Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia: Vigor1: publiczny, stały adres IP: 81.15.19.90, podsieć lokalna: 192.168.4.0/24 Vigor2: publiczny, stały adres IP: 212.77.134.11, podsieć lokalna: 192.168.5.0/24 Vigor 1 Vigor 2 IP: 83.15.19.90 Internet IP: 212.77.134.11 192.168.4.1 192.168.5.1 192.168.4.10 192.168.5.10 1. W obu routerach należy prawidłowo skonfigurować dostęp do Internetu poprzez port WAN. Jeżeli posiadamy stały adres IP oraz używamy urządzenia dostępowego (modemu/routera) pracującego jako domyślna brama do Internetu, routery Vigor konfigurujemy następująco: Internet Access Setup Static or Dynamic IP Vigor1 (zakładamy maskę podsieci 255.255.255.252, typową dla usługi Internet DSL): 81.15.19.89 jest adresem modemu/routera który jest bramą domyślną dla routera Vigor (w usłudze Internet DSL będzie to modem ADSL z interfejsem Ethernet). Router Vgor konfigurujemy tak samo, używając właściwych adresów IP i maski podsieci (rysunek zostanie pominięty). 1
2. Konfigurujemy interfejs LAN routera dla obsługi podsieci prywatnej: LAN TCP/IP and DHCP Setup Vigor 1 (jako adres własny routera wybieramy np. adres 192.168.4.1): W przykładzie włączono również serwer DHCP z początkowym adresem 192.168.4.10 i pulą obejmującą 50 kolejnych adresów. Podano też adresy publicznych serwerów DNS. Vigor 2 analogicznie, z uwzględnieniem przyjętych adresów IP: Tutaj dla odmiany wyłączono serwer DHCP. Jeżeli w sieci nie ma innego serwera, parametry IP w komputerach należy skonfigurować ręcznie. Należy pamiętać o wpisaniu adresów serwerów DNS w każdej maszynie. 3. W obu routerach zaznaczamy IPSec jako akceptowany przez router protokół VPN: VPN and Remote Access Setup Remote Access Control Setup 2
4. W obu routerach określamy adres IP, jaki może zostać przydzielony stronie zdalnej dla potrzeb routingu wewnątrz tunelu VPN. Adres musi być wybrany z lokalnej podsieci i nie powinien się pokrywać z pulą DHCP ani być już używanym przez inne urządzenie. VPN and Remote Access Setup PPP General Setup Vigor 1: Vigor 2: 3
5. W obu routerach konfigurujemy parametry połączenia IPSec. Wpisujemy klucz wykorzystywany przez protokół IKE w procesie wstępnej autentykacji stron, oraz określamy akceptowalną przez router metodę zabezpieczania komunikacji: VPN and Remote Access Setup VPN IKE/IPSec Setup Klucz IKE w sekcji Dial-In (kolor czerwony) musi być identyczny z kluczem w sekcji Dial- Out (kolor zielony) w routerze odległym. Oba klucze należy wpisać dwukrotnie i zatwierdzić OK. Można użyć dowolnej kombinacji znaków. Klucze dla obu kierunków mogą też być identyczne, co nie jest zalecane na stałe, ale może się przydać podczas diagnozowania problemów z połączeniem. Jako metodę zabezpieczenia w przykładzie wybrano protokół ESP i algorytm szyfrowania DES. Protokół AH nie zapewnia szyfrowania, a tylko samą autoryzację pakietów. Natomiast ESP wprowadza szyfrowanie oraz autoryzację, dlatego w przypadku takiego wyboru zaznaczanie dodatkowo AH nie jest zalecane. Dodatkowy poziom autoryzacji powoduje niepotrzebny spadek wydajności przetwarzania. Identyczne ustawienia należy wykonać w drugim routerze. 4
6. Ostatnim krokiem jest skonfigurowanie profilu połączenia, obejmującego podstawowe zagadnienia związane z inicjacją i obsługą tunelu VPN. VPN and Remote Access Setup LAN to LAN Dialer Profile Setup Wybieramy dowolny nieużywany profil klikając na odpowiedni indeks. Vigor 1 konfiguracja profilu: Profil Name dowolna nazwa dla profilu Enable włączenie profilu (inaczej połączenie nie będzie możliwe) Call Direction: Both tunel może być inicjowany i odbierany przez Vigor1 Dial-Out tylko inicjowanie do Vigor 2 (Vigor 1 nie odbierze wywołania od Vigor 2) Dial-In odwrotnie (tylko odbiór), brak podniesienia tunelu przez Vigor 1 na żądanie Uwaga: dotyczy to procesu inicjowania tunelu jeżeli nie jest o aktywny. W aktywnym tunelu istnieje pełna komunikacja w obu kierunkach (dotyczy również inicjowania sesji TCP pomiędzy podsieciami) Always on tunel stale aktywny Idle Timeout tunnel rozłączany po podanym czasie nieaktywności i automatycznie inicjowany na żadanie komputerów Server IP publiczny adres IP interfejsu WAN odległego routera (Vigor 2). Można tutaj użyć nazwy DNS skojarzonej z adresem IP, o ile router będzie potrafił ją prawidłowo rozwiązać. Przydaje się to kiedy adres zdalny się zmienia (np. Neostrada + DynDNS). Type of server protokół VPN jaki zostanie użyty przez Vigor 1 podczas inicjowania tunelu 5
Enable CLID Authentication zanaczenie tego pola ogranicza możliwość nawiązania połączenia wyłącznie spod podanego adresu IP (jako adresu źródłowego hosta inicjującego). Gdyby zdalny router (Vigor 2) używał zmiennego adresu, nie należy zaznaczać tego pola. Allowed Dial-In Type protokół VPN jaki zostanie zaakceptowany przez router Vigor 1 w przypadku inicjacji połączenia przez inny router (Vigor 2) TCP/IP Network Settings informacja o odległej podsieci (za routerem Vigor 2): Remote Gateway brama domyślna w zdalnej podsieci (można podać adres routera Vigor 2) Remote Network/Network Mask parametry zdalnej podsieci More jeżeli inne zdalne podsieci również mają być osiągane przez ten tunel VPN, można tutaj dopisać ich identyfikatory IP. Po prawidłowym wpisaniu powyższych parametrów router posiada statyczną trasę do odległej podsieci, prowadzącą przez wirtualny interfejs oznaczający ten konkretny tunel VPN. RIP normalnie użycie routingu dynamicznego wewnątrz tunelu nie jest konieczne (opcja Disabled powoduje że unika się okresowego przesyłania zbędnych broadcastów UDP przez tunel). W uzasadnionych przypadkach można dla wybranego lub obu kierunków włączyć obsługę RIPv1 lub RIPv2. For NAT operation sposób traktowania sieci zdalnej podczas negocjowania adresów IP w kontekście rodzaju stosowanej adresacji (prywatne lub publiczne adresy IP, ewentualna konieczność zastosowania NAT): Private IP informuje Vigor 1 że zdalna podsieć stosuje adresy prywatne Public IP analogicznie Vigor 1 zakłada że po drugiej stronie tunelu ma do czynienia z adresami publicznymi w ramach LAN. Opcja Public IP może być użyteczna w celu połączenia VPN pomiędzy podsiecią prywatną a Intranetem stosującym adresy publiczne, lub pomiędzy dwoma takimi Intranetami. Normalnie jednak zawsze pozostawia się ustawieni domyślne (Private IP). 6
Change default route to this tunnel po zaznaczeniu, lokalne komputery będą zmuszone korzystać z Internetu poprzez ten tunel i bramę domyślną w podsieci zdalnej. Normalnie zatem należy pozostawić układ domyślny (pole nie zaznaczone). Vigor 2 konfiguracja profilu jest analogiczna, przy uwzględnieniu stosownych adresów IP: Uzupełnienie: pole Scheduler sluży do planowania profilu czasowego dla aktywności połączenia. Podaje się tutaj numery reguł czasowych, zdefiniowanych w menu Call Schedule Setup. Dzięki temu można w bardziej zaawansowany sposób zaplanować o jakiej porze dnia i 7
w jaki dni tygodnia połączenie VPN będzie dostępne. Opcję Enable Ping... można wykorzystać do informowania odległego routera o stanie lokalnego połączenia z Internetem, wysyłając regularne komunikaty ICMP na adres w zdalnej sieci. Podtrzymuje się w ten sposób połączenie VPN, natomiast jeżeli router generujący ping przestaje nadawać z powodu kłopotów z dostępem do Internetu, router odbierający może zamknąć tunel i oczekiwać na nowe wywołanie po ustąpieniu kłopotów. Wszelkie opcje nie opisane w niniejszym opracowaniu odnoszą się do połączeń VPN wykorzystujących mechanizmy protokołu PPP (a więc L2TP, PPTP, L2TP/IPSec). Zaprezentowany przykład pokazuje czysty tunel IPSec, gdzie opcje te nie są stosowane (np. PPP user/password, protokół PAP/CHAP, Call Back itp.). 8