VPN LAN-LAN IPsec w trybie NAT (WAN IP)

Zapoznaj siÄ™ z przykÅ‚adem RozwiÄ…zywanie problemów z VPN.

Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN
3. Status połączenia

Główne założenia przykładu:
– IPsec IKEv1 LAN-LAN (site-site) w trybie NAT
Ruch przesyÅ‚any od strony klienta VPN przez tunel jest NATowany z użyciem WAN IP 2.2.2.2.
Podsieć klienta VPN 192.168.2.X ma dostęp do podsieci serwera VPN 192.168.1.X.
Podsieć serwera VPN 192.168.1.X nie ma dostÄ™pu do podsieci klienta VPN 192.168.2.X gdyż jest ona „schowana” za NAT.
– adres WAN serwera VPN: 1.1.1.1
– adres WAN klienta VPN:  2.2.2.2
– różne adresacje sieci lokalnych: serwer VPN 192.168.1.1 /24, klient VPN 192.168.2.1 /24

Przykład dotyczy IPsec IKEv1.
Klient VPN IPsec IKEv2 LAN-LAN w trybie NAT żąda przydzielenia adresu IP przez serwer VPN.

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić połączenie pomimo braku ruchu. L2TP posiada wbudowane mechanizmy detekcji połączenia.
– Jako akceptowany protokół zaznacz IPsec.
– Zaznacz opcjÄ™ Specify Remote Node i wpisz publiczny adres IP klienta VPN. W omawianym przykÅ‚adzie IP 2.2.2.2.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.

2. Konfiguracja klienta VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek połączenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania połączenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby połączenie byÅ‚o aktywne caÅ‚y czas.

Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Dial-out:
– Jako  protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykÅ‚adzie vigor.drayddns.com).
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.
– JeÅ›li chcesz skonfigurować zaawansowane ustawienia IKE (szyfrowanie, integralność grupÄ™ Diffiego-Hellmana, czas życia kluczy, PFS) to kliknij przycisk Advanced.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji TCP/IP Network Settings:
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).
– Wybierz tryb NAT, aby wykonywać translacjÄ™ adresów lokalnych na WAN IP

3. Status połączenia

Klient VPN:
W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.
Serwer VPN:
W routerze przejdź do zakładki VPN and Remote Access >> Connection Management.
Zauważ, że zdalna podsieć jest taka sama jak WAN IP klienta VPN.