Uwaga! Przykład zakłada, że na obu routerach funkcjonuje już dostęp do Internetu, iżze wszystkie funkcje sieciowe niezbędne do komunikacji sieci LAN z Internetem zostały prawidłowo ustawione (adresy na komputerach, maski, bramy, DNS itd). Zajmujemy się wyłącznie komunikacją VPN. Przykład prezentuje modele ZyWall 70 oraz Vigor 2900, jednak należy zaznaczyć, że niezależnie od modelu ma on zastosowanie do prawie każdego routera obu producentów (mogą wystąpić najwyżej drobne różnice w wyglądzie zrzutów ekranu, jednak celowo stosujemy tylko podstawowe, niezbędne ustawienia). Zakładamy następującą adresację IP: DrayTek Vigor: ---------------------------------------------------- 1 st LAN IP: 192.168.2.173 adres podsieci: 192.168.2.0 maska: 255.255.255.0 adres WAN (statyczny): 213.76.132.41 Zyxel ZyWall: ---------------------------------------------------- adres podsieci LAN: 192.168.10.0 maska podsieci: 255.255.255.0 adres WAN (statyczny): 83.16.254.146 Część I - router Zyxell. 1. Wchodzimy do menu VPN i wybieramy zakładkę VPN Rules (IKE): Możemy tutaj stworzyć definicję połączenia obejmującą parametry dla fazy 1 IKE (tzw. Main Mode). W tym celu klikamy ikonę dodawania nowej polityki IKE lub też edytujemy istniejący profil, jak zaznaczono na rysunku powyżej. Wewnątrz profilu IKE: nie zaznaczamy opcji NAT Traversal!!! jako My ZyWall podajemy własny adres WAN routera Zyxell (oficjalny adres końca tunelu) jako Remote Gateway Address podajemy adres WAN routera DrayTek (oficjalny adres końca tunelu) wybieramy metodę uwierzytelniania PresharedKey i wpisujemy przykładowe hasło (zakładamy master753) wskazujemy typ identyfikatora ID jako adres IP i wpisujemy oba identyfikatory (w naszym przypadku są to adresy WAN)
3DES nie używamy opcji Extended Authentication wybieramy parametry negocjacji (proposal) dla pierwszej fazy IKE: tryb główny (Main Mode), algorytmy 3DES i SHA-1 oraz grupę DH1
Uwaga! Algorytmy oraz grupa DH jest przykładowa, istotne jest aby oba routery były w stanie uzgodnić i zaakceptować te same wartości n podstawie naszych ustawień. Co do trybu IKE, w przypadku publicznych adresów statycznych po obu stronach stosujemy tryb Main Mode. Tryb agresywny (Aggressive Mode) ma sens w zasadzie tylko w przypadku, kiedy po jednej lub obu stronach mamy adresy zmienne (np. Neostrada, ISDN). Wybieramy czas trwania klucza (skojarzenia SA) dla fazy 1: 28800 sekund Klikamy Apply (Zastosuj). Uwaga! Ponieważ w przykładzie edytowano istniejący profil, poniżej widać pozycję Associated Network Policies. W przypadku dodawania nowego profilu pojawi się ona dopiero po skonfigurowaniu zasad dla fazy 2 IKE (patrz dalej). Jest to bowiem informacja o profilach połączeń fazy drugiej, odwołujących się do tworzonego profilu fazy pierwszej negocjacje w fazie drugiej są poprzedzone negocjacją w fazie 1 i ustanowieniem IKE S.A., według profilu tej fazy. 2. Następnie przechodzimy do stworzenia profilu dla drugiej fazy IKE: Wewnątrz profilu: Jako nazwę połączenia wpisujemy dowolny tekst w polu Name Wybieramy opcję badania aktywności tunelu i podajemy adres LAN routera DrayTek: 192.168.2.173 Gateway Policy należy wskazać nazwę profilu fazy 1 IKE, z którego ma korzystać połączenie
Dalej wyznaczamy grupy adresów objętych zasadami IPSec: Local Network podajemy zakres lokalnych adresów IP, objętych polityką zabezpieczeń (po wybraniu całej lokalnej podsieci wszystkie jej adresy IP mogą korzystać z tunelu w celu komunikacji z podsiecią zdalną) Remote Network zakres adresów docelowych (należy wybrać całą podsieć LAN routera DrayTek) Poniżej wybieramy parametry zabezpieczeń dla fazy 2 IKE (tzw. proposal): tryb enkapsulacji IPSec: Tunel metoda zabezpieczeń: ESP szyfrowanie AES i uwierzytelnianie SHA-1 czas ważności klucza (SA) dla fazy 2 IKE aby uprościć konfigurację, w przykładzie nie używamy funkcji PFS (Perfect Forward Secrecy) I klikami Apply. Uwaga! Podobnie jak dla fazy 1 IKE, można wybrać inne szyfrowanie, uwierzytelnianie i czas życia SA, jednak istotna jest zgodność po obu stronach (np. 3DES/MD-5/14400 na obu routerach). Na tym etapie podstawowa konfiguracja VPN dobiega końca. W menu głównym VPN po rozwinięciu reguły DrayTek (faza 1 IKE), powinna się pojawić reguła LAN-LAN_DrayTek (faza II IKE) z adresacją zdefiniowaną poprzednio. Obie reguły można edytować klikając odpowiednią ikonę.
