Vigor 2900 Vigor 3300 konfiguracja połączenia LAN-LAN (IPSec)



Podobne dokumenty
Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Połączenie VPN LAN-LAN PPTP

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Vigor 2900 Asmax BR-408V II - przykład VPN (tunel IPSec) I. WPROWADZENIE

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Vigor 2900 Nortel VPN router (tunel IPSec) I. WPROWADZENIE

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

VPN IPSec LAN-LAN pomiędzy routerami serii: Vigor 2700 oraz Vigor 2910

Konfiguracja aplikacji ZyXEL Remote Security Client:

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Połączenie LAN-LAN ISDN

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

VPN TRUNK Backup. Procedura konfiguracji została oparta na poniższym przykładzie.

Połączenie VPN Host-LAN PPTP z przypisaniem IP. 1. Konfiguracja serwera VPN 1.1. Metoda 1 (nowsze urządzenia) 1.2. Metoda 2 (starsze urządzenia)

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

BRINET Sp. z o. o.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Router Vigor jako serwer/gateway VPN

BRINET Sp. z o. o.

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Telefon AT 530 szybki start.

4. Podstawowa konfiguracja

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Vigor Cisco ISDN PPP (CHAP)

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

Telefon IP 620 szybki start.

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows Vista/7. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Konfiguracja własnego routera LAN/WLAN

Połączenie VPN Host-LAN SSL z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2.

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

TP-LINK 8960 Quick Install

Rozwiązywanie problemów z DNS i siecią bezprzewodową AR1004g v2

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Przygotowanie urządzenia:

Instrukcja instalacji routera Vigor 2900/2900i/2900G/2900Gi

Instrukcja konfiguracji urządzenia TL-WA830RE v.1

Bramka IP 2R+L szybki start.

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Backup łącza WAN- ISDN jako łącze zapasowe WAN1

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Punkt dostępowy z Routerem Wireless-G

Backup łącza WAN WAN2 jako łącze zapasowe WAN1

ZyWALL 2 Plus Skrócona instrukcja obsługi

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

L2TP over IPSec Application

Połączenie Host-LAN ISDN

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Black Box. Gateway. Bridge. Wireless ISP. Tryb Gateway.

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

bintec VPN5 i bintec X2301

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

W menu PPP zmieniamy globalne, domyślne parametry dla połączeń według rysunku i zatwierdzamy SAVE.

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Podstawowa konfiguracja routera TP-Link WR740N

FAQ: /PL Data: 19/11/2007 Programowanie przez Internet: Przekierowanie portu na SCALANCE S 612 w celu umo

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

PODŁĄCZENIE I KONFIGURACJA BRAMKI VoIP LINKSYS PAP2T

Instalacja i uruchomienie usługi telefonii internetowej HaloNet dla FRITZ!Box Fon WLAN 7170

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Tunel IPSec VPN. 1. Wstęp. 2. Objaśnienie połączeń VPN

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Skrócona instrukcja konfiguracji połączeń sieciowych

Połączenie VPN Host-LAN PPTP z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

BEZPRZEWODOWY ROUTER SZEROKOPASMOWY 11N 300MBPS

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Instalacja. Podłączenie urządzenia. Wyłącz wszystkie urządzenia sieciowe (komputer, modem i router).

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Instrukcja instalacji Encore ADSL 2 + WIG

Tworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew.

Instalacja routera WAN/Ethetnet na przykładzie Vigora serii 2910

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Artykuł sponsorowany przez

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Instrukcja konfiguracji rejestratorów BCS. do pracy w sieci oraz programu PSS v.4.05

Transkrypt:

