Avez-vous un compte?
L'objectif de ce document est de créer un site à site VPN sur des Routeurs de gamme RV34x.
Un réseau privé virtuel (VPN) est une grande manière de connecter des travailleurs distants à un réseau sécurisé. Un VPN permet à un serveur distant pour agir comme si ils ont été connectés au réseau sécurisé sur le site. Dans un site à site VPN, le routeur local à un emplacement se connecte à un routeur distant par un tunnel VPN. Ce tunnel encapsule des données sécurisé à l'aide des techniques industriellement compatibles de cryptage et d'authentification pour sécuriser les données qui sont envoyées.
La configuration d'un site à site VPN implique de placer le profil IPSec et la configuration du site à site VPN sur les deux Routeurs. Le profil IPSec est déjà configuré pour le rendre facile d'installer le site à site VPN, même avec un tiers (tel qu'AWS ou Azure). Le profil IPSec contient tout le cryptage nécessaire pour le tunnel. Le site à site VPN est la configuration ainsi le routeur sait à quel l'autre site à connecter. Si vous choisissez de ne pas utiliser le profil IPSec préconfiguré, vous avez l'option de créer différent.
Quand vous configurez le site à site VPN, les sous-réseaux de réseau local (RÉSEAU LOCAL) des deux côtés du tunnel ne peuvent pas être sur le même réseau. Par exemple, si le site UN RÉSEAU LOCAL utilise le sous-réseau 192.168.1.x/24, le site B ne peut pas utiliser le même sous-réseau. Le site B doit utiliser un différent sous-réseau, tel que 192.168.2.x/24.
Pour configurer un tunnel correctement, écrivez les configurations correspondantes (renversant les gens du pays et le distant) en configurant les deux Routeurs. Supposez que ce routeur est identifié comme routeur A. Enter ses configurations dans la section Installation de groupe locale tout en écrivant les configurations pour l'autre routeur (routeur B) dans la section Installation de groupe distante. Quand vous configurez l'autre routeur (le routeur B), écrivent ses configurations dans la section Installation de groupe locale, et écrivent les configurations du routeur A dans le Group Setup distant.
Est ci-dessous une table de la configuration pour le routeur A et le routeur que B. Highlighted en gras sont des paramètres qui sont l'inverse du routeur opposé. Tous autres paramètres sont configurés les mêmes. Dans ce document nous configurerons le routeur local, routeur A.
Champ | Routeur local (routeur A) Adresse IP BLÊME : 140.x.x.x Adresse IP privée (gens du pays) : 192.168.2.0/24 |
Routeur distant (routeur B) Adresse IP BLÊME : 145.x.x.x Adresse IP privée (gens du pays) : 10.1.1.0/24 |
Nom de la connexion | VPNTest | VPNTestRemote |
Profil IPSec | TestProfile | TestProfile |
Interface | WAN1 | WAN1 |
Point final distant | IP statique | IP statique |
Adresse IP distante de point final | 145.x.x.x | 140.x.x.x |
Clé pré-partagée | CiscoTest123 ! | CiscoTest123 ! |
Type local d'identifiant | IP de WAN local | IP de WAN local |
Identifiant local | 140.x.x.x | 145.x.x.x |
Type IP de gens du pays | Sous-réseau | Sous-réseau |
Adresse IP locale | 192.168.2.0 | 10.1.1.0 |
Masque de sous-réseau local | 255.255.255.0 | 255.255.255.0 |
Type distant d'identifiant | IP de WAN distant | IP de WAN distant |
Identifiant distant | 145.x.x.x | 140.x.x.x |
Type IP de distant | Sous-réseau | Sous-réseau |
Adresse IP distante | 10.1.1.0 | 192.168.2.0 |
Masque de sous-réseau distant | 255.255.255.0 | 255.255.255.0 |
· RV34x
· 1.0.02.16
Étape 1. Connectez-vous dans la page de configuration Web de votre routeur.
Étape 2. Naviguez vers VPN > site à site.
Étape 3. Cliquez sur le bouton d'ajouter pour ajouter une nouvelle connexion VPN de site à site.
Étape 4. Enable de contrôle pour activer la configuration. Ceci est activé par défaut.
Étape 5. Écrivez un nom de la connexion pour le tunnel VPN. Cette description est pour la référence et ne doit pas apparier le nom utilisé à l'autre bout du tunnel.
Dans cet exemple, nous entrerons dans VPNTest en tant que notre nom de la connexion.
Étape 6. Sélectionnez le profil IPSec que vous voulez utiliser pour le VPN. Le profil IPSec est la configuration centrale dans IPsec qui définit les algorithmes tels que le cryptage, l'authentification, et le groupe de Protocole DH (Diffie-Hellman) pour la négociation de la phase I et de la phase II.
Pour apprendre comment configurer le profil IPSec utilisant IKEv2, cliquez sur s'il vous plaît le lien : Profil de configuration d'IPSec utilisant IKEv2 sur le RV34x.
Remarque: L'option d'utiliser un tiers (les services Web ou le Microsoft Azure d'Amazone) pour le profil IPSec est disponible. Ce profil IPSec est déjà configuré avec toutes les sélections nécessaires qui doit être configuré pour les services Web ou le Microsoft Azure d'Amazone ainsi vous ne devez pas le configurer. Si vous essayez de configurer le site à site VPN entre AWS ou Azure à votre site, alors vous devriez utiliser les informations qu'AWS ou Azure te fournit de leur côté et utilisez le profil IPSec préconfiguré en configurant le site à site VPN de ce côté.
