Поиск по моему блогу

Настройка IPSec тоннеля между двумя маршрутизаторами DI-804HV

Вопрос: Настройка IPSec тоннеля между двумя маршрутизаторами DI-804HV

Ответ: В качестве примера настройки IPSec соединения между двумя DI-804HV рассмотрим такую схему:

Необходимое требование: в локальных подсетях филиала и головного офиса должна быть разная IP-адресация. Например: в филиале адрес подсети 192.168.0.0, в головном офисе 192.168.3.0
Настройки, используемые в этом примере:
Головной офис:
DI-804HV
WAN IP: 192.168.100.201/24
LAN IP: 192.168.3.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.3.10/24
Шлюз по умолчанию: 192.168.3.1
Филиал
DI-804HV
WAN IP: 192.168.100.195/24
LAN IP: 192.168.0.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.0.187/24
Шлюз по умолчанию: 192.168.0.1
Версия ПО для DI-804HV - 1.34
Шаг 1. Настраиваем параметры IP на DI-804HV
При помощи web-интерфейса настраиваем WAN (внешний IP) и LAN (внутренний IP) межсетевого экрана DI-804HV.
Внутренний IP-адрес DI-804HV по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется устройство, нужно назначить IP- адрес типа 192.168.0.х
Логин по умолчанию - "admin" , пароль пустой.
Для того чтобы внести изменения в конфигурацию DI-804HV, после всех сделанных изменений на соответствующей странице web-интерфейса нужно нажать кнопку Apply. На WAN интерфейсе настраиваем статический IP - адрес, маску подсети, шлюз по умолчанию, DNS.
На LAN интерфейсе настраиваем IP-адрес, соответствующий адресации, принятой в вашей сети.
Проверить настройки можно на вкладке Status / Device Info:

Шаг 2. Настраиваем IPSec на первом DI-804HV.
Переходим по адресу Home->VPN
Страница VPN Settings
Здесь нужно включить Enable the VPN, затем ввести нужное вам количество тоннелей VPN в
поле Max. number of tunnels
В поле Tunnel Name задать имя тоннеля (ID номер 1), в поле Method выбрать IKE, затем нажать кнопку More:
Шаг 3
Страница VPN Settings - Tunnel 1
В поле Local Subnet и Local Netmask задать соответствующие параметры для LAN в которой находится DI-804HV
В поле Remote Subnet и Remote Netmask задать соответствующие параметры для удаленной подсети, находящейся за межсетевым экраном DI-804HV.
В поле Remote Gateway ввести IP-адрес внешнего интерфейса удалённого DI-804HV, и в поле Preshared Key ввести ключ
Нажать на кнопку Apply:

Шаг 4
Нажать на кнопку Select IKE Proposal
Страница VPN Settings - Tunnel 1 - Set IKE Proposal
Примечание: Здесь выбор настроек определяется пользователем исходя из требований производительности или надежности. Приведенные ниже настройки даны в качестве примера. Вы также можете использовать другие комбинации - необходимое требование при этом одно: настройки должны быть идентичны на обоих устройствах, организующих IPSec тоннель!
Ввести имя для ID номер 1 и выбрать Group 2 из выпадающего меню DH Group.
Выбрать алгоритм шифрации 3DES в поле Encryption Algorithm и алгоритм аутентификации MD5 в поле Authentication Algorithm
Ввести значение Lifetime равным, например, 86400 и выбрать Sec
Выбрать 1 из выпадающего меню Proposal ID и нажать Add To - это добавит то что мы сконфигурировали к IKE Proposal Index. Нажать Apply а затем Back. Нажать Select IPSec Proposal:

Шаг 5
Страница VPN Settings - Tunnel 1 - Set IPSEC Proposal
Примечание: Здесь выбор настроек определяется пользователем исходя из требований производительности или надежности. Приведенные ниже настройки даны в качестве примера. Вы также можете использовать другие комбинации - необходимое требование при этом одно: настройки должны быть идентичны на обоих устройствах, организующих IPSec тоннель!
Ввести имя для предложенного ID номер 1 и выбрать Group 2 из выпадающего меню DH Group
Выбрать ESP в Encapsulation Protocol
Выбрать 3DES в Encryption Algorithm и MD5 в Authentication Algorithm
Ввести значение Lifetime равным 28800 и выбрать Sec.
Выбрать 1 из выпадающего меню Proposal ID и нажать Add To, это добавит то, что мы сконфигурировали к IPSec Proposal Index.
Нажать Apply:

Шаг 6
Аналогичным образом настраиваем второй DI-804HV. Настройки "IKE Proposal" и "IPSEC Proposal" у двух маршрутизаторов должны быть совершенно идентичны. Настройки VPN-туннеля у второго маршрутизатора немного отличаются:

Все, на этом конфигурирование устройств закончено
Проверка работы.
Теперь для поднятия тоннеля между устройствами посылаем icmp-запрос из одной подсети в другую:

Тоннель устанавливается за несколько секунд, и после этого пакеты icmp, как и весь остальной трафик между сетями, направляются именно по тоннелю IPSec.
На маршрутизаторах DI-804HV в логе появляются подобные записи:

1 комментарий:

Анонимный комментирует...

я везде выбрал "Group1", "Add To" при этом тоже выбирал "1"
Вопрос такой:
у меня к офису подключенны 9 точек удалённых, 2 точки с динамическим внешним IP.
я подозреваю что точки с динамическими IP из-за этого периодически не работают (одно соединение работает и пингуется, а второе соединение видно в "статус VPN" но не пингуется, и причем я сбрасываю соединение которое не пингуется, а оно появится через несколько минут) ...хотя инет на самих точках есть... что я не правильно делаю

я так понял мне нужно менять настройки именно офисного D-Link-a

Реклама от BigBN