIP-интерфейс без IP-адреса, и затем включить в Bridge Home:

(config)> interface Home
(config-if)> include EoIP0
(config-if)> exit
(config)> system configuration save

Использование туннелей IPIP, GRE и EoIP совместно с IPSec

В случае установки специального компонента системы IPSec VPN появляется возможность защищать эти туннели при помощи стандартов безопасности IPSec, причем как в автоматическом, так и в полностью ручном режиме. Ручной режим мы описывать не будем, поскольку опытные пользователи самостоятельно могут настроить туннель IPSec с правильным режимом, а затем поверх IPSec поднять туннель. В случае автоматической настройки решается сразу несколько проблем ручного режима:

Компонент IPSec VPN добавляет следующие настройки к туннелям:

Поскольку IPSec разграничивает клиента и сервер, то теперь для настройки клиента (инициатора, той стороны, которая будет пытаться установить соединение) необходимо использовать команду interface tunnel destination, а для включения режима сервера (той стороны, которая будет отвечать на попытки установления соединения) необходимо использовать команду interface tunnel source.

Пример настройки туннеля EoIP с IPsec (в нашем примере сторона с WAN-адресом 8.6.5.4 является сервером):

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

В команде interface tunnel source можно указать как интерфейс-источник, так и IP-адрес, на котором будет ожидать подключения сервер. Однако предпочтение отдается интерфейсу, поскольку в данном случае вся перенастройка при смене адреса и прочих событиях будет происходить автоматически.

Начиная с версии операционной системы NDMS 3.9 был добавлен компонент прокси-клиента, который будет полезен для сложных приложений туннелирования, а также в простой задаче подключения вашей сети к интернету через прокси-сервер. Данный функционал позволит настроить подключение через прокси-серверы с использованием протоколов HTTP, HTTPS и SOCKS5.

Для работы прокси-соединения нужно в роутере предварительно установить соответствующий компонент системы Клиент прокси. Сделать это можно в веб-интерфейсе на странице Общие настройки системы в разделе Обновления и компоненты, нажав на Изменить набор компонентов.

Для настройки доступа в Интернет через прокси перейдите в меню Другие подключения в раздел Прокси-подключения. Нажмите кнопку Добавить подключение.

Появятся поля для заполнения определенных параметров. Укажите регистрационные данные, предоставляемые администратором прокси-сервера.

После создания подключения переведите переключатель в состояние Включено.

Далее в меню Приоритеты подключений настройте выход в Интернет через созданное прокси-подключение. Перетащите его в начало списка, чтобы сделать основным подключением.

После этого все клиенты, подключенные напрямую к роутеру, будут выходить в Интернет через прокси-подключение. Если необходимо настроить доступ только для некоторых устройств, в этом случае нужно создать отдельный профиль и привязать к нему определенные устройства. Как это сделать показано в инструкции Приоритеты подключений.

Настройка завершена.

Для проверки можно воспользоваться любым публичным интернет-сервисом для определения IP-адреса и местоположение страны IP.

Интернет-центры Netcraze поддерживают работу с несколькими одновременными подключениями (такую схему обычно называют Multi-WAN). Например, к интернет-центру Netcraze можно подключить одновременно два интернет-кабеля Ethernet от разных провайдеров и настроить резервирование основного подключения, или в качестве основного Интернета использовать подключение по выделенной линии Ethernet, а подключение через USB-модем 3G/4G использовать для резервирования.

Multi-WAN поддерживают все без исключения модели интернет-центров Netcraze.

Рассмотрим подробно пример подключения Netcraze к двум разным провайдерам по выделенной линии Ethernet и настройки резервирования основного интернет-канала.

Основной интернет-канал следует подключить к синему порту 0 (WAN/Интернет) интернет-центра, а кабель от резервного интернет-канала можно подключить к любому свободному желтому порту домашней сети.

