DrayTek-DrayTek-IPSec[1].pdf

(246 KB) Pobierz
2
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy
połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:
Vigor1: publiczny, stały adres IP: 81.15.19.90, podsieć lokalna: 192.168.4.0/24
Vigor2: publiczny, stały adres IP: 212.77.134.11, podsieć lokalna: 192.168.5.0/24
Vigor 1
Vigor 2
IP: 83.15.19.90
Internet
IP: 212.77.134.11
192.168.4.1
192.168.5.1
192.168.4.10
192.168.5.10
1. W obu routerach należy prawidłowo skonfigurować dostęp do Internetu poprzez port
WAN. Jeżeli posiadamy stały adres IP oraz używamy urządzenia dostępowego
(modemu/routera) pracującego jako domyślna brama do Internetu, routery Vigor
konfigurujemy następująco:
Internet Access Setup Static or Dynamic IP
Vigor1 (zakładamy maskę podsieci 255.255.255.252, typową dla usługi Internet DSL):
81.15.19.89 jest adresem modemu/routera który jest bramą domyślną dla routera Vigor (w
usłudze Internet DSL będzie to modem ADSL z interfejsem Ethernet).
Router Vgor konfigurujemy tak samo, używając właściwych adresów IP i maski podsieci
(rysunek zostanie pominięty).
2004 BRINET Sp. z o. o.
1
735699301.009.png 735699301.010.png 735699301.011.png 735699301.012.png
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
2. Konfigurujemy interfejs LAN routera dla obsługi podsieci prywatnej:
LAN TCP/IP and DHCP Setup
Vigor 1 (jako adres własny routera wybieramy np. adres 192.168.4.1):
W przykładzie włączono również serwer DHCP z początkowym adresem 192.168.4.10 i pulą
obejmującą 50 kolejnych adresów. Podano też adresy publicznych serwerów DNS.
Vigor 2 analogicznie, z uwzględnieniem przyjętych adresów IP:
Tutaj dla odmiany wyłączono serwer DHCP. Jeżeli w sieci nie ma innego serwera, parametry
IP w komputerach należy skonfigurować ręcznie. Należy pamiętać o wpisaniu adresów
serwerów DNS w każdej maszynie.
3. W obu routerach zaznaczamy IPSec jako akceptowany przez router protokół VPN:
VPN and Remote Access Setup Remote Access Control Setup
2004 BRINET Sp. z o. o.
2
735699301.001.png 735699301.002.png
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
4. W obu routerach określamy adres IP, jaki może zostać przydzielony stronie zdalnej
dla potrzeb routingu wewnątrz tunelu VPN. Adres musi być wybrany z lokalnej podsieci
i nie powinien się pokrywać z pulą DHCP ani być już używanym przez inne urządzenie.
VPN and Remote Access Setup PPP General Setup
Vigor 1:
Vigor 2:
2004 BRINET Sp. z o. o.
3
735699301.003.png 735699301.004.png
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
5. W obu routerach konfigurujemy parametry połączenia IPSec. Wpisujemy klucz
wykorzystywany przez protokół IKE w procesie wstępnej autentykacji stron, oraz
określamy akceptowalną przez router metodę zabezpieczania komunikacji:
VPN and Remote Access Setup VPN IKE/IPSec Setup
Klucz IKE w sekcji Dial-In (kolor czerwony) musi być identyczny z kluczem w sekcji Dial-
Out (kolor zielony) w routerze odległym. Oba klucze należy wpisać dwukrotnie i zatwierdzić
OK. Można użyć dowolnej kombinacji znaków. Klucze dla obu kierunków mogą też być
identyczne, co nie jest zalecane na stałe, ale może się przydać podczas diagnozowania
problemów z połączeniem.
Jako metodę zabezpieczenia w przykładzie wybrano protokół ESP i algorytm szyfrowania
DES. Protokół AH nie zapewnia szyfrowania, a tylko samą autoryzację pakietów. Natomiast
ESP wprowadza szyfrowanie oraz autoryzację, dlatego w przypadku takiego wyboru
zaznaczanie dodatkowo AH nie jest zalecane. Dodatkowy poziom autoryzacji powoduje
niepotrzebny spadek wydajności przetwarzania. Identyczne ustawienia należy wykonać w
drugim routerze.
2004 BRINET Sp. z o. o.
4
735699301.005.png 735699301.006.png
Routery Vigor z serii 2200 – przykład VPN LAN-LAN (IPSec)
6. Ostatnim krokiem jest skonfigurowanie profilu połączenia, obejmującego
podstawowe zagadnienia związane z inicjacją i obsługą tunelu VPN.
VPN and Remote Access Setup LAN to LAN Dialer Profile Setup
Wybieramy dowolny nieużywany profil klikając na odpowiedni indeks.
Vigor 1 – konfiguracja profilu:
Profil Name – dowolna nazwa dla profilu
Enable – włączenie profilu (inaczej połączenie nie będzie możliwe)
Call Direction:
Both – tunel może być inicjowany i odbierany przez Vigor1
Dial-Out – tylko inicjowanie do Vigor 2 (Vigor 1 nie odbierze wywołania od Vigor 2)
Dial-In – odwrotnie (tylko odbiór), brak podniesienia tunelu przez Vigor 1 „na żądanie”
Uwaga: dotyczy to procesu inicjowania tunelu jeżeli nie jest o aktywny. W aktywnym tunelu
istnieje pełna komunikacja w obu kierunkach (dotyczy również inicjowania sesji TCP
pomiędzy podsieciami)
Always on – tunel stale aktywny
Idle Timeout – tunnel rozłączany po podanym czasie nieaktywności i automatycznie
inicjowany “na żadanie” komputerów
Server IP – publiczny adres IP interfejsu WAN odległego routera (Vigor 2). Można tutaj
użyć nazwy DNS skojarzonej z adresem IP, o ile router będzie potrafił ją prawidłowo
„rozwiązać”. Przydaje się to kiedy adres zdalny się zmienia (np. Neostrada + DynDNS).
Type of server – protokół VPN jaki zostanie użyty przez Vigor 1 podczas inicjowania tunelu
2004 BRINET Sp. z o. o.
5
735699301.007.png 735699301.008.png

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin