DrayTek-DrayTek-IPSec[1].pdf
(
246 KB
)
Pobierz
2
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy
połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:
Vigor1: publiczny,
stały adres IP:
81.15.19.90, podsieć lokalna: 192.168.4.0/24
Vigor2: publiczny,
stały adres IP:
212.77.134.11, podsieć lokalna: 192.168.5.0/24
Vigor 1
Vigor 2
IP: 83.15.19.90
Internet
IP: 212.77.134.11
192.168.4.1
192.168.5.1
192.168.4.10
192.168.5.10
1. W obu routerach należy prawidłowo skonfigurować dostęp do Internetu poprzez port
WAN.
Jeżeli posiadamy stały adres IP oraz używamy urządzenia dostępowego
(modemu/routera) pracującego jako domyślna brama do Internetu, routery Vigor
konfigurujemy następująco:
Internet Access Setup
→
Static or Dynamic IP
Vigor1 (zakładamy maskę podsieci 255.255.255.252, typową dla usługi Internet DSL):
81.15.19.89 jest adresem modemu/routera który jest bramą domyślną dla routera Vigor (w
usłudze Internet DSL będzie to modem ADSL z interfejsem Ethernet).
Router Vgor konfigurujemy tak samo, używając właściwych adresów IP i maski podsieci
(rysunek zostanie pominięty).
2004
BRINET Sp. z o. o.
1
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
2. Konfigurujemy interfejs LAN routera dla obsługi podsieci prywatnej:
LAN TCP/IP and DHCP Setup
Vigor 1 (jako adres własny routera wybieramy np. adres 192.168.4.1):
W przykładzie włączono również serwer DHCP z początkowym adresem 192.168.4.10 i pulą
obejmującą 50 kolejnych adresów. Podano też adresy publicznych serwerów DNS.
Vigor 2 analogicznie, z uwzględnieniem przyjętych adresów IP:
Tutaj dla odmiany wyłączono serwer DHCP. Jeżeli w sieci nie ma innego serwera, parametry
IP w komputerach należy skonfigurować ręcznie. Należy pamiętać o wpisaniu adresów
serwerów DNS w każdej maszynie.
3. W obu routerach zaznaczamy IPSec jako akceptowany przez router protokół VPN:
VPN and Remote Access Setup
→
Remote Access Control Setup
2004
BRINET Sp. z o. o.
2
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
4. W obu routerach określamy adres IP, jaki może zostać przydzielony stronie zdalnej
dla potrzeb routingu wewnątrz tunelu VPN. Adres musi być wybrany z lokalnej podsieci
i nie powinien się pokrywać z pulą DHCP ani być już używanym przez inne urządzenie.
VPN and Remote Access Setup
→
PPP General Setup
Vigor 1:
Vigor 2:
2004
BRINET Sp. z o. o.
3
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
5. W obu routerach konfigurujemy parametry połączenia IPSec. Wpisujemy klucz
wykorzystywany przez protokół IKE w procesie wstępnej autentykacji stron, oraz
określamy akceptowalną przez router metodę zabezpieczania komunikacji:
VPN and Remote Access Setup
→
VPN IKE/IPSec Setup
Klucz IKE w sekcji Dial-In (kolor czerwony) musi być identyczny z kluczem w sekcji Dial-
Out (kolor zielony) w routerze odległym. Oba klucze należy wpisać dwukrotnie i zatwierdzić
OK. Można użyć dowolnej kombinacji znaków. Klucze dla obu kierunków mogą też być
identyczne, co nie jest zalecane na stałe, ale może się przydać podczas diagnozowania
problemów z połączeniem.
Jako metodę zabezpieczenia w przykładzie wybrano protokół ESP i algorytm szyfrowania
DES. Protokół AH nie zapewnia szyfrowania, a tylko samą autoryzację pakietów. Natomiast
ESP wprowadza szyfrowanie oraz autoryzację, dlatego w przypadku takiego wyboru
zaznaczanie dodatkowo AH nie jest zalecane. Dodatkowy poziom autoryzacji powoduje
niepotrzebny spadek wydajności przetwarzania. Identyczne ustawienia należy wykonać w
drugim routerze.
2004
BRINET Sp. z o. o.
4
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
6. Ostatnim krokiem jest skonfigurowanie profilu połączenia, obejmującego
podstawowe zagadnienia związane z inicjacją i obsługą tunelu VPN.
VPN and Remote Access Setup
→
LAN to LAN Dialer Profile Setup
Wybieramy dowolny nieużywany profil klikając na odpowiedni indeks.
Vigor 1 – konfiguracja profilu:
Profil Name
– dowolna nazwa dla profilu
Enable
– włączenie profilu (inaczej połączenie nie będzie możliwe)
Call Direction:
Both
– tunel może być inicjowany i odbierany przez Vigor1
Dial-Out
– tylko inicjowanie do Vigor 2 (Vigor 1 nie odbierze wywołania od Vigor 2)
Dial-In
– odwrotnie (tylko odbiór), brak podniesienia tunelu przez Vigor 1 „na żądanie”
Uwaga: dotyczy to procesu inicjowania tunelu jeżeli nie jest o aktywny. W aktywnym tunelu
istnieje pełna komunikacja w obu kierunkach (dotyczy również inicjowania sesji TCP
pomiędzy podsieciami)
Always on
– tunel stale aktywny
Idle Timeout
– tunnel rozłączany po podanym czasie nieaktywności i automatycznie
inicjowany “na żadanie” komputerów
Server IP
– publiczny adres IP interfejsu WAN odległego routera (Vigor 2). Można tutaj
użyć nazwy DNS skojarzonej z adresem IP, o ile router będzie potrafił ją prawidłowo
„rozwiązać”. Przydaje się to kiedy adres zdalny się zmienia (np. Neostrada + DynDNS).
Type of server
– protokół VPN jaki zostanie użyty przez Vigor 1 podczas inicjowania tunelu
2004
BRINET Sp. z o. o.
5
Plik z chomika:
figur1
Inne pliki z tego folderu:
DrayTek-DrayTek-IPSec[1].pdf
(246 KB)
Dynamiczny-DNS[1].pdf
(226 KB)
Firewall-bezpieczenstwo[1].pdf
(405 KB)
NAT[1].pdf
(358 KB)
Router_Tools.zip
(658 KB)
Inne foldery tego chomika:
_Mierniki
_RÓŻNE
_SAMOCHODY
4NSYS
Asmax
Zgłoś jeśli
naruszono regulamin