При использовании Multi-WAN на роутере для балансировки нагрузки интернет-подключений можно настроить привязку определенных устройств к разным интернет-каналам с помощью политик маршрутизации Policy Based Routing (PBR). Дополнительную информацию вы найдете в инструкциях:

Предположим, что на Netcraze настроено два подключения к Интернету (Multi-WAN): основное — по выделенной линии и резервное — через 3G/4G USB-модем. И нужно настроить интернет-центр Netcraze так, чтобы Интернет раздавался всем домашним устройствам от основного подключения, а один компьютер имел доступ в Интернет через резервное соединение.

Данная задача решается с помощью политик маршрутизации Policy Based Routing (PBR) и настройки роутера в меню "Приоритеты подключений".

Процесс настройки кратко описать можно так:

В веб-конфигураторе роутера на странице "Приоритеты подключений" на вкладке "Политики доступа в интернет" добавьте новую политику и включите в неё только резервное подключение. Затем на вкладке "Применение политик" переместите нужное устройство из политики по умолчанию в новую созданную политику доступа. Теперь устройство добавленное в новую политику будет выходить в Интернет через резервное соединение, а остальные устройства (они находятся в основном политике по умолчанию) будут работать через основное.

Рассмотрим эту настройку подробно на конкретном примере.

На роутере используется 2 интернет-соединения: основное — через проводного провайдера и резервное — через сотовую сеть 3G/4G.

Перейдите на страницу "Приоритеты подключений". На вкладке "Политики доступа в интернет" вы увидите два интернет-соединения (в нашем примере это "Ethernet-подключение" и "Mobile Brodband"). Нажмите "+ Добавить политику".

Создайте новую политику доступа, укажите ей имя и нажмите Сохранить.

В новой созданной политике (в нашем примере это политика с именем "Backup") поставьте флажок для резервного подключения (у нас это "Mobile Broadband").

Перейдите на вкладку "Применение политик". Нажмите на "Политика по умолчанию", чтобы увидеть все устройства локальной сети, которые используются в этой политике доступа.

Нажмите на нужное устройство (в нашем примере компьютер с именем "PC"), в поле "Переместить в" выберите созданную новую политику доступа для резервного подключения (у нас это политика с именем "Backup") и нажмите "Подтвердить". Также это действие можно выполнить другим способом: просто перетащите мышкой устройство из правой колонки на название нужной политики в левой колонке.

Итак, мы добавили нужное устройство в новую созданную политику доступа, для которой используется только резервное подключение.

После выполненных настроек компьютер получит доступ в Интернет через резервное подключение (в нашем примере через сеть 3G/4G мобильного оператора), а все остальные устройства локальной сети будут работать через основное подключение (через провайдера предоставляющего доступ в Интернет по выделенной линии).

Начиная с версии ОС 3.9 реализована интеллектуальная балансировка трафика при использовании нескольких интернет-подключений. В роутере Netcraze этот механизм называется Многопутевой режим (Multipath mode).

В веб-конфигураторе роутера имеется возможность создания новой политики многопутевой передачи, которая позволит оптимизировать использование нескольких интернет-соединений, ускорить и сбалансировать трафик.

В режиме многопутевой маршрутизации, все включенные в политику подключения автоматически передают трафик. Этот режим можно использовать для суммирования пропускной способности каналов ваших провайдеров.

Многопутевая передача может работать в рамках только дополнительной политики (в Политике по умолчанию нельзя включить этот режим). Для настройки выполните следующие действия:

Например, для проверки суммирования пропускной способности в роутере используются два проводных интернет-соединения 100 Мбит/с (12.5 Мбайт/с) от разных провайдеров. Создадим политику с поддержкой многопутевого режима. Запустим закачку файла и в торрент-клиенте увидим, что скорость загрузки суммируется с двух интернет-каналов. В нашем примере получили скорость загрузки примерно до 179,2 Мбит/с (22,4 Мбайт/с).

Для архивных моделей роутеров с операционной системой NDMS 2.14 - 3.8 настройку подключений в режиме балансировки можно выполнить через интерфейс командной строки (CLI) роутера. Пример настройки показан в инструкции "Использование нескольких WAN-подключений в режиме балансировки (настройка через CLI)".

Начиная с версии ОС 3.8 в веб-конфигураторе роутера была добавлена настройка ограничения скорости для входящего и исходящего трафика в меню "Приоритеты подключений".

На этом экране можно настроить политики доступа и назначить их устройствам и сегментам сети. Для каждого подключения в политике можно указать индивидуальные приоритет обработки трафика и ограничения входящей и исходящей скорости. Обращаем внимание, что управление полосой пропускания недоступно для Политики по умолчанию, данная настройка возможна только для дополнительных политик, созданных вручную.

Пример. На странице "Приоритеты подключений" на вкладке "Политики доступа в интернет" добавим новую политику с именем speedlimit-10mbit. В настройках управления полосой пропускания в полях "Управление входящим/исходящим трафиком" выберем значение "Вручную" и в полях "Ограничение скорости для входящих/исходящих данных" укажем значение скорости в кбит/с или Мбит/с. В нашем примере указано ограничение скорости в 10 Мбит/с:

На вкладке "Применение политик" добавим нужные устройства домашней сети в политику speedlimit-10mbit. Для этого политику доступа в левой колонке и затем перетащите устройства на название нужной политики в левой колонке.

Теперь для этих устройств будет применена политика доступа в Интернет с указанной полосой пропускания (в нашем примере с ограничением скорости 10 Мбит/с для входящего и исходящего трафика). Проверим работу ограничения скорости с помощью онлайн-сервиса Speedtest, запустив тестирование с компьютера, который был добавлен в политику доступа speedlimit-10mbit:

Дополнительную информацию вы можете найти в инструкции "Как измерить скорость интернет-канала?".

Также можно настроить управление полосой пропускания сразу для нескольких интернет-подключений. Например:

Для подключения роутера Netcraze к Интернету по протоколу IPv6 особых настроек не требуется. В большинстве случаев достаточно установить специальный компонент системы "Протокол IPv6" и включить IPv6 в настройках внешнего интерфейса, через который будет осуществляться подключение.

Для настройки IPv6-подключения выполните следующие действия:

show ipv6 prefixes

(config)> show ipv6 prefixes

prefix:
 prefix: 2a02:2698:24::/64
 interface: PPPoE0
 valid-lifetime: 86349
 preferred-lifetime: 3549

<!-- show ipv6 prefixes -->
 <prefix>
  <prefix>2a02:2698:24::/64</prefix>
  <interface>PPPoE0</interface>
  <valid-lifetime>86349</valid-lifetime>
  <preferred-lifetime>3549</preferred-lifetime>
 </prefix>

<!-- show ipv6 prefixes -->
 
<!-- show ipv6 addresses -->
 <address>
  <address>2a00:1370:8024::</address>
  <link-local>fe80::5a8b:f3ff::</link-local>
  <interface>ISP</interface>
  <valid-lifetime>infinite</valid-lifetime>
 </address>

Туннели IPv6 через IPv4 используются для доступа к интернет-ресурсам по протоколу IPv6, когда ваш публичный IP-адрес версии 4 (IPv4). Чтобы настроить подключение, зарегистрируйтесь на сайте виртуального провайдера IPv6 (туннельного брокера), работающего по технологии 6in4. Параметры подключения вы получите при регистрации.

С помощью интернет-центра Netcraze вы можете организовать подключение к нескольким провайдерам одновременно (такое подключение называют термином Multi-WAN) и включить непрерывную проверку доступности Интернета (функцию Ping Check). Ping Check определяет работоспособность подключения к Интернету, выполняя опрос заданного сетевого узла. При сбое в сети основного провайдера интернет‑центр автоматически переключится на работу с запасным каналом.

Настроить проверку доступности Интернета можно для проводных подключений IPoE (в том числе с аутентификацией у провайдера по протоколам PPPoE, PPTP и L2TP), а также WISP, ADSL / VDSL. Но особенно функция Ping Check будет полезна при подключении к Интернету через USB-модем 3G/4G.

Вам не нужно заботиться о настройке Ping Check. Достаточно подключить поддерживаемый USB-модем к интернет-центру и убедиться, что он определился и готов к работе (это можно сделать в веб-конфигураторе на странице Системный монитор). Функция Ping Сheck включается автоматически при подключении USB-модема к Netcraze. Ping Check в качестве метода проверки использует режим Автоматический.

Данный режим предназначен для упрощения настройки функции Ping Сheck обычными пользователями (тем, кто не хочет разбираться в дополнительных параметрах). Начиная с версии ОС 3.9.3 проверяется доступность узлов ya.ru, vk.com и youtube.com, в более старых версиях — доступность узлов google.com, facebook.com, yahoo.com по порту TCP/443 (HTTPS). Этот порт, как правило, не блокируется операторами связи. В случае отсутствия связи с узлами интернет-центр попытается восстановить подключение, при помощи перезапуска интерфейса модема, или при наличии резервного подключения выполнит автоматическое переключение на резервный канал.

Наряду с функциональностью по умолчанию, существует возможность самостоятельной настройки функции Ping Check. Кроме режима Автоматический доступны ещё 3 варианта: ICMP-запросы (Ping), TLS-проверка порта TCP и Проверка порта TCP. Подробности в инструкции Тонкая настройка Ping Check.

Реализация функции Ping Check в интернет-центре Netcraze позволяет пользователю самостоятельно выполнить гибкую настройку.

Настроить проверку доступности Интернета (Ping Check) можно для проводных подключений IPoE (в том числе с аутентификацией у провайдера по протоколам PPPoE, PPTP и L2TP), а также 3G/4G, WISP, ADSL / VDSL.

На странице подключения в разделе Проверка доступности Интернета (Ping Check) в поле Режим можно вручную указать при помощи каких запросов выполнять проверку — ICMP или TCP.

Доступно 5 вариантов:

Режим "Автоматический"

Предназначен для упрощения настройки функции Ping Сheck обычными пользователями (тем, кто не хочет разбираться в дополнительных параметрах).

Начиная с версии ОС 3.9.3 проверяется доступность узлов ya.ru, vk.com и youtube.com, в более старых версиях — доступность google.com, facebook.com, yahoo.com по порту TCP/443 (HTTPS). Этот порт, как правило, не блокируется операторами связи. Интервал проверки — 10 секунд. Минимальное число успешных попыток для перехода из выключенного состояния во включенное — 5. Число неуспешных попыток для перехода из включенного состояния в выключенное — 5.

Режим "ICMP-запросы (Ping)"

В полях Периодичность проверки (время в секундах между проверками) и Порог срабатывания (число неудачных проверок) по умолчанию установлены значения 10 и 5 соответственно.

В поле Проверять IP-адрес или домен впишите IP-адрес узла или его доменное имя, ответ от которого будет служить критерием наличия доступа к сети. Например, можно использовать адрес надежного отказоустойчивого сервера DNS (в нашем примере указан IP-адрес публичного DNS-сервера от Яндекса). Рекомендуется указывать IP-адрес для исключения проблем, связанных с DNS.

При использовании режима ICMP-запросы (Ping) и при указании публичных серверов (сервисов) в качестве IP-адреса для проверки доступности Интернета, могут возникать задержки при ответе на пинг. Время ожидания ответа на запрос от проверяемого сервера составляет 10 секунд. Если по истечении этого времени ответ не пришел, интернет-центр считает этот запрос неудачным и отсылает следующий запрос. Данное значение является постоянным.

