Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

В качестве исходных данных для построения возьмём следующие данные:
1. «Центральный офис» оборудован файрволом DFL (в примере DFL‐860E, прошивка 2.40.01.08).
Параметры сети:
— Локальная сеть 192.168.9.0/24, шлюз по умолчанию в сети 192.168.9.1
— IP‐адрес выданный провайдером на WAN‐порт: 192.168.98.3
2. «Филиал» оборудован маршрутизатором DSR (в примере DSR‐500, прошивка 1.06.43WW):
Параметры сети:
— Локальная сеть 192.168.15.0/24, шлюз по умолчанию в сети 192.168.15.1
— IP‐адрес выданный провайдером на WAN‐порт: 192.168.98.2
3. Настраиваться будет туннель стандарта IPSec.
Основные параметры туннеля:
— Режим передачи\инкапсуляции данных: туннельный
— Режим шифрования данных в обоих стадиях IPSec: AES‐128
— Режим аутентификации в обоих стадиях IPSec: SHA1
— Использование ключей DH: используем 5 группу на обеих стадиях.
— Метод аутентификации – по ключу. Ключ в примере будет использоваться
«qwerty123».
— Время жизни первой стадии IPSec: 28800 сек.
— Время жизни второй стадии IPSec: 3600 сек.
Настройка туннеля со стороны DFL.
1. Создаём объект ключа аутентификации в разделе «Objects=> Authentication Objects»:
Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec
2. Создаём объект, описывающий методы аутентификации для первой стадии IPSec в разделе «Objects=>VPN Objects=>IKE Algorithms»:
Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec
3. Создаём объект, описывающий методы аутентификации для второй стадии IPSec в разделе «Objects=>VPN Objects=>IPsec Algorithms»:
Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec
4. Создаём объекты, ip-адресов и сетей, а так же адрес удалённого шлюза (в нашем случае это будет192.168.98.2). Для удобства последующего администрирования создаём сначала отдельный каталог для этих объектов, а уже в нём будет созданы все объекты. Всё эти каталоги и объекты создаются в разделе «Objects=> Address Book»
Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec
Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec
Объект «lan_net» создавать нет необходимости, т.к. он уже создан для Lan интерфейса. Если пробрасываться в IPSec туннель будет не вся сеть, а только часть, то создаём тут же ещё 1 объект, который будет описывать локальный сегмент.

5. Создаём интерфейс IPSec в разделе «Interfaces=>IPsec».

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

Заполняем на первой закладке «General» поля ранее созданными объектами. Теоретически часть данных можно было вписать в поля руками, не создавая объектов. В основном это касается адресов. Однако, если Вам придётся что-то менять, Вам придётся менять данные в ручную везде. В случае использования объектов, Вы можете просто поменять необходимые значения в объектах.

В закладе «Authentication» выбираем метод аутентификации по ключу и в выпадающем списке выбираем ранее созданный объект.

В закладке IKE Setting выбираем режим работы DH group 5 для IKE, разрешаем использование PFS и так же выбираем DH group 5. Разрешаем использование «Dead Peer Detection» (обнаружение зависших туннелей).

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

Остальные параметры оставляем по умолчанию.

6. Т.к. по умолчанию DFL блокирует всё, что не разрешено — создаём правила, которые разрешат трафик между сегментами.

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

Обращаем Ваше внимание, что правила должны быть расположены в правильном порядке с Вашими правилами.

Настройка туннеля со стороны DSR.

1. Настройка IPSec в маршрутизаторах серии DSR расположена в разделе «Setup», в подразделе «VPN Settings=>IPsec=>IPsec Policies»

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

Добавляем новую политику IPSec:

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

2. В открывшемся окне в разделе General:

Поле «Policy Name» — заполняем имя, которое нам будет удобнов. В примере: «TEST_IPSec»

Поля «IKE Version» — в нашем случае используется IPv4, соответственный параметр должен быть выбран. Так же для связи с DFL должен быть выбран «IKEv1».

Поле «IPsec Mode» — выбираем режим «Tunnel Mode»

Поле «Select Local Gateway» — выбираем интерфейс, который будет исходящий для нашего соединения. Если Вы используете WAN1, то должен быть выбран «Dedicated WAN».

Поле «Remote Endpoint» — указываете удалённый шлюз. В данном случае это будет адрес DFL:192.168.98.3

Поле «Protocol» — выбираем ESP (шифрование данных)

В полях «Local Start IP Address» и «Local Subnet Mask» — заполняем локальные данные для этой точки. В нашем случае это 192.168.15.0 и 255.255.255.0 соответственно.

В полях «Remote Start IP Address» и «Remote Subnet Mask» — заполняем данные для удалённой сети. В нашем случае это 192.168.9.0 и 255.255.255.0 соответственно.

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

3. Раздел «Phase1(IKE SA Parameters)».

Поле «Exchange Mode» — выбираете тип «Main».

Поле «Direction / Type» — выбираете «Both».

Поле «Nat Traversal» — устанавливаем  «On», если Ваш маршрутизатор DSR находится за NAT, иначе устанавливаем «Off».

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

    Поле «Encryption Algorithm» — алгоритм шифрования в первой стадии IPSec. В нашем примере – AES-128.

Поле «Authentication Algorithm» — алгоритм аутентификации. Выбираем – «SHA-1».

Поле «Authentication Method» — устанавливаем в «Pre-shared key» и заполняем поле «Pre-shared key» значением из нашего примера «qwerty123».

Поле «Diffie-Hellman (DH) Group» — в соответствии с нашим примером выбираем «Group 5».

Поле «SA-Lifetime (sec)» — устанавливаем значение время жизни первой стадии – 28800 сек.

Поле «Enable Dead Peer Detection» — устанавливаем «птичку», т.е. разрешаем использование.

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

4.  Раздел «Phase2-(Auto Policy Parameters)».

Поле «SA Lifetime» — устанавливаем время равное 3600 sec.

Поле «Encryption Algorithm» — алгоритм шифрования второй стадии IPSec – AES-128.

Поле «Authentication Algorithm» — алгоритм аутентификации. Выбираем – «SHA-1».

Поле «PFS Key Group» — устанавливаем «птичку», выбираем «Group 5».

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

5. Сохраняем соединение

Объединение двух подсетей с помощью Dlink DFL-860e через VPN ipsec

Настройка закончена. Можно проверить соединение.

Обратите внимание, что все параметры безопасности с обеих сторон должны быть одинаковы. Иначе соединение не будет устанавливаться.

Так же обращаем Ваше внимание на версии прошивок с маркировкой RU для устройств серии DFL и DSR. В этих прошивках сильно урезан функционал по шифрованию (список доступных алгоритмов шифрования). Поэтому рекомендуется использовать прошивки с маркировкой WW.

http://www.dlink.ua/ru/IPSec_DFL_DSR

Понравилась статья? Поделиться с друзьями: