Single Arm VPN (WAN)
Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.
Spis treści:
1. Konfiguracja urzÄ…dzenia brzegowego
2. Konfiguracja serwera VPN
3. Konfiguracja klienta VPN
4. Status połączenia
Główne założenia przykładu:
– jako „single arm” wykorzystywany interfejs WAN (LANy sÄ… nieużywane)
– typ tunelu: LAN-LAN (site-site) z routingiem pomiÄ™dzy podsieciami
– protokół VPN: IPsec IKEv1 (tryb główny)
– szyfrowanie: AES
– adres WAN urzÄ…dzenia brzegowego: staÅ‚y (1.1.1.1)
– adres WAN serwera VPN: staÅ‚y (192.168.1.2)
– adres WAN klienta VPN: staÅ‚y (IP – 2.2.2.2)
– różne adresacje sieci lokalnych: serwer VPN WAN 192.168.1.2 /24, klient VPN LAN 192.168.2.1 /24
1. Konfiguracja urzÄ…dzenia brzegowego
Na urzÄ…dzeniu brzegowym przekieruj porty VPN na router Vigor (192.168.1.2).
Zapoznaj się z przykładem Przekierowanie VPN do serwera w sieci lokalnej
Na urzÄ…dzeniu brzegowym dodaj trasÄ™ statycznÄ… 192.168.2.0/24 przez router Vigor (192.168.1.2).
Zapoznaj się z przykładem Trasa statyczna przez LAN
2. Konfiguracja serwera VPN
Przejdź do zakładki LAN >> General Setup.
Zmień adresację podsieci LAN1, aby nie była taka sama jak adresacja WAN.
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz kierunek poÅ‚Ä…czenia Dial-in, aby profil sÅ‚użyÅ‚ do odbierania poÅ‚Ä…czenia
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu.
Wybierz/wypełnij następujące pola w sekcji Dial-in:
– Jako akceptowany protokół zaznacz IPsec Tunnel.
– Zaznacz opcjÄ™ Specify Remote VPN Gateway i wpisz publiczny adres IP klienta VPN. W omawianym przykÅ‚adzie IP 2.2.2.2.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPsec w IPsec Security Method. W przykÅ‚adzie użyto AES.
Wybierz/wypełnij następujące pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.2.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb Route, aby wykonywać routing do podsieci zdalnej.
Przejdź do zakładki Routing >> LoadBalance/Route Policy.
Reguła kierująca ruch do podsieci 192.168.0/24 przez WAN w trybie routingu.
Reguła kierujące ruch z podsieci 192.168.1.0/24 do 192.168.2.0 przez VPN1 w trybie routingu.
3. Konfiguracja klienta VPN
Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek poÅ‚Ä…czenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania poÅ‚Ä…czenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby poÅ‚Ä…czenie byÅ‚o aktywne caÅ‚y czas.
Wybierz/wypełnij następujące pola w sekcji Dial-out:
– Jako protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.
– JeÅ›li chcesz skonfigurować zaawansowane ustawienia IKE (szyfrowanie, integralność grupÄ™ Diffiego-Hellmana, czas życia kluczy, PFS) to kliknij przycisk Advanced.
Wybierz/wypełnij następujące pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.2.1) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb Route, aby wykonywać routing pomiÄ™dzy podsieciami.
4. Status połączenia
Klient VPN:
W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.
Serwer VPN:
W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.