LAN to LAN IPSec VPN tunel mezi Vigor 2130/2750 a Vigor2820/2830/2850 v agresívním módu (Aggressive mode)
V tomto článku se podíváme na to jak nastavit LAN to LAN IPSec VPN tunel mezi routery Vigor 2130 a Vigor 2820 za použití agresívního módu (aggresive mode).
V našem příkladu použijeme následující aplikaci:
Příklad 1: Směr VPN z Vigor 2130 do Vigor 2820
Nastavení VPN ve Vigor 2130
1. Vytvoříme LAN-to-LAN VPN profil.
2. Zaškrtněte volbu Enabled a vyplňte položku Name (jméno). V našem příkladu jsme zvolili jméno ?Demo?.
3. Do pole Remote IP zadejte WAN IP adresu routeru Vigor 2820.
4. U IKE phase 1 mode zvolte Aggressive Mode.
5. Nyní zadejte předsdílený klíč do pole pre-shared key, který musí být shodný s Vigor 2820.
6. Nastavte příslušnou identitu pro Local Identity a Remote Identity.
Během vyjednávání spojení VPN IPSec v agresívním módu musí VPN klient poslat svoji identitu VPN serveru k odsouhlasení. VPN klient může rovněž odsouhlasit identitu VPN serveru, což je volitelná funkce. V tomto příkladu nastavujeme hodnotu ´vigor2130´ jako identitu pro router Vigor2130 a ?vigor2820? jako identitu pro router Vigor2820.
7. Do pole Local Network / Mask zadejte subsíť použitou ve Vigor 2130. Do pole Remote Network / Mask zadejte subsíť použitou ve Vigor2820.
8. Pro IKE phase 1 a IKE phase 2 použijte výchozích hodnot ?Automatic?.
9. Nyní klikněte na OK.
10. Přístupem do VPN sítě ve Vigor 2820 z PC za routerem Vigor 2130 dojde k inicializaci VPN spojení. Např. příkazem ping 192.168.1.x z PC (192.168.30.x). Vigor 2130 spustí vytáčení IPSec VPN tunelu do Vigor 2820. Po úspěšném připojení VPN můžete sledovat její stav na stránce VPN and Remote Acces >> LAN to LAN.
Nastavení VPN ve Vigor 2820
1. Vytvoříme LAN-to-LAN VPN profil.
2. Zaškrtněte volbu Enable a vyplňte pole Profile name. V našem příkladu jsme zvolili jméno ?test?.
3. V části Call Direction vyberte Dial-in.
4. V části Dial-Out Settings zvolte IPSec Tunnel a klikněte na tlačítko Advanced.
5. Ve vyskakovacím okně zadejte hodnotu ´vigor2820´ do pole Local ID. Klikněte na OK, čímž se vrátíte zpět na nastavení profilu VPN.
6. V části Dial-In Settings povolte Specify Remote VPN Gateway a do pole Peer ID zadejte vigor2130.
7. Nastavte pre-shared key, který se musí shodovat s routerem Vigor2130.
8. Do políček Remote Network IP / Mask zadejte subsíť použitou ve Vigor 2130.
9. Klikněte na OK.
Pozn.: Vigor2130 podporuje následující:
For phase 1
Mode Selection Proposals will be sent
When you select Automatic 3DES, SHA1, Group 2
When you select 3DES 3DES, MD5, Group 5
When you select AES(any) AES, MD5, Group 5
When you select AES-128 AES-128, MD5, Group 5
When you select AES-192 AES-192, MD5, Group 5
When you select AES-256 AES-256, MD5, Group 5
For phase 2
Mode Selection Proposals will be sent
When you select Automatic AES-128, MD5; AES-128, SHA1;
AES-192, MD5; AES-192, SHA1;
AES-256, MD5; AES-256, SHA1;
3DES, SHA1; 3DES, MD5
When you select 3DES 3DES, MD5; 3DES, SHA1
When you select AES(any) AES-256, MD5; AES-256, SHA1
When you select AES-128 AES-128, MD5; AES-128, SHA1
When you select AES-192 AES-192, MD5; AES-192, SHA1
When you select AES-256 AES-256, MD5; AES-256, SHA1
Příklad 2: Směr VPN z Vigor 2820 do Vigor 2130
Nastavení VPN ve Vigor 2130
1. Vytvoříme LAN-to-LAN VPN profil.
2. Zaškrtněte volbu Enabled a do pole Name zadejte jméno profilu.
3. Do pole Remote IP zadejte 0.0.0.0 .
4. V části IKE phase 1 mode vyberte Aggressive Mode.
5. Do pole Pre-shared key, zadejte předsdílený klíč použitý ve Vigor 2820.
6. Nastavte příslušné identity Local Identity a Remote Identity v souladu s nastavením routerů Vigor 2130 a vigor 2820.
Během vyjednávání spojení VPN IPSec v agresívním módu musí VPN klient poslat svoji identitu VPN serveru k odsouhlasení. VPN klient může rovněž odsouhlasit identitu VPN serveru, což je volitelná funkce. V tomto příkladu nekontrolujeme identitu VPN serveru, takže nastavujeme pouze identitu routeru Vigor 2820.
7. Do pole Local Network / Mask zadejte subsíť použitou ve Vigor 2130.
8. Do pole Remote Network / Mask zadejte subsíť použitou ve Vigor 2820.
9. V části IKE phase 1 a IKE phase 2 proposal ponechte výchozí hodnotu ?Automatic?.
10. Po navázání VPN spojení , můžete sledovat stav VPN v části, viz. obrázek níže.
Nastavení VPN ve Vigor 2820
1. Vytvoříme LAN-to-LAN VPN profil.
2. Zaškrtněte volbu Enable a do pole profile name zadejte název profilu VPN. V našem případě jsme použili ?test?.
3. V části Call Direction zvolte Dial-Out a povolte Always on.
4. Dále vyberte IPSec Tunnel a v části Server IP/Host Name for VPN zadejte WAN IP adresu routeru Vigor 2130.
5. Kliknutím na tlačítko IKE pre-shared key zadejte předsdílený klíč, který je použit ve Vigor 2130.
6. V části IPSec security method zvolte ESP (High) a 3DES with Authentication.
7. Klikněte na tlačítko Advanced.
8. Ve vyskakovacím okně vyberte prosím Aggressive mode a zvolte ?DES_MD5_G2/DES_SHA1_G2/3DES_MD5_G2/3DES_SHA1_G2? jakožto IKE phase 1. Do pole Local ID zadejte hodnotu vigor2820. Klikněte na tlačítko OK, čímž se vrátíte na nastavení profilu VPN.
9. Do pole Remote Network IP / Mask zadejte subsíť použitou ve Vigor 2130.
10. Klikněte na OK.