Uwaga! Przykład zakłada, że na obu routerach funkcjonuje już dostęp do Internetu, oraz że wszystkie funkcje sieciowe niezbędne do komunikacji sieci LAN z Internetem zostały prawidłowo ustawione (adresy na komputerach, maski, bramy, DNS itd). Zajmujemy się wyłącznie komunikacją VPN. Przykład posługuje się modelem Vigor 2900 pracującym w oddziale firmy, jednak należy zaznaczyć, że konfiguracja ma zastosowanie do wszystkich modeli DrayTek. Mogą wystąpić najwyżej drobne różnice w wyglądzie zrzutów ekranu (kolorystyka i układ menu), natomiast sam wygląd i zbiór parametrów wewnątrz ustawień VPN powinny być podobne lub identyczne niezależnie czy mamy do czynienia z routerem ADSL czy WAN Ethernet. Uwaga! Przykład zakłada, że routery posiadają wersje oprogramowania nie starsze niż pokazane na rysunku. Przed przystąpieniem do konfiguracji należy sprawdzić wersję firmware i dokonać aktualizacji do wersji najnowszej dostępnej na serwerze ftp://ftp.draytek.pl. Wstęp - założenia DrayTek Vigor 2900 oddział firmy: ---------------------------------------------------- adres podsieci LAN/maska: 192.168.2.0/255.255.255.0 adres własny interfejsu LAN (1 st LAN IP): 192.168.2.173 adres interfejsu WAN (statyczny): 213.76.132.41 DrayTek Vigor 3300 centrala firmy: ---------------------------------------------------- adres podsieci LAN/maska: 192.168.20.0/255.255.255.0 adres własny interfejsu LAN: 192.168.20.7 adres WAN (statyczny): 83.16.254.146 Parametry IPSec: ---------------------------------------------------- zakładamy stałe adresy IP po obu stronach stosujemy tryb główny IKE (Vigor 3300 nie obsługuje obecnie trybu agresywnego) stosujemy uwierzytelnianie metodą PresharedKey (master123) stosujemy identyfikatory IKE w postaci publicznych adresów IP obu routerów zakładamy wymaganie ciągłej dostępności tunelu oraz automatyczną renegocjację w momencie awarii łącza przyjmujemy protokół ESP, algorytmy 3DES+MD-5 i grupa DH-2 dla 1 fazy IKE, oraz AES+SHA-1 dla 2 fazy IKE zakładamy domyślne czasy dla skojarzeń SA w obu fazach IKE

Część I - router Vigor 3300. 1. Wchodzimy do menu VPN->IPSec->Policy Table: i wybieramy pierwszy dostępny profil połączenia (klikając na numer, następnie Edit): Wewnątrz profilu mamy dostęp do części grupującej parametry ogólne (Default) oraz zaawansowane (Advamced). 2. W parametrach ogólnych wybieramy ustawienia zgodne z następnym rysunkiem: Name:dowolna nazwa opisująca połączenie Authentication: PresharedKey PresharedKey: wpisujemy master123 (docelowo klucz wstępny powinien zawierać przynajmniej kilkanaście przypadkowych znaków) Security Protocol: wybieramy ESP (tryb AH nie realizuje szyfrowania) Admin Status: wybieramy Enable Uwaga! Dzięki ustawienu Enable Vigor 3300 będzie gotów zarówno na odbiór wywołania jak i inicjację tunelu na żądanie. Opcja Always On spowoduje, że router będzie stale ponawiał inicjację, co może zakłócić proces obsługi inicjacji realizowanej przez Vigor 2900. Ponieważ zakładamy utrzymanie stałej łączności w tunelu, najlepiej będzie pozostawić inicjatywę routerowi w oddziale zarówno w kwestii stałego utrzymywania jak i wykrywania awarii w łączności i automatycznej odbudowy tunelu. Praktyka dowodzi, że w przypadku sprzętu DrayTek taka konfiguracja gwarantuje wysoką,, nieprzerwaną dostępność tunelu IPSec i jego samonaprawę.

