5. Создаём интерфейс IPSec в разделе «Interfaces=>IPsec».
Заполняем на первой закладке «General» поля ранее созданными объектами. Теоретически часть данных можно было вписать в поля руками, не создавая объектов. В основном это касается адресов. Однако, если Вам придётся что-то менять, Вам придётся менять данные в ручную везде. В случае использования объектов, Вы можете просто поменять необходимые значения в объектах.
В закладе «Authentication» выбираем метод аутентификации по ключу и в выпадающем списке выбираем ранее созданный объект.
В закладке IKE Setting выбираем режим работы DH group 5 для IKE, разрешаем использование PFS и так же выбираем DH group 5. Разрешаем использование «Dead Peer Detection» (обнаружение зависших туннелей).
Остальные параметры оставляем по умолчанию.
6. Т.к. по умолчанию DFL блокирует всё, что не разрешено — создаём правила, которые разрешат трафик между сегментами.
Обращаем Ваше внимание, что правила должны быть расположены в правильном порядке с Вашими правилами.
Настройка туннеля со стороны DSR.
1. Настройка IPSec в маршрутизаторах серии DSR расположена в разделе «Setup», в подразделе «VPN Settings=>IPsec=>IPsec Policies»
Добавляем новую политику IPSec:
2. В открывшемся окне в разделе General:
Поле «Policy Name» — заполняем имя, которое нам будет удобнов. В примере: «TEST_IPSec»
Поля «IKE Version» — в нашем случае используется IPv4, соответственный параметр должен быть выбран. Так же для связи с DFL должен быть выбран «IKEv1».
Поле «IPsec Mode» — выбираем режим «Tunnel Mode»
Поле «Select Local Gateway» — выбираем интерфейс, который будет исходящий для нашего соединения. Если Вы используете WAN1, то должен быть выбран «Dedicated WAN».
Поле «Remote Endpoint» — указываете удалённый шлюз. В данном случае это будет адрес DFL:192.168.98.3
Поле «Protocol» — выбираем ESP (шифрование данных)
В полях «Local Start IP Address» и «Local Subnet Mask» — заполняем локальные данные для этой точки. В нашем случае это 192.168.15.0 и 255.255.255.0 соответственно.
В полях «Remote Start IP Address» и «Remote Subnet Mask» — заполняем данные для удалённой сети. В нашем случае это 192.168.9.0 и 255.255.255.0 соответственно.
3. Раздел «Phase1(IKE SA Parameters)».
Поле «Exchange Mode» — выбираете тип «Main».
Поле «Direction / Type» — выбираете «Both».
Поле «Nat Traversal» — устанавливаем «On», если Ваш маршрутизатор DSR находится за NAT, иначе устанавливаем «Off».
Поле «Encryption Algorithm» — алгоритм шифрования в первой стадии IPSec. В нашем примере – AES-128.
Поле «Authentication Algorithm» — алгоритм аутентификации. Выбираем – «SHA-1».
Поле «Authentication Method» — устанавливаем в «Pre-shared key» и заполняем поле «Pre-shared key» значением из нашего примера «qwerty123».
Поле «Diffie-Hellman (DH) Group» — в соответствии с нашим примером выбираем «Group 5».
Поле «SA-Lifetime (sec)» — устанавливаем значение время жизни первой стадии – 28800 сек.
Поле «Enable Dead Peer Detection» — устанавливаем «птичку», т.е. разрешаем использование.
4. Раздел «Phase2-(Auto Policy Parameters)».
Поле «SA Lifetime» — устанавливаем время равное 3600 sec.
Поле «Encryption Algorithm» — алгоритм шифрования второй стадии IPSec – AES-128.
Поле «Authentication Algorithm» — алгоритм аутентификации. Выбираем – «SHA-1».
Поле «PFS Key Group» — устанавливаем «птичку», выбираем «Group 5».
5. Сохраняем соединение
Настройка закончена. Можно проверить соединение.
Обратите внимание, что все параметры безопасности с обеих сторон должны быть одинаковы. Иначе соединение не будет устанавливаться.
Так же обращаем Ваше внимание на версии прошивок с маркировкой RU для устройств серии DFL и DSR. В этих прошивках сильно урезан функционал по шифрованию (список доступных алгоритмов шифрования). Поэтому рекомендуется использовать прошивки с маркировкой WW.