[DrayOS5] VPN LAN-LAN IPsec IKEv2(ID)

Instrukcja jak skonfigurować połączenie VPN Site-to-Site z użyciem protokołu IPsec IKEv2 pomiędzy routerami DrayTek z systemem DrayOS 5.
Router pełniący rolę serwera VPN (respondera) ze stałym lub zmiennym publicznym adresem IP.
Router pełniący rolę klienta VPN (inicjatora) ze zmiennym publicznym adresem IP.

Routery DrayTek z systemem DrayOS 5 to m.in. seria Vigor C410, C510, 2136

Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN
3. Status połączenia

Główne założenia przykładu:
– typ tunelu: LAN-to-LAN (site-to-site) z routingiem pomiędzy podsieciami
– protokół VPN: IPsec IKEv2 z użyciem ID
– szyfrowanie: AES
– adres WAN serwera VPN: stały (IP – 1.1.1.1) lub zmienny (domenowy – vigor.drayddns.com)
– adres WAN klienta VPN: zmienny
– różne adresacje sieci lokalnych: serwer VPN 192.168.1.1 /24, klient VPN 192.168.2.1 /24

IPsec IKEv2 umożliwia użycie identyfikatora ID zamiast adresu IP jeśli klient nie posiada stałego publicznego IP.

Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS., aby komunikować się z routerem przez adres domenowy.

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN / General Setup / Access Control.
Sprawdź czy router akceptuje połączenia.
Przejdź do zakładki VPN / General Setup / IPsec.
Włącz usługę IPsec.
Przejdź do zakładki VPN / Site-to-Site VPN.
Kliknij Add aby dodać nowy profil

Wybierz/wypełnij następujące pola:
– Wpisz dowolną nazwę profilu
– Zaznacz Enabled
– Wybierz kierunek połączenia Dial-in, aby profil służył do odbierania połączenia
– Jako typ VPN wybierz IPsec wraz z protokołem IKEv1/IKEv2
– Zaznacz opcję Specify VPN Peer i wpisz identyfikator zdalnego routera w polu Peer ID. W omawianym przykładzie ‘Vigor2’.
– Wpisz klucz IKE Pre-Shared Key
– Wpisz adresację sieci lokalnej w polu Local Network (w przykładzie 192.168.1.0) oraz jej maskę w polu Subnet Mask (w przykładzie 255.255.255.0)
– Wpisz adresację sieci zdalnej w polu Remote Network (w przykładzie 192.168.2.0) oraz jej maskę w polu Subnet Mask (w przykładzie 255.255.255.0)

2. Konfiguracja klienta VPN

Przejdź do zakładki VPN / General Setup / IPsec.
Włącz usługę IPsec.
Przejdź do zakładki VPN / Site-to-Site VPN.
Kliknij Add aby dodać nowy profil
Wybierz/wypełnij następujące pola:
– Wpisz dowolną nazwę profilu.
– Zaznacz Enabled
– Wybierz kierunek połączenia Dial-out, aby profil służył do inicjowania połączenia
– Jako typ VPN wybierz IPsec wraz z protokołem IKEv2
– W polu Remote IP/Domain wpisz adres IP routera (w przykładzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykładzie vigor.drayddns.com)
– Zaznacz opcję Always on, aby połączenie było aktywne cały czas
– Wpisz klucz IKE Pre-Shared Key
– Wpisz lokalny identyfikator routera w polu Local ID. W omawianym przykładzie ‘Vigor2’.
– Wpisz adresację sieci lokalnej w polu Local Network (w przykładzie 192.168.2.0) oraz jej maskę w polu Subnet Mask (w przykładzie 255.255.255.0)
– Wpisz adresację sieci zdalnej w polu Remote Network (w przykładzie 192.168.1.0) oraz jej maskę w polu Subnet Mask (w przykładzie 255.255.255.0)
– Wybierz tryb Route, aby wykonywać routing pomiędzy podsieciami.

3. Status połączenia

Przejdź do zakładki VPN / VPN Connection Status / Site-to-Site VPN, aby sprawdzić status połączeń VPN.

Po zestawieniu tunelu router automatycznie dodaje również trasę statyczną do zdalnej podsieci.
Przejdź do zakładki Monitoring / Route Table, aby sprawdzić aktualną tabelę routingu.