Część II - router DrayTek W menu głównym wybieramy pozycję VPN and Remote Access Setup: Następnie przechodzimy do menu LAN-to-LAN Profile Setup. Na liście profili połączeń LAN-LAN wybieramy pierwszy wolny profil (klikając na numer).
Uwaga! W routerze DrayTek cała definicja połączenia LAN-LAN zawiera się w jednym rozbudowanym profilu, podzielonym na sekcje. Profil obejmuje też wszelkie protokoły VPN wspierane przez router (IPSec, L2TP, PPTP), dlatego zawiera wiele parametrów nie wykorzystywanych akurat w IPSec. Dlatego ustawienia na które nie zwracamy uwagi dalej traktujemy jako nieistotne w przykładzie lub nie tyczące IPSec (np. opcje user/password i PAP/CHAP dotyczą tylko PPTP i L2TP). Sekcja Common Settings: włączamy profil i nadajemy mu nazwę (jest to wspólna nazwa dla całego połączenia obu faz IKE, inaczej niż w Zyxel u) określamy, że tunel może być inicjowany w obie strony (Call Direction=Both) Idle Timeout - określamy czas nieaktywności dla rozłączenia tunelu (brak ruchu między sieciami) Nie zaznaczamy Always On ani PING to gdyż wówczas DrayTek narzuci kierunek Dial-Out (tylko Vigor inicjuje) Sekcja Dial-Out Settings ustawienia dla inicjacji tunelu przez router DrayTek do routera Zyxel: Jako protokół VPN wybieramy: IPSec Tunel W polu Server IP wskazujemy adres publiczny WAN odległego routera Zyxel (serwera VPN) Jako metode zabezpieczeń wybieramy opcję ESP i wskazujemy algorytmy dla fazy 2 IKE: AES with Authentication Uwaga! DrayTek w fazie 2 IKE domyślnie zawsze proponuje silniejszą funkcję haszującą (SHA-1), dopiero po jej odrzuceniu przez zdalny gateway zaproponuje MD-5. Dlatego po wybraniu AES with Authentication nastąpią propozycje: AES+SHA-1, a następnie AES+MD-5. W niektórych modelach DrayTek sytuację tą można już zmienić wchodząc w menu Advanced (nie we wszystkich, i zależnie os wersji firmware). Natomiast algorytmy tworzące proposal dla fazy 1 IKE można edytować tylko w menu Advanced (patrz dalej). W menu IKE Pre-Shared Key podajemy klucz IKE identyczny z hasłem wpisanym w Zyxel u: master753 (należy wpisać dwukrotnie i zatwierdzić).
W menu Advanced Settings: wybieramy parametry negocjacji (proposal) dla pierwszej fazy IKE: tryb główny (Main Mode), algorytmy 3DES i SHA-1 oraz grupę DH1 (w DrayTeku oznaczana jako G1) wybieramy IKE key lifetime - czas obowiązywania skojarzeń SA dla obu faz IKE (ustawiamy identycznie jak w Zyxelu) jako lokalny identyfikator podajemy adres WAN routera DrayTek wyłączamy PFS (Disable) zatwierdzamy OK. Sekcja Dial-In Settings - ustawienia dla inicjacji tunelu przez router Zyxel do routera DrayTek: wybieramy IPSec Tunnel jako akceptowalny protokół VPN wskazujemy spod jakiego adresu IP można inicjować tunel (adres publiczny routera ZyWall) w menu IKE Pre-Shared Key podajemy klucz IKE identyczny z hasłem wpisanym w Zyxel u: master753 (należy wpisać dwukrotnie i zatwierdzić) Jako metodę zabezpieczeń wybieramy opcję ESP i wskazujemy algorytm dla fazy 2 IKE: AES Uwaga! DrayTek zaakceptuje obie funkcje laszujące, zarówno SHA-1 jak i MD-5. Wymuszenie konkretnej funkcji zależy od strony inicjującej połączenie (od postaci proposal w fazie 2 IKE.
Sekcja TCP/IP Network Settings - ustawienia dla inicjacji tunelu przez router Zyxel do routera DrayTek: Remote Network IP podsiec LAN routera Zydel Remote Network Mask maska tej podsieci For NAT operation - zaznaczamy Private IP jeżeli poprzez tunel łączymy podsieć pierwszą LAN routera DrayTek i nie chcemy stosować NAT wewnątrz tunelu wyłączamy protokół RIP (Disable) wewnątrz tunelu zatwierdzamy OK. Od tej chwili połączenie powinno funkcjonować poprawnie z inicjacją w obu kierunkach, także automatycznie na żądanie, kiedy router ma do wysłania pakiet do zdalnej podsieci LAN. Można to zweryfikować komendą ping do zdalnej podsieci. DrayTek Polska www.draytek.pl support@draytek.pl