Dalej - w sekcji Local Gateway mamy: WAN Interface router posiada aż 4 interfejsy WAN, dlatego dla usług takich jak VoIP czy VPN wybieramy konkretny interfejs, przez który router obsłuży daną komunikację. Można dzięki temu rozłożyć VoIP i VPN na osobne linie dostępowe, czy też rozłożyć wiele tuneli na osobne linie WAN dla zaoferowania większego pasma VPN oddalonym oddziałom i klientom VPN. Dzieje się to niezależnie od ustawionej polityki Load Balancing pracującej dynamicznie i rozkładającej sesje NAT na rożne linie dostępowe/trasy domyślne. Local Certificate: w naszym przykładzie pozostawiamy puste (pole wyboru certyfikatu jest nieaktywne, ponieważ wybraliśmy uwierzytelnianie metodą PresharedKey a nie podpisem cyfrowym). Security Gateway: dotyczy wewnętrznej adresacji WAN dla tunelu IPSec (wskazuje i ustanawia w tablicy routingu formalną bramę do zdalnej podsieci LAN). W przypadku dwóch routerów DrayTek pozostawiamy slowo default Vigor wykorzysta adres publiczny (powieli go) w celu dokonania tego formalnego zabiegu. Network IP/Subnet Mask: wpisujemy lokalną podsieć do której prowadzi tunel i jej maskę (formalnie wpis służy wskazaniu zakresu adresów lokalnych podlegających ochronie w ramach tworzonego skojarzenia SA, i stanowi wpis w bazie SPD protokołu IPSec). Uwaga! Jeżeli za routerem znajduje się więcej podsieci IP i mają one ciągłą adresację (np. 172.16.1.0/24, 172.16.2.0/24 ) można zestawić jeden tunel IPSec obejmujący ruch do wszystkich podsieci stosując w tym polu wpis: 172.16.0.0/16 (obejmuje pakiety adresowane na hosty 172.16.x.x znajdujące się lokalnie za routerem 3300). Oczywiście Vigor 3300 musi posiadać routing do tych lokalnych podsieci, ponieważ sam obsługuje tylko 2 bezpośrednio podłączone podsieci LAN. Next hop: tutaj można wpisać dodatkową bramę alternatywną leżącą w podsieci WAN, aby tunel był kierowany przez tę bramę zamiast przez bramę domyślną ustawioną dla danego WAN. Stosując słowo default w naszym przypadku, ruch IPSec do adresu

docelowego 213.76.132.41 (router V2900) będzie kierowany przez bramę 83..16.254.141 ustawioną dla interfejsu WAN1. Jednak posiadając odrebną bramę np. 83..16.254.142, moglibyśmy skierować tunel przez osobne łącze WAN na zasadzie trasy statycznej dla tego tunelu IPSec. Dalej - w sekcji Remote Gateway mamy: Remote ID: identyfikator strony zdalnej wykorzystywany przez mechanizmy protokołu IKE. Jawny identyfikator wpisujemy tylko wtedy, gdy stosujemy certyfikat jako metodę uwierzytelniania, w naszym przykładzie stosujemy PresharedKey w trybie głównym IKE oraz mamy stałe adresy IP, zatem router zdalny V2900 wykorzysta swój adres WAN IP jako identyfikator i nic nie trzeba wpisywać. Adres ten podajemy routerowi 3300 poniżej w polu Security Gateway, i router na jego podstawie identyfikuje zdalny gateway IPsec. DHCP-over-IPSec: jest to stosunkowo nowa opcja realizacji przydziału adresów IP dla komunikacji wewnątrz tunelu przez protokół DHCP. Jest ona właściwa tylko dla trybu dostępu Host-to-LAN (zdalny klient) a nie dla trybu LAN-to-LAN (dwa routery) i wymaga specjalnej implementacji protokołu IKE. Security Gateway: adres publiczny dalnego partnera (gateway VPN). Wpisujemy adres WAN routera Vigor 2900 pracującego w oddziale firmy. Uwaga! Jeżeli mamy do czynienia z adresem zmiennym po drugiej stronie, wpisujemy tutaj 0.0.0.0. Inicjacja jest wówczas możliwa tylko przez router zdalny do routera 3300, nie w drugą stronę. Jest to opcja konieczna dla klientów IPSec zmieniających lokalizację. Zaleca się wówczas stosowanie uwierzytelniania klienta certyfikatem (podpis cyfrowy RSA) i stosowanie jawnego identyfikatora ID w postaci tekstu zamiast adresu IP strony zdalnej. Network IP/Subnet Mask: wpisujemy zdalną podsieć IP, do której prowadzi tunel i jej maskę (formalnie wpis służy wskazaniu zakresu adresów IP podlegających ochronie w ramach tworzonego skojarzenia SA, i stanowi wpis w bazie SPD protokołu IPSec oraz tworzy trasę do odległej podsieci w tablicy routingu routera 3300 przez interfejs IPSec). 3. Przechodzimy teraz do obszaru ustawień zaawansowanych (Advamced), klikając zakładkę u góry. Wewnątrz tego obszaru wybieramy parametry zabezpieczeń: IKE Phase 1 (main mode): dla fazy 1 IKE musimy tak skonstruować pole Proposal, aby na pierwszej pozycji uzyskać opcję: 3DES-dm5-modp1024 (wartość 1024 bitów wykładnika oznacza drugą grupę DH) KeyLiftime: pozostawiamy domyślną wartość czasu życia SA w 1 fazie IKE IKE Phase 2 (quick mode): proposal dla fazy 2 IKE obejmuje negocjację parametrów służących właściwej ochronie danych w tunelu, ustawiamy szyfrowanie AES i uwierzytelnianie SHA-1