В поле Периодичность проверки указывается время между проверками. Точкой отсчета для второго и далее запроса считается время получения предыдущего ответа (или истечение времени ожидания ответа), а не время отправления предыдущего запроса. Например, 0 сек — отправлен первый запрос, через 3 сек — получен первый ответ (может ожидать до 10 сек), далее ожидание, указанное в поле "Периодичность проверки" (по умолчанию 10 сек), т.е. 3+10=13 сек — отправка второго запроса и т.д. Таким образом конфликта таймингов быть не может (когда запрос отправлен ранее, чем получен предыдущий ответ).

Если же с каким-то публичным сервером постоянно возникают задержки при ответе на пинг, не рекомендуется чрезмерно увеличивать значения периодичности проверки и порога срабатывания, т.к. это может привести к блокировке трафика на стороне сервера. Предпочтительно, выбрать адрес другого ресурса, постоянно доступный в сети Интернет, и с которым не будут возникать большие задержки при ответе на пинг.

Режим "TLS-проверка порта TCP"

Режим TLS-проверка порта TCP улучшает работу механизма Ping Check для обеспечения защиты от сбоев доступа в Интернет. Этот режим предотвратит ложноположительные результаты, в случае когда провайдер перенаправляет трафик на авторизованный портал, например, на свой биллинговый сервис.

Рекомендуется указывать IP-адрес для исключения проблем, связанных с DNS:

Режим "Проверка порта TCP"

В полях Периодичность проверки (время в секундах между проверками) и Порог срабатывания (число неудачных проверок) по умолчанию установлены значения 10 и 5 соответственно.

В поле Проверять IP-адрес или домен впишите IP-адрес узла или его доменное имя, проверку доступности которого требуется выполнять. Например, можно использовать адрес сервера DNS (в нашем примере указан IP-адрес публичного DNS-сервера от Яндекса). Рекомендуется указывать IP-адрес для исключения проблем, связанных с DNS.

В поле Порт TCP укажите номер TCP-порта, по которому будет осуществляться проверка доступности Интернета. В нашем примере используется порт TCP/53 (DNS).

Режим "Не использовать"

Если нужно отключить механизм Ping Check, установите значение Не использовать в поле Режим.

Обычно интернет-провайдер автоматически предоставляет своим пользователям собственный доменный сервер (DNS), однако в некоторых случаях может потребоваться отказаться от использования этих серверов, заменив их адресами публичных DNS или VPN-провайдера.

Начиная с версии ОС 3.1 в веб-конфигураторе можно включить опцию для игнорирования (отключения) DNS-серверов, автоматически получаемых от провайдера. Данная возможность доступна для соединений на странице "Проводной" (включая PPPoE/PPTP/L2TP), "Wireless ISP", "DSL-подключение".

Рассмотрим пример. В веб-конфигураторе роутера на странице "Системный монитор" в панели "Интернет" в строке "DNS-серверы" отображаются адреса DNS, полученные автоматически от провайдера и дополнительные серверы, указанные вручную. В нашем примере, DNS-сервер 192.168.100.1 получен автоматически от провайдера, а адреса 77.88.8.8 и 77.88.8.1 добавлены вручную.

Включите опцию "Игнорировать DNSv4 интернет-провайдера". Она запрещает использовать адреса DNS-серверов полученные по DHCP для текущего соединения.

При использовании подключения IPoE (без авторизации) или с авторизацией по протоколу PPPoE/PPTP/L2TP данную настройку вы найдете на странице "Подключения к интернету по Ethernet-кабелю" в разделе "Параметры IPv4". Настройки для WISP- и ADSL-подключений находятся на соответствующих страницах  "Wireless ISP" и "DSL-подключение".

После отключения DNS на странице "Системный монитор" в строке "DNS-серверы" уже не будут отображаться адреса, получаемые автоматически от провайдера.

Дополнительную информацию вы можете найти в статье "Использование публичных DNS-серверов".