Pour cet exemple, nous sélectionnerons TestProfile en tant que notre profil IPSec.
Étape 7. Dans le domaine d'interface, sélectionnez l'interface utilisée pour le tunnel. Dans cet exemple, nous utiliserons WAN1 en tant que notre interface.
Étape 8. Sélectionnez l'IP statique, le nom de domaine complet (FQDN), ou l'IP dynamique pour le point final distant. Entrez dans l'adresse IP ou le FQDN du point final distant basé sur votre sélection.
Nous avons sélectionné l'IP statique et sommes entrés dans notre adresse IP distante de point final.
Étape 1. Sélectionnez l'un ou l'autre de clé pré-partagée ou la délivrez un certificat.
Clé pré-partagée : Les pairs d'IKE s'authentifient en calculant et en envoyant des informations parasites codées des données qui incluent la clé pré-partagée. Les deux pairs doivent partager la même clé secrète. Si le pair de réception peut créer les mêmes informations parasites indépendamment utilisant sa clé pré-partagée, elle authentifie l'autre pair. Les clés pré-partagées ne mesurent pas bien parce que chaque pair d'IPsec doit être configuré avec la clé pré-partagée de chaque autre pair avec laquelle il établit une session.
Certificat : Le certificat numérique est un module qui contient les informations telles que l'identité d'un support de certificat comprenant un nom ou une adresse IP, le numéro de série du certificat, la date d'expiration du certificat, et une copie de la clé publique du support de certificat. Le format standard de certificat numérique est défini dans la spécification X.509. La version 3 X.509 définit la structure de données pour des Certificats. Si vous avez sélectionné le certificat, assurez-vous que votre certificat signé est importé dans la gestion > le certificat. Sélectionnez le certificat de la liste déroulante pour les gens du pays et le distant.
Pour cette démonstration, nous sélectionnerons la clé pré-partagée en tant que notre méthode d'authentification d'IKE.
Étape 2. Dans la zone de tri pré-partagée, entrez dans une clé pré-partagée.
Remarque: Assurez-vous que le routeur distant utilise la même clé pré-partagée.
Étape 3. Le mètre pré-partagé de puissance de la clé affiche la puissance de la clé pré-partagée par les discriminations raciales. Vérifiez l'enable pour activer la complexité principale pré-partagée minimum. La complexité principale pré-partagée est vérifiée par défaut. Si vous voudriez afficher la clé pré-partagée, vérifiez la case à cocher d'enable.
Étape 1. IP de WAN local choisi, FQDN d'adresse IP, de gens du pays, ou FQDN d'utilisateur local de la liste déroulante. Écrivez le nom ou l'adresse IP d'identifiant basée sur votre sélection. Si vous avez sélectionné l'IP de WAN local, l'adresse IP BLÊME de votre routeur devrait automatiquement être écrite.
Étape 2. Pour le type IP de gens du pays, le sous-réseau, simple choisis, quels, groupe IP, ou interface GRE de la liste déroulante.
Dans cet exemple, le sous-réseau a été choisi.
Étape 3. Écrivez l'adresse IP du périphérique qui peut utiliser ce tunnel. Écrivez alors le masque de sous-réseau.
Pour cette démonstration, nous entrerons dans 192.168.2.0 en tant que notre adresse IP locale et 255.255.255.0 pour le masque de sous-réseau.
Étape 1. IP de WAN distant choisi, FQDN de distant, ou FQDN d'utilisateur distant de la liste déroulante. Écrivez le nom ou l'adresse IP d'identifiant basée sur votre sélection.
Nous avons sélectionné l'IP de WAN distant en tant que notre type distant d'identifiant et sommes entrés dans l'adresse IP du routeur distant.
Étape 2. Sous-réseau choisi, simple, quels, groupe IP de la liste déroulante de type IP de distant.
Dans cet exemple, nous sélectionnerons le sous-réseau.
Remarque: Si vous avez sélectionné le groupe IP en tant que votre type IP de distant, une fenêtre contextuelle pour créer un nouveau groupe IP apparaîtra.
Étape 3. Écrivez l'adresse IP et le masque de sous-réseau du périphérique qui peut utiliser ce tunnel.
Nous sommes entrés dans 10.1.1.0 pour l'adresse IP locale distante qui peut utiliser ce tunnel et le masque de sous-réseau de 255.255.255.0.
Étape 4. Cliquez sur Apply pour créer une nouvelle connexion VPN de site à site.
Toutes les configurations que vous avez écrites sur le routeur sont dans le fichier de configuration en cours qui est volatil et n'est pas retenu entre les réinitialisations.
Étape 5. En haut de la page, cliquez sur le bouton de sauvegarde pour naviguer vers la gestion de la configuration pour sauvegarder votre configuration en cours à la configuration de démarrage. C'est de retenir la configuration après une réinitialisation.
Étape 6. En gestion de la configuration, assurez-vous que la source est configuration en cours et la destination est configuration de démarrage. Alors la presse s'appliquent pour sauvegarder votre configuration en cours à la configuration de démarrage. Le fichier de configuration de démarrage retiendra maintenant toutes les configurations après une réinitialisation.
Vous devriez avoir maintenant avec succès ajouté une nouvelle connexion VPN de site à site pour votre routeur local. Vous devriez configurer votre routeur distant (routeur B) utilisant les informations inverses.