KeyLiftime: pozostawiamy domyślną wartość czasu życia SA w 2 fazie IKE PFS: chociaż funkcja Perfect Forward Secrecy jest obsługiwana przez wszystkie modele DrayTek, nie używamy jej w przykładzie dla uproszczenia konfiguracji po obu stronach. Funkcja ta koordynuje operacje zachodzące w obu fazach IKE dla dodatkowego zwiększenia poziomu bezpieczeństwa kluczy szyfrujących. Dead Peer Detection: jest to mechanizm pozwalający na wykrycie niedostępności skojarzeń SA po drugiej stronie tunelu (bądź niedostępności samej łączności sieciowej) co umożliwia automatyczne porzucenie i renegocjację lokalnych skojarzeń SA i uniknięcie stanu zawieszenia. W naszym przykładzie tę inicjatywę przekazujemy routerowi Vigor 2900. Na koniec zatwierdzamy konfigurację całego profilu połączenia klikając Apply (Zastosuj) na dole strony. I na liście połączeń widzimy naszą definicję tunelu z adresacją prywatną i publiczną oraz statusem: Część II - router Vigor 2900 W menu głównym wybieramy pozycję VPN and Remote Access Setup:

Następnie przechodzimy do menu LAN-to-LAN Profile Setup. Na liście profili połączeń LAN-LAN wybieramy pierwszy wolny profil (klikając na numer). Uwaga! W routerze Vigor 2900 cała definicja połączenia LAN-LAN zawiera się w jednym rozbudowanym profilu, podzielonym na sekcje. Profil obejmuje też wszelkie protokoły VPN wspierane przez router (IPSec, L2TP, PPTP), dlatego zawiera wiele parametrów nie wykorzystywanych akurat w IPSec. Dlatego ustawienia na które nie zwracamy uwagi dalej traktujemy jako nieistotne w przykładzie lub nie tyczące IPSec (np. opcje user/password i PAP/CHAP dotyczą tylko PPTP i L2TP). 1. Sekcja Common Settings: włączamy profil i nadajemy mu nazwę (jest to dowolna nazwa połączenia) określamy, że tunel będzie inicjowany zawsze przez router V2900 i zaznaczamy Always On (przy opcji Always On router przejmuje inicjatywę i obowiązek utrzymywania tunelu stale aktywnego, jednocześnie narzucając kierunek Dial-Out zdalny router nie zainicjuje połączenia dla zachowania jednoznaczności mechanizmu badania łącza) Idle Timeout - określamy czas nieaktywności dla rozłączenia tunelu (brak ruchu między sieciami) jednak po wybraniu Always On pozycja zostaje zmieniona na wartość -1 (nieskończoność) PING to keep alive - włączamy i podajemy adres IP leżący w sieci LAN po drugiej stronie tunelu. Adres ten powinien być zawsze osiągalny i odpowiadać na żądanie echa icmp (ping), a więc wybieramy hosta typu serwer, inny router itp. Można też podać adres własny LAN routera Vigor 3300 po upewnieniu się, że odpowiada na ping poprzez tunel. Jest to skuteczny mechanizm stwierdzenia nieosiągalności tunelu po awarii łącza, co pozwala natychmiast porzucić lokalne parametry SA i rozpocząć negocjacje tunelu od nowa. Inaczej blokada przedawnionych SA może uniemożliwić regenerację tunelu po awarii do czasu wygaśnięcia S.A. w obu fazach IKE lub ręcznego restartu tunelu przez administratora. Uwaga! Aby router 3300 odpowiadał na ping poprzez tunel VPN należy włączyć opcję odpowiadana na ping od strony interfejsu LAN, ale także WAN (menu Access Control).

2. Sekcja Dial-Out Settings ustawienia dla inicjacji tunelu przez router Vigor 2900 do routera Vigor 3300: Jako protokół VPN wybieramy: IPSec Tunnel W polu Server IP wskazujemy adres publiczny WAN odległego routera 3300 Jako metodę zabezpieczeń wybieramy opcję ESP i wskazujemy algorytmy dla fazy 2 IKE: AES with Authentication Uwaga! Vigor w fazie 2 IKE domyślnie zawsze proponuje silniejszą funkcję haszującą (SHA-1), dopiero po jej odrzuceniu przez zdalny gateway zaproponuje MD-5. Dlatego po wybraniu AES with Authentication nastąpią propozycje: AES+SHA-1, a następnie AES+MD-5. W niektórych modelach DrayTek sytuację tą można już zmienić wchodząc w menu Advanced (nie we wszystkich, i zależnie od wersji firmware patrz dalej). Natomiast algorytmy tworzące proposal dla fazy 1 IKE można jawnie edytować tylko w menu Advanced (również patrz dalej). W menu IKE Pre-Shared Key podajemy klucz IKE identyczny z hasłem wpisanym w Zyxel u: master123 (należy wpisać dwukrotnie i zatwierdzić). Klikami menu Advanced i wypełniamy zgodnie z rysunkiem poniżej: wybieramy parametry negocjacji (proposal) dla pierwszej fazy IKE: tryb główny (Main Mode), algorytmy 3DES i MD-5 oraz grupę DH2 (w Vigor 2900 oznaczana jako G2) w zależności od modelu routera Vigor i wersji firmware możemy jawnie wybrać postać proposal dla drugiej fazy IKE: algorytmy AES i SHA-1 (o ile pole IKE phase 2 proposal jest obecne patrz poprzednia uwaga)

pozostawiamy domyślną wartość IKE key lifetime - czas obowiązywania skojarzeń SA dla obu faz IKE nie wypełniamy jawnie pola Local ID - jako lokalny identyfikator router użyje swojego adresu WAN IP wyłączamy PFS (Disable) patrz wcześniej komentarz do konfiguracji Vigor 3300 zatwierdzamy OK. 3. Sekcja Dial-In Settings - ustawienia dotyczą sytuacji obsługi wywołania inicjowanego przez router zdalny. W przykładzie stroną inicjującą jest zawsze router Vigor 2900 (dla jednoznacznej i sprawnej regeneracji tunelu), a więc nie sekcja ta nie musi i nie będzie konfigurowana. Dla informacji (gdyby router 2900 miał odbierać połączenie jako serwer VPN): wybieramy IPSec Tunnel jako akceptowalny protokół VPN wskazujemy spod jakiego adresu IP można inicjować tunel (adres publiczny routera ZyWall) w menu IKE Pre-Shared Key podajemy klucz IKE identyczny z hasłem wpisanym w Zyxel u: master753 (należy wpisać dwukrotnie i zatwierdzić) Jako metodę zabezpieczeń wybieramy opcję ESP i wskazujemy algorytm dla fazy 2 IKE: AES Uwaga! DrayTek zaakceptuje obie funkcje laszujące, zarówno SHA-1 jak i MD-5. Wymuszenie konkretnej funkcji zależy od strony inicjującej połączenie (od postaci proposal w fazie 2 IKE. 4. Sekcja TCP/IP Network Settings - ustawienia związane z adresacją IP dla tunelu IPSec pomiędzy routerami: Remote Network IP podsieć LAN zdalnego routera Vigor 3300 (podsieć docelowa w sensie routingu) Remote Network Mask maska podsieci zdalnej For NAT operation - zaznaczamy Private IP jeżeli poprzez tunel łączymy podsieć pierwszą LAN routera Vigor 2900 i nie chcemy stosować translacji NAT wewnątrz tunelu. W wypadku łączenia drugiej podsieci lokalnej wybieramy Public IP. wyłączamy protokół RIP (Disable) wewnątrz tunelu Zatwierdzamy całość konfiguracji kliknięciem OK.

W przedstawionej konfiguracji połączenie powinno funkcjonować poprawnie i podlegać stałej odbudowie na wypadek awarii łącza. W sytuacji stabilnych łączy do Internetu w obu lokalizacjach przerwa w komunikacji praktycznie nie powinna występować. W wypadku awarii i przywrócenia komunikacji sieciowej, średni czas odbudowy tunelu nie powinien przekraczać kilku-kilkunastu sekund. DrayTek Polska www.draytek.pl support@draytek.pl Piotr Ponitka Inżynier systemów sieciowych BRINET Sp. z o. o. p.ponitka@brinet.pl p.ponitka@draytek.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres