Avez-vous un compte?
Un réseau privé virtuel (VPN) est une connexion sécurisée établie dans un réseau ou entre les réseaux. Les VPN servent à isoler le trafic entre les hôtes et les réseaux spécifiés du trafic des hôtes et des réseaux non autorisés. Un site à site (passerelle-à-passerelle) VPN connecte des tout le réseau entre eux, mettant à jour la Sécurité en créant un tunnel au-dessus d'un domaine public autrement connu sous le nom d'Internet. Chaque site a besoin seulement d'une connexion locale au même réseau public, enregistrant de ce fait l'argent sur de longs leased−lines privés.
Les VPN sont salutaires aux sociétés de telle manière qu'il soit fortement extensible, simplifie la topologie du réseau, et améliore la productivité en réduisant le temps et coût de voyage pour des utilisateurs distants.
L'Échange de clés Internet (IKE) est un protocole utilisé pour établir une connexion sécurisée pour la transmission dans un VPN. Cette connexion sécurisée s'appelle une association de sécurité (SA). Vous pouvez créer des stratégies IKE pour définir les paramètres de Sécurité à utiliser dans ce processus tel que l'authentification du pair, des algorithmes de chiffrement, et ainsi de suite. Pour qu'un VPN fonctionne correctement, les stratégies IKE pour les deux points d'extrémité devraient être identiques.
Ce les buts de l'article d'afficher comment configurer le VPN avancé installent sur un routeur RV130 ou RV130W, qui couvre des configurations de stratégie IKE et des configurations de règle VPN.
• RV130
• RV130W
• 1.0.3.22
Étape 1. Ouvrez une session à l'utilitaire basé sur le WEB et choisissez VPN > installation >Advanced par VPN d'IPSec VPN de site à site.
Contrôle (facultatif) d'étape 2. la case d'enable dans le NAT Traversal si vous voulez activer la traversée de Traduction d'adresses de réseau (NAT) pour la connexion VPN. Le NAT Traversal permet une connexion VPN à faire entre les passerelles qui utilisent NAT. Choisissez cette option si votre connexion VPN traverse une passerelle Nat-activée.
Étape 3. Dans le Tableau de stratégie IKE, cliquez sur Add la ligne pour créer une nouvelle stratégie IKE.
Remarque: Si des paramètres de base ont été configurés, alors la table ci-dessous contiendra la configuration de base créée VPN. Vous pouvez éditer une stratégie IKE existante en cochant la case pour la stratégie et cliquer sur Edit. Les modifications avancées de page d'installation VPN :
Étape 4. Dans la zone d'identification d'IKE, écrivez un nom unique pour la stratégie IKE.
Remarque: Si des paramètres de base ont été configurés, le nom de la connexion créé serait placé comme nom d'IKE. Dans cet exemple, VPN1 est le nom choisi d'IKE.
Étape 5. De la liste déroulante de mode d'échange, choisissez une option.
Principal — Cette option permet à la stratégie IKE pour être en pourparlers le tunnel VPN avec une Sécurité plus élevée que le mode agressif. Cliquez sur cette option si un plus connexion VPN sécurisée est une priorité au-dessus d'une vitesse de négociation.
Agressif — Cette option permet à la stratégie IKE pour établir un plus rapide mais moins de connexion sécurisée que le mode principal. Cliquez sur cette option si une connexion VPN plus rapide est une priorité au-dessus d'une sécurité élevée.
Remarque: Dans cet exemple, la canalisation est choisie.
Étape 6. Choisissez de la liste locale de Typedrop-down d'identifiant d'identifier ou spécifier le Protocole ISAKMP (Internet Security Association and Key Management Protocol) de votre routeur local. Les options sont :
Le routeur IP BLÊME local utilise l'IP local de réseau étendu (WAN) comme identifiant principal. Cette option se connecte par l'Internet. Choisissant des gris de cette option le champ d'identification local ci-dessous.
Adresse IP — Cliquer sur ceci te permet pour écrire une adresse IP dans le champ d'identification local.
FQDN — Un nom de domaine complet (FQDN) ou votre nom de domaine tel que http://www.example.com te permet pour écrire votre nom de domaine ou adresse IP dans le champ d'identification local.
UTILISATEUR-FQDN — Cette option est une adresse e-mail d'utilisateur telle qu'user@email.com. Écrivez un nom de domaine ou une adresse IP dans le champ d'identification local.
DN DER ASN1 — Cette option est un type d'identifiant pour le nom unique (DN) cet Abstract Syntax Notation One encodant de règles distingué par utilisations (DER ASN1) pour transmettre les informations. Ceci se produit quand le tunnel VPN est associé avec un certificat utilisateur. Si ceci est choisi, écrivez un nom de domaine ou une adresse IP dans le champ d'identification local.
Remarque: Dans cet exemple, l'IP de WAN local est choisi.
Étape 7. Choisissez de la liste déroulante distante de type d'identifiant d'identifier ou spécifier le Protocole ISAKMP (Internet Security Association and Key Management Protocol) de votre routeur distant. Les options sont IP de WAN distant, adresse IP, FQDN, DN FQDN d'utilisateur, et DER ASN1.
Remarque: Dans cet exemple, l'IP de WAN distant est choisi.
Étape 8. Choisissez une option de la liste déroulante d'algorithme de chiffrement.
DES — Le Norme de chiffrement de données (DES) est des 56-bit, la vieille méthode de cryptage qui n'est pas une méthode de cryptage très sécurisée, mais peut être exigé pour ascendant la compatibilité.
3DES — Le Norme 3DES (Triple Data Encryption Standard) est des 168-bit, méthode de cryptage simple utilisée pour augmenter la taille de clé parce qu'elle chiffre les données trois fois. Ceci fournit plus de Sécurité que le DES mais moins de Sécurité qu'AES.
AES-128 — L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide et plus sécurisé que 3DES. AES-128 est l'algorithme de chiffrement par défaut et est plus rapide mais moins sécurisé qu'AES-192 et AES-256.
AES-192 — AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisés qu'AES-128, et plus rapides mais moins sécurisent qu'AES-256.
AES-256 — AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.
Remarque: Dans cet exemple, AES-128 est sélectionné.
Étape 9. De la liste déroulante d'algorithme d'authentification, choisissez des options suivantes :
MD5 — Le Message Digest 5 (MD5) est un algorithme d'authentification qui utilise une valeur de hachage 128-bit pour l'authentification. Le MD5 est moins sécurisés, mais plus rapides que SHA-1 et SHA2-256.
SHA-1 — La fonction de Secure Hash 1 (SHA-1) utilise une valeur de hachage 160-bit pour l'authentification. SHA-1 est