VPN LAN-LAN IPsec pomiędzy takimi samymi adresacjami (translacja dwukierunkowa)

Zapoznaj się z przykładem Rozwiązywanie problemów z VPN.

Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN
3. Status połączenia

Główne założenia przykładu:
– typ tunelu: LAN-LAN (site-site) z translacją adresów IP podsieci
Oryginalne adresacje są zastępowane przez wirtualne.
Dla adresacji 192.168.1.x od strony serwera jest wykonywana translacja dwukierunkowa na wirtualną podsieć 192.168.11.x (np. 192.168.1.10<->192.168.11.10).
Podsieć klienta VPN 192.168.1.x ma pośredni dostęp do podsieci serwera VPN 192.168.1.x przez adresację 192.168.11.x.
Dla adresacji 192.168.1.x od strony klienta jest wykonywana translacja dwukierunkowa na wirtualną podsieć 192.168.12.x (np. 192.168.1.10<->192.168.12.10).
Podsieć serwera VPN 192.168.1.x ma pośredni dostęp do podsieci klienta VPN 192.168.1.x przez adresację 192.168.12.x.
– protokół VPN: IPsec IKEv1 (tryb główny)
– szyfrowanie: AES
– adres WAN serwera VPN: 1.1.1.1
– adres WAN klienta VPN:  2.2.2.2

Routery Vigor dla połączeń VPN Site-to-Site nie wspierają trybu Bridge.

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola w sekcji Common Settings:
– Wpisz dowolną nazwę profilu.
– Zaznacz Enable this profile.
– Wybierz kierunek połączenia Dial-in, aby profil służył do odbierania połączenia
– W polu Idle Timeout wpisz 0 jeśli Vigor ma pozostawić połączenie pomimo braku ruchu.
Wybierz/wypełnij następujące pola w sekcji Dial-in:
– Jako akceptowany protokół zaznacz IPsec Tunnel.
– Zaznacz opcję Specify Remote VPN Gateway i wpisz publiczny adres IP klienta VPN. W omawianym przykładzie IP 2.2.2.2.
– Wpiszz klucz IKE Pre-Shared Key. W omawianym przykładzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeń IPsec w IPsec Security Method. W przykładzie użyto AES.
Wybierz/wypełnij następujące pola w sekcji TCP/IP Network Settings:
– Wybierz tryb Routing
– Zaznacz Translate Local Network i wskaż rodzaj dwukierunkowej translacji Whole Subnet
– W Local SubnetTranslated IP wybierz lokalną podsieć dla której ma być wykonana translacja (w przykładzie LAN1) i wpisz wirtualną adresację sieci lokalnej (w przykładzie 192.168.11.0).
– Wpisz wirtualną adresację sieci zdalnej w polu Remote Network IP (w przykładzie 192.168.12.0) oraz jej maskę w polu Remote Network Mask (w przykładzie 255.255.255.0).

2. Konfiguracja klienta VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola w sekcji Common Settings:
– Wpisz dowolną nazwę profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 był preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek połączenia Dial-out, aby profil służył do inicjowania połączenia
– Zaznacz opcję Always on (Idle Timeout zmieni się na -1), aby połączenie było aktywne cały czas.
Wybierz/wypełnij następujące pola w sekcji Dial-out:
– Jako  protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykładzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykładzie vigor.drayddns.com).
– Wpisz klucz IKE Pre-Shared Key. W omawianym przykładzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeń IPSec w IPsec Security Method. W przykładzie użyto AES.
Wybierz/wypełnij następujące pola w sekcji TCP/IP Network Settings:
– Wybierz tryb Routing
– Zaznacz Translate Local Network i wskaż rodzaj dwukierunkowej translacji Whole Subnet
– W Local SubnetTranslated IP wybierz lokalną podsieć dla której ma być wykonana translacja (w przykładzie LAN1) i wpisz wirtualną adresację sieci lokalnej (w przykładzie 192.168.12.0).
– Wpisz wirtualną adresację sieci zdalnej w polu Remote Network IP (w przykładzie 192.168.11.0) oraz jej maskę w polu Remote Network Mask (w przykładzie 255.255.255.0).

3. Status połączenia

Klient VPN:
W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.

Serwer VPN:
W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.
Zauważ, że zdalna podsieć jest taka sama jak WAN IP klienta VPN.