VPN IPSec LAN-LAN pomiędzy routerami serii: Vigor 2700 oraz Vigor 2910 1. Wstęp Wyobraźmy sobie sytuację, w której musimy skonfigurować połączenie VPN pomiędzy dwoma odległymi lokalizacjami. Jedna posiada łącze ze zmiennym adresem IP (np. Vigor 2700V i Neostrada), natomiast druga posiada łącze ze stałym adresem IP (np. Vigor 2910 i DSL TP). Koncepcja jest taka, że strona ze zmiennym adresem zawsze powinna inicjować połączenie do strony ze stałym adresem, co znajdzie odzwierciedlenie w dalszej konfiguracji VPN. Zakładamy również, że obydwa routery zostały już podłączone do Internetu, oraz posiadają różne podsieci LAN, np. Vigor 2700 192.168.1.0 /24 Vigor 2910 192.168.20.0 /24 Posiadanie jednakowej podsieci po obydwu stronach może powodować znaczne problemy, dlatego najlepiej użyć już na starcie odmiennej adresacji. Routery mają wgrane polskie oprogramowanie dostępne do pobrania z naszej strony http://www.draytek.pl, lub z naszego serwera ftp ftp://ftp.draytek.pl 1
2. Konfiguracja routera Vigor 2910 (centrali / serwera VPN) Ustawienia LAN >> Ustawienia Ogólne Nadaliśmy routerowi adres w sieci LAN : 192.168.20.29 2
Przechodzimy teraz do zakładki VPN i Dostęp Zdalny >> Połączenia LAN-LAN i dokonujemy ustawień jak na rysunku poniżej. Zaznaczenie Dial-In powoduje, że router nie inicjuje połączenia VPN, lecz jest nastawiony jako serwer VPN na jego odbieranie z zewnątrz. Z tego powodu Ustawienia Dial-Out (inicjacja do innego routera) zostawiamy bez zmian. 3
Przechodzimy do poniższej sekcji Ustawienia Dial-In (odbiór wywołania z innego routera). Dokonujemy konfiguracji jak na rysunku poniżej. Po kliknięciu w szare pole Klucz IKE, wyskoczy nam dodatkowe okno. Wpisujemy w nim dowolną nazwę klucza, np. draytek. Najważniejsze jest to, żeby na obydwu routerach była jednakowa. Tak samo jak kolejny parametr zwany ID (w polu Określ Zdalną bramę VPN), np. Vigor2700. Te dwie nazwy (klucz i ID) koniecznie należy zapamiętać, bo posłużą nam w konfiguracji drugiego routera (Vigora 2700 jako klienta VPN). 4
Ostatnia sekcja określająca adres podsieci zdalnej, czyli zakres adresów do których chcemy uzyskać dostęp po zestawieniu tunelu VPN. Klikamy OK, aby zapisać ustawienia. Tym sposobem przygotowaliśmy 2910 do odbioru połączenia VPN. Teraz przechodzimy do ustawień routera Vigor 2700. 5
3. Konfiguracja routera Vigor 2700 (jako klienta VPN) Ustawienia LAN >> Ustawienia Ogólne Nadaliśmy routerowi adres w sieci LAN : 192.168.1.27 6
Przechodzimy teraz do zakładki VPN i Dostęp Zdalny >> Połączenia LAN-LAN i dokonujemy ustawień jak na rysunku poniżej. Zaznaczenie Dial-Out i Zawsze Aktywne powoduje, że router trwale inicjuje połączenie VPN. Z tego powodu Ustawienia Dial-In (odbiór wywołania z innego routera) zostawiamy bez zmian, a skupiamy się na sekcji Dial- Out. Wpisanie adresu routera Vigor 2910 w polu PING na IP, spowoduje, że router 2700 będzie wysyłał pingi na drugi koniec tunelu i na bieżąco sprawdzał jego stan i aktywność. Gdy np. połączenie VPN zostanie przerwane z niewiadomych przyczyn, 2700 będzie wiedział (gdy nie otrzyma odpowiedzi z PING-a), że ma ponownie zainicjować tunel. 7
Przechodzimy do sekcji Dial-Out. Po kliknięciu w szare pole Klucz IKE, ukaże się dodatkowe okno, w którym wpisujemy nazwę klucza, np. draytek. Jak już zostało wspomniane, nazwa ta musi być koniecznie taka sama jak w 2910. 8
Przechodzimy do dalszej części ustawień sekcji Dial-Out. Bardzo ważne jest, aby wpisać właściwy adres IP dla serwera VPN (83.15.52.235 jest to adres IP na WAN-ie routera 2910). Następnie w polu Poziom zabezpieczeń IPSec klikamy szare pole Zaawansowane i pojawi się dodatkowe okno Ustawienia Zaawansowane IKE. Dokonujemy w nim ustawień jak na rysunku poniżej. Wybieramy Tryb Agresywny zalecany w sytuacjach, gdy strona która inicjuje tunel VPN posiada zmienny adres IP. Gdy dysponujemy stałym adresem na 2700 możemy pokusić się o wybór Trybu Głównego. Następnie wybieramy najsilniejszą metodę szyfrowania, jaką jest obecnie AES. Na samym dole w polu Lokalny ID wpisujemy takie samo ID, jak wcześniej wpisaliśmy na Vigorze 2910, np. vigor2700. ID jest pomocne w identyfikacji urządzenia zdalnego na serwerze VPN, gdyż w celach uwierzytelniania nie możemy się przecież posłużyć adresem, który się co jakiś czas zmienia (np. Neostrada), stąd wymuszony identyfikator jednakowy po obydwu stronach, jakim jest ID. 9
Ostatnia sekcja określająca adres podsieci zdalnej, czyli zakres adresów do których chcemy uzyskać dostęp po zestawieniu tunelu VPN. Wyłączamy RIP, aby nie generować zbędnego ruchu. Klikamy OK, aby zapisać ustawienia. Tym samym przygotowaliśmy Vigora 2700 jako klienta VPN, do inicjacji tunelu IPSec. Teraz należy sprawdzić, czy połączenie VPN zostało nawiązane. 10
4. Sprawdzanie połączenia W tym celu na dowolnym routerze wybieramy zakładkę: VPN i Dostęp Zdalny >> Kontrola Połączeń Jak widać na poniższym rysunku, zestawienie tunelu IPSec zakończyło się powodzeniem. 11