VPN LAN-LAN IPsec w trybie NAT (WAN IP)

Zapoznaj siÄ™ z przykÅ‚adem RozwiÄ…zywanie problemów z VPN.

Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN
3. Status połączenia

Główne założenia przykładu:
– IPsec IKEv1 LAN-LAN (site-site) w trybie NAT
Ruch przesyÅ‚any od strony klienta VPN przez tunel jest NATowany z użyciem WAN IP 2.2.2.2.
Podsieć klienta VPN 192.168.2.X ma dostęp do podsieci serwera VPN 192.168.1.X.
Podsieć serwera VPN 192.168.1.X nie ma dostÄ™pu do podsieci klienta VPN 192.168.2.X gdyż jest ona „schowana” za NAT.
– adres WAN serwera VPN: 1.1.1.1
– adres WAN klienta VPN:  2.2.2.2
– różne adresacje sieci lokalnych: serwer VPN 192.168.1.1 /24, klient VPN 192.168.2.1 /24

Przykład dotyczy IPsec IKEv1.
Klient VPN IPsec IKEv2 LAN-LAN w trybie NAT żąda przydzielenia adresu IP przez serwer VPN.

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– W polu Idle Timeout wpisz 0 jeÅ›li Vigor ma pozostawić poÅ‚Ä…czenie pomimo braku ruchu. L2TP posiada wbudowane mechanizmy detekcji poÅ‚Ä…czenia.
– Jako akceptowany protokół zaznacz IPsec.
– Zaznacz opcjÄ™ Specify Remote Node i wpisz publiczny adres IP klienta VPN. W omawianym przykÅ‚adzie IP 2.2.2.2.
– Zaznacz klucz IKE Pre-Shared Key, kliknij przycisk IKE Pre-Shared Key – pojawi siÄ™ okienko w którym wpisz odpowiedni klucz. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.

2. Konfiguracja klienta VPN

Przejdź do zakładki VPN and Remote Access >> Remote Access Control.
Sprawdź czy jest włączona obsługa protokołu IPsec.
Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Kliknij dowolny indeks np. 1, aby stworzyć profil VPN.
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Common Settings:
– Wpisz dowolnÄ… nazwÄ™ profilu.
– Zaznacz Enable this profile.
– Wybierz WAN1 First, aby WAN1 byÅ‚ preferowanym interfejsem WAN do zestawiania VPN.
– Wybierz kierunek poÅ‚Ä…czenia Dial-out, aby profil sÅ‚użyÅ‚ do inicjowania poÅ‚Ä…czenia
– Zaznacz opcjÄ™ Always on (Idle Timeout zmieni siÄ™ na -1), aby poÅ‚Ä…czenie byÅ‚o aktywne caÅ‚y czas.

Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji Dial-out:
– Jako  protokół zaznacz IPsec Tunnel.
– W polu Server IP/Host Name for VPN wpisz adres IP routera (w przykÅ‚adzie 1.1.1.1), do którego zestawiasz tunel VPN, albo jego adres domenowy (w przykÅ‚adzie vigor.drayddns.com).
– Wpisz klucz IKE Pre-Shared Key. W omawianym przykÅ‚adzie klucz ‘test’.
– Zaznacz odpowiedni poziom zabezpieczeÅ„ IPSec w IPsec Security Method. W przykÅ‚adzie użyto AES.
– pozostaw 0.0.0.0 w polu Phase 2 Network ID, aby do translacji NAT router użyÅ‚ WAN IP
W starszym WebUI pozostaw 0.0.0.0 w polu My WAN IP w sekcji TCP/IP
Wybierz/wypeÅ‚nij nastÄ™pujÄ…ce pola w sekcji TCP/IP Network Settings:
– Wybierz tryb NAT, aby wykonywać translacjÄ™ adresów lokalnych
– Wpisz adresacjÄ™ sieci zdalnej w polu Remote Network IP (w przykÅ‚adzie 192.168.1.0) oraz jej maskÄ™ w polu Remote Network Mask (w przykÅ‚adzie 255.255.255.0).

3. Status połączenia

Przejdź do zakładki VPN and Remote Access >> Connection Management, aby sprawdzić status połączeń VPN.

Po zestawieniu tunelu router automatycznie dodaje również trasę statyczną do zdalnej podsieci.
Przejdź do zakładki Diagnostics >> Routing Table, aby sprawdzić aktualną tabelę routingu.

Klient VPN:Serwer VPN:
Zauważ, że zdalna podsieć jest taka sama jak WAN IP klienta VPN.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

AkceptujÄ™