VPN LAN-LAN IPsec do wielu zdalnych podsieci (Multiple IPsec SA)

Multiple IPsec SA sÅ‚uży do łączenia siÄ™ z serwerem VPN innym niż DrayTek, aby uzyskać dostÄ™p do wiÄ™cej niż jednej zdalnej podsieci za poÅ›rednictwem:
– jednego profilu VPN
– kilku profili VPN

Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN – jeden profil
3. Konfiguracja klienta VPN – kilka profili

Główne założenia przykładu:
– typ tunelu: LAN-LAN (site-site) z routingiem pomiÄ™dzy podsieciami
– protokół VPN: IPsec
– szyfrowanie: AES
– adres WAN serwera VPN: staÅ‚y (IP – 1.1.1.1)
– adres WAN klienta VPN: staÅ‚y (IP – 2.2.2.2)
– różne adresacje sieci lokalnych: serwer VPN 192.168.1.1 /24 oraz 192.168.10.1 /24 , klient VPN 192.168.2.1 /24

1. Konfiguracja serwera VPN

W omawianym przykładzie została pominięta konfiguracja serwera VPN, gdyż nie jest to urządzenie Vigor.
Podczas łączenia z innym routerem Vigor z wieloma podsieciami omawiana w przykÅ‚adzie konfiguracja nie jest wymagana, gdyż możesz skorzystać z dodatkowego routingu przez VPN.
Zapoznaj siÄ™ z przykÅ‚adem Trasa statyczna przez VPN.

2. Konfiguracja klienta VPN – jeden profil

W tej metodzie użyty jest jeden profil VPN z włączonÄ… opcjÄ… Create Phase2 SA for each subnet.(IPsec) dla dodatkowych podsieci zdalnych.

Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek połączenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania połączenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby połączenie byÅ‚o aktywne caÅ‚y czas.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Dial-out:
– Jako  protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.
– JeÅ›li chcesz skonfigurować zaawansowane ustawienia IKE (szyfrowanie, integralność grupÄ™ Diffiego-Hellmana, czas życia kluczy, PFS) to kliknij przycisk Advanced.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.2.1) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).
– Kliknij przycisk More a nastÄ™pnie w nowym oknie w polu Network IP wpisz adres IP podsieci, w polu Netmask wybierz maskÄ™, kliknij przycisk Add oraz zaznacz opcjÄ™ Create Phase2 SA for each subnet.(IPsec)
– Wybierz tryb Route, aby wykonywać routing pomiÄ™dzy podsieciami.

Przejdź do zakładki VPN and Remote Access >> Connection Management, aby sprawdzić status połączeń VPN.

3. Konfiguracja klienta VPN – kilka profili

W tej metodzie użyte są dwa profile VPN.

Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.

Profil do 192.168.2.0/24 <-> 192.168.1.0/24 :

Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek połączenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania połączenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby połączenie byÅ‚o aktywne caÅ‚y czas.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Dial-out:
– Jako  protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.
– JeÅ›li chcesz skonfigurować zaawansowane ustawienia IKE (szyfrowanie, integralność grupÄ™ Diffiego-Hellmana, czas życia kluczy, PFS) to kliknij przycisk Advanced.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.2.1) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb Route, aby wykonywać routing pomiÄ™dzy podsieciami.

Profil do 192.168.2.0/24 <-> 192.168.10.0/24 :

Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek połączenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania połączenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby połączenie byÅ‚o aktywne caÅ‚y czas.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Dial-out:
– Jako  protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.
– JeÅ›li chcesz skonfigurować zaawansowane ustawienia IKE (szyfrowanie, integralność grupÄ™ Diffiego-Hellmana, czas życia kluczy, PFS) to kliknij przycisk Advanced.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.10.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wpisz adresacjÄ™ sieci lokalnej w polu Local Network IP (w przykÅ‚adzie 192.168.2.1) oraz jej maskÄ™ w polu Local Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb Route, aby wykonywać routing pomiÄ™dzy podsieciami.

Przejdź do zakładki VPN and Remote Access >> Connection Management, aby sprawdzić status połączeń VPN.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

AkceptujÄ™