Konfigurieren des Site-to-Site-VPN auf dem RV34x

Download-Optionen

  • PDF     (1.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.4 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:28. Januar 2019
Dokument-ID:1548714406793121

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Ziel

Ziel dieses Dokuments ist die Erstellung eines Site-to-Site-VPN auf Routern der Serie RV34x.

Einführung

Ein virtuelles privates Netzwerk (VPN) ist eine hervorragende Möglichkeit, externe Mitarbeiter mit einem sicheren Netzwerk zu verbinden. Mit einem VPN kann ein Remote-Host so agieren, als ob er mit dem gesicherten Netzwerk vor Ort verbunden wäre. In einem Site-to-Site-VPN stellt der lokale Router an einem Standort über einen VPN-Tunnel eine Verbindung zu einem Remote-Router her. Dieser Tunnel kapselt Daten sicher mithilfe von branchenüblichen Verschlüsselungs- und Authentifizierungsverfahren, um die gesendeten Daten zu schützen.

Zum Konfigurieren eines Site-to-Site-VPNs müssen das IPsec-Profil und die Konfiguration des Site-to-Site-VPN auf den beiden Routern festgelegt werden. Das IPsec-Profil ist bereits so konfiguriert, dass die Einrichtung von Site-to-Site-VPN selbst bei Verwendung eines Drittanbieters (z. B. AWS oder Azure) vereinfacht wird. Das IPsec-Profil enthält alle erforderlichen Verschlüsselungen für den Tunnel. Site-to-Site-VPN ist die Konfiguration, sodass der Router weiß, mit welchem anderen Standort eine Verbindung hergestellt werden soll. Wenn Sie das vorkonfigurierte IPsec-Profil nicht verwenden möchten, können Sie ein anderes Profil erstellen.

Wenn Sie ein Site-to-Site-VPN konfigurieren, können sich die Subnetze des Local Area Network (LAN) auf beiden Seiten des Tunnels nicht im gleichen Netzwerk befinden. Wenn beispielsweise das LAN von Standort A das Subnetz 192.168.1.x/24 verwendet, kann Standort B nicht dasselbe Subnetz verwenden. Standort B muss ein anderes Subnetz verwenden, z. B. 192.168.2.x/24.

Um einen Tunnel richtig zu konfigurieren, geben Sie bei der Konfiguration der beiden Router die entsprechenden Einstellungen ein (lokale und Remote-Umkehr). Angenommen, dieser Router ist als Router A gekennzeichnet. Geben Sie die entsprechenden Einstellungen im Abschnitt "Local Group Setup" (Einrichtung der lokalen Gruppe) ein, während Sie die Einstellungen für den anderen Router (Router B) im Abschnitt "Remote Group Setup" (Einrichtung der Remote-Gruppe) eingeben. Wenn Sie den anderen Router (Router B) konfigurieren, geben Sie seine Einstellungen im Abschnitt für die Einrichtung der lokalen Gruppe ein, und geben Sie die Einstellungen für Router A im Remote Group Setup ein.

Nachfolgend finden Sie eine Tabelle der Konfiguration für Router A und Router B. Fettformatiert hervorgehoben sind Parameter, die die Umkehrung des anderen Routers darstellen. Alle anderen Parameter sind identisch konfiguriert. In diesem Dokument wird die Konfiguration des lokalen Routers, Router A, vorgenommen.

Feld Lokaler Router (Router A)
WAN-IP-Adresse: 140.x.x.x
Private IP-Adresse (lokal): 192.168.2.0/24 		Remote-Router (Router B)
WAN-IP-Adresse: 145.x.x.x
Private IP-Adresse (lokal): 10.1.1.0/24
Verbindungsname VPNTest VPNTestRemote
IPsec-Profil TestProfile TestProfile
Schnittstelle WAN1 WAN1
Remote-Endgeräte Statische IP Statische IP
IP-Adresse des Remote-Endgeräts 145.x.x.x 140.x.x.x
Vorinstallierter Schlüssel CiscoTest123! CiscoTest123!
Lokaler Identifizierungstyp Lokale WAN-IP Lokale WAN-IP
Lokale Kennung 140.x.x.x 145.x.x.x
Lokaler IP-Typ Subnetz Subnetz
Lokale IP-Adresse 192.168.2.0 10.1.1.0
Lokale Subnetzmaske 255.255.255,0 255.255.255,0
Typ der Remote-Kennung Remote-WAN-IP Remote-WAN-IP
Remote-Kennung 145.x.x.x 140.x.x.x
Remote-IP-Typ Subnetz Subnetz
Remote-IP-Adresse 10.1.1.0 192.168.2.0
Remote-Subnetzmaske 255.255.255,0 255.255.255,0

Anwendbare Geräte

· RV34x

Softwareversion

· 1.0.02.16

Konfigurieren der Site-to-Site-VPN-Verbindung

Schritt 1: Melden Sie sich auf der Webkonfigurationsseite Ihres Routers an.

Schritt 2: Navigieren Sie zu VPN > Site-to-Site.

Schritt 3: Klicken Sie auf die Add-Schaltfläche, um eine neue Site-to-Site-VPN-Verbindung hinzuzufügen.

Schritt 4: Aktivieren Sie Aktivieren, um die Konfiguration zu aktivieren. Dies ist standardmäßig aktiviert.

Schritt 5: Geben Sie einen Verbindungsnamen für den VPN-Tunnel ein. Diese Beschreibung dient als Referenz und muss nicht mit dem am anderen Ende des Tunnels verwendeten Namen übereinstimmen.

In diesem Beispiel geben wir VPNTest als unseren Verbindungsnamen ein.

Schritt 6: Wählen Sie das IPsec-Profil aus, das Sie für das VPN verwenden möchten. IPsec-Profil ist die zentrale Konfiguration in IPsec, die Algorithmen wie Verschlüsselung, Authentifizierung und DH-Gruppe (Diffie-Hellman) für Phase I- und Phase II-Aushandlung definiert.

Um zu erfahren, wie Sie das IPsec-Profil mit IKEv2 konfigurieren, klicken Sie auf den Link: Konfigurieren des IPsec-Profils mithilfe von IKEv2 auf dem RV34x.

Hinweis: Die Option zur Verwendung eines Drittanbieters (Amazon Web Services oder Microsoft Azure) für IPsec-Profile ist verfügbar. Dieses IPsec-Profil ist bereits mit allen erforderlichen Auswahlen konfiguriert, die für Amazon Web Services oder Microsoft Azure konfiguriert werden müssen, damit Sie es nicht konfigurieren müssen. Wenn Sie versuchen, ein Site-to-Site-VPN zwischen AWS oder Azure zu Ihrem Standort zu konfigurieren, müssen Sie die Informationen, die Ihnen AWS oder Azure zur Verfügung stellt, verwenden und das vorkonfigurierte IPsec-Profil verwenden, wenn Sie ein Site-to-Site-VPN auf dieser Seite konfigurieren.

In diesem Beispiel wählen wir TestProfile als unser IPsec-Profil aus.

Schritt 7: Wählen Sie im Feld Schnittstelle die Schnittstelle aus, die für den Tunnel verwendet wird. In diesem Beispiel wird WAN1 als Schnittstelle verwendet.

Schritt 8: Wählen Sie entweder Static IP, Fully Qualified Domain Name (FQDN) oder Dynamic IP für den Remote-Endpunkt aus. Geben Sie die IP-Adresse oder den FQDN des Remote-Endpunkts entsprechend Ihrer Auswahl ein.

Wir haben die statische IP ausgewählt und die IP-Adresse unseres Remote-Endgeräts eingegeben.

Konfigurieren der IKE-Authentifizierungsmethode

Schritt 1: Wählen Sie entweder Pre-shared Key oder Certificate aus.

Vorinstallierter Schlüssel: IKE-Peers authentifizieren sich gegenseitig durch Computing und Senden eines verschlüsselten Hashs von Daten, der den vorinstallierten Schlüssel enthält. Beide Peers müssen denselben geheimen Schlüssel teilen. Wenn der empfangende Peer in der Lage ist, den gleichen Hash mit seinem vorinstallierten Schlüssel unabhängig zu erstellen, authentifiziert er den anderen Peer. Vorinstallierte Schlüssel lassen sich nicht gut skalieren, da jeder IPsec-Peer mit dem vorinstallierten Schlüssel jedes anderen Peers konfiguriert werden muss, mit dem er eine Sitzung aufbaut.

Zertifikat: Das digitale Zertifikat ist ein Paket, das Informationen wie die Identität eines Zertifikatsinhabers enthält, einschließlich eines Namens oder einer IP-Adresse, der Seriennummer des Zertifikats, dem Ablaufdatum des Zertifikats und einer Kopie des öffentlichen Schlüssels des Zertifikatsinhabers. Das standardmäßige digitale Zertifikatsformat ist in der X.509-Spezifikation definiert. Die X.509-Version 3 definiert die Datenstruktur für Zertifikate. Wenn Sie Zertifikat ausgewählt haben, stellen Sie sicher, dass das signierte Zertifikat unter Administration > Certificate importiert wird. Wählen Sie das Zertifikat aus der Dropdown-Liste für lokal und remote aus.

Für diese Demonstration wählen wir Pre-shared Key als IKE-Authentifizierungsmethode aus.

Schritt 2: Geben Sie im Feld Vorinstallierter Schlüssel einen vorinstallierten Schlüssel ein.

Hinweis: Stellen Sie sicher, dass der Remote-Router den gleichen vorinstallierten Schlüssel verwendet.

Schritt 3: Das Pre-shared Key Strength Meter zeigt die Stärke des vorinstallierten Schlüssels durch farbige Balken an. Aktivieren Sie Aktivieren, um die minimale Komplexität des vorinstallierten Schlüssels zu aktivieren. Die Komplexität des vorinstallierten Schlüssels wird standardmäßig überprüft. Wenn der vorinstallierte Schlüssel angezeigt werden soll, aktivieren Sie das Kontrollkästchen Aktivieren.

Lokale Gruppeneinrichtung

Schritt 1: Wählen Sie Local WAN IP, IP Address, Local FQDN oder Local User FQDN aus der Dropdown-Liste aus. Geben Sie den Identifikationsnamen oder die IP-Adresse basierend auf Ihrer Auswahl ein. Wenn Sie Local WAN IP ausgewählt haben, sollte die WAN-IP-Adresse Ihres Routers automatisch eingegeben werden.

Schritt 2: Wählen Sie für den lokalen IP-Typ Subnetz, Single, Any, IP Group oder GRE Interface aus der Dropdown-Liste aus.

In diesem Beispiel wurde Subnetz ausgewählt.

Schritt 3: Geben Sie die IP-Adresse des Geräts ein, das diesen Tunnel verwenden kann. Geben Sie dann die Subnetzmaske ein.

Für diese Demonstration geben Sie 192.168.2.0 als lokale IP-Adresse und 255.255.255.0 für die Subnetzmaske ein.

Remote-Gruppeneinrichtung

Schritt 1: Wählen Sie Remote WAN IP, Remote FQDN oder Remote User FQDN aus der Dropdown-Liste aus. Geben Sie den Identifikationsnamen oder die IP-Adresse basierend auf Ihrer Auswahl ein.

Wir haben Remote WAN IP als Remote Identifier Type ausgewählt und in die IP-Adresse des Remote-Routers eingegeben.

Schritt 2: Wählen Sie Subnet, Single, Any, IP Group aus der Dropdown-Liste Remote-IP-Typ aus.

In diesem Beispiel wählen wir Subnet aus.

Hinweis: Wenn Sie IP Group (IP-Gruppe) als Remote-IP-Typ ausgewählt haben, wird ein Popup-Fenster zum Erstellen einer neuen IP-Gruppe angezeigt.

Schritt 3: Geben Sie die IP-Adresse und die Subnetzmaske des Geräts ein, das diesen Tunnel verwenden kann.

Wir haben 10.1.1.0 für die lokale Remote-IP-Adresse eingegeben, die diesen Tunnel und die Subnetzmaske 255.255.0 verwenden kann.

Schritt 4: Klicken Sie auf Apply, um eine neue Site-to-Site-VPN-Verbindung zu erstellen.

Alle Konfigurationen, die Sie auf dem Router eingegeben haben, befinden sich in der Running Configuration-Datei, die flüchtig ist und zwischen Neustarts nicht beibehalten wird.

Schritt 5: Klicken Sie oben auf der Seite auf die Schaltfläche Speichern, um zur Konfigurationsverwaltung zu navigieren, um die aktuelle Konfiguration in der Startkonfiguration zu speichern. Dadurch wird die Konfiguration nach einem Neustart beibehalten.

Schritt 6: Vergewissern Sie sich im Konfigurationsmanagement, dass die Quelle die Konfiguration ausführt und das Ziel die Startkonfiguration ist. Drücken Sie anschließend Apply, um die aktuelle Konfiguration in der Startkonfiguration zu speichern. Die Startkonfigurationsdatei behält jetzt alle Konfigurationen nach einem Neustart bei.

Schlussfolgerung

Sie sollten jetzt erfolgreich eine neue Site-to-Site-VPN-Verbindung für Ihren lokalen Router hinzugefügt haben. Sie müssen den Remote-Router (Router B) mithilfe der Rückinformationen konfigurieren.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren