Жауап:
В качестве примера настройки IPSec соединения между двумя устройствами рассмотрим такую схему:
Необходимое требование: в локальных подсетях филиала и головного офиса должна быть разная IP-адресация. Например: в филиале адрес подсети 192.168.0.0, в головном офисе 192.168.3.0
Настройки, используемые в этом примере:
Головной офис:
DFL-100
WAN IP: 192.168.100.201/24
LAN IP: 192.168.3.1/24
ПК, подключенный к DFL-100
IP - адрес: 192.168.3.10/24
Шлюз по умолчанию: 192.168.3.1
Филиал
DI-804HV
WAN IP: 192.168.100.195/24
LAN IP: 192.168.0.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.0.187/24
Шлюз по умолчанию: 192.168.0.1
Версия ПО: для DFL-100 - 2.25, для DI-804HV - 1.34
Шаг 1. Настраиваем параметры IP на DFL-100
При помощи web-интерфейса настраиваем WAN (внешний IP) и LAN (внутренний IP) межсетевого экрана DFL-100.
Внутренний IP-адрес DFL-100 по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется устройство, нужно назначить IP- адрес типа 192.168.0.х
Логин по умолчанию - "admin" , пароль пустой.
Для того чтобы внести изменения в конфигурацию межсетевого экрана, после всех сделанных изменений на соответствующей странице web-интерфейса нужно нажать кнопку Apply. На WAN интерфейсе настраиваем статический IP - адрес, маску подсети, шлюз по умолчанию, DNS.
На LAN интерфейсе настраиваем IP-адрес, соответствующий адресации, принятой в вашей сети.
Проверить настройки можно на вкладке Device Status:
Шаг 2. Настраиваем IPSec на DFL-100.
В первую очередь на вкладке Advanced Settings / VPN Settings /IPSec Status настраиваем статус IPSec. По умолчанию, IPSec включен.
Важно!
Настраиваем параметр Negotiation ID - этот параметр, заданный на DFL-100, служит для организации тоннеля и указывается на удаленном устройстве в привязке к ключу шифрации. Т.к. на DI-804HV ключ шифрации можно привязать только к IP - адресу, то в данной схеме мы должны на DFL-100 указать в поле Negotiation ID IP - адрес wan интерфейса DFL-100. Иначе тоннель с DI-804HV не будет установлен!
Т.о. в данной схеме Negotiation ID = 192.168.100.201
Далее, на вкладке Advanced Settings / VPN Settings / IPSec Tunnel Mode задаем настройки для конкретного тоннеля. За подробностями понимания всех этих настроек можно обратится к документации по IPSec - она широко представлена в Интернет.
Примечание: Здесь выбор настроек определяется пользователем исходя из требований производительности или надежности. Приведенные ниже настройки даны в качестве примера. Вы также можете использовать другие комбинации - необходимое требование при этом одно: настройки должны быть идентичны на обоих устройствах, организующих IPSec тоннель!
В данном случае на этой вкладке, при работе с маршрутизатором DI-804HV, поле Negotiation ID носит информативный характер - можно указать любое значение.
Далее, параметр Remote Gateway IP - это IP-адрес WAN-интерфейса устройства, стоящего на другом конце тоннеля, т.е. IP адрес WAN интерфейса DI-804HV - 192.168.100.190
Параметр Remote IP Network - это внутренняя сеть LAN, подключенная к устройству, стоящему на другом конце тоннеля, в данном случае, это IP адрес подсети LAN на DI-804HV, т.е. 192.168.0.0
Параметр Remote IP Netmask - маска подсети для предыдущего пункта, т.е. 255.255.255.0
Все остальные параметры должны быть одинаковые на обоих устройствах, организующих IPSec соединение:
Шаг 3. Настраиваем параметры IP на DI-804HV
При помощи web-интерфейса настраиваем WAN (внешний IP) и LAN (внутренний IP) межсетевого экрана DI-804HV.
Внутренний IP-адрес DI-804HV по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется устройство, нужно назначить IP- адрес типа 192.168.0.х
Логин по умолчанию - "admin" , пароль пустой.
Для того чтобы внести изменения в конфигурацию DI-804HV, после всех сделанных изменений на соответствующей странице web-интерфейса нужно нажать кнопку Apply. На WAN интерфейсе настраиваем статический IP - адрес, маску подсети, шлюз по умолчанию, DNS.
На LAN интерфейсе настраиваем IP-адрес, соответствующий адресации, принятой в вашей сети.
Проверить настройки можно на вкладке Status / Device Info:
Шаг 4. Настраиваем IPSec на DI-804HV.
Переходим по адресу Home->VPN
Страница VPN Settings
Здесь нужно включить Enable the VPN, затем ввести нужное вам количество тоннелей VPN в поле Max. number of tunnels
В поле Tunnel Name задать имя тоннеля (ID номер 1), в поле Method выбрать IKE, затем нажать кнопку More:
Страница VPN Settings - Tunnel 1
В поле Local Subnet и Local Netmask задать соответствующие параметры для LAN в которой находится DI-804HV
В поле Remote Subnet и Remote Netmask задать соответствующие параметры для удаленной подсети, находящейся за межсетевым экраном DFL-100.
В поле Remote Gateway ввести IP-адрес внешнего интерфейса межсетевого экрана DFL-100, и в поле Preshared Key ввести ключ
Нажать на кнопку Apply:
Нажать на кнопку Select IKE Proposal
Страница VPN Settings - Tunnel 1 - Set IKE Proposal
Ввести имя для ID номер 1 и выбрать Group 1 из выпадающего меню DH Group.
Выбрать алгоритм шифрации DES в поле Encryption Algorithm и алгоритм аутентификации MD5 в поле Authentication Algorithm
Ввести значение Lifetime равным, например, 86400 и выбрать Sec
Выбрать 1 из выпадающего меню Proposal ID и нажать Add To - это добавит то что мы сконфигурировали к IKE Proposal Index. Нажать Apply а затем Back. Нажать Select IPSec Proposal:
Страница VPN Settings - Tunnel 1 - Set IPSEC Proposal
Ввести имя для предложенного ID номер 1 и выбрать None из выпадающего меню DH Group
Выбрать ESP в Encapsulation Protocol
Выбрать DES в Encryption Algorithm и MD5 в Authentication Algorithm
Ввести значение Lifetime равным 28800 и выбрать Sec.
Выбрать 1 из выпадающего меню Proposal ID и нажать Add To, это добавит то, что мы сконфигурировали к IPSec Proposal Index.
Нажать Apply:
Все, на этом конфигурирование устройств закончено
Теперь для поднятия тоннеля между устройствами посылаем icmp-запрос из одной подсети в другую:
Тоннель устанавливается за несколько секунд и после этого пакеты icmp, как и весь остальной трафик между сетями, направляются именно по тоннелю IPSec.
Отследить установку тоннеля IPSec на DFL-100, а также в случае необходимости терминировать тоннель можно на вкладке Device Status / VPN Statistics
Состояние параметра Status "Phase 2 Est" показывает, что тоннель поднялся. Для того, чтобы его терминировать, нужно нажать на кнопку Disconnect:
На маршрутизаторе DI-804HV в логе появляются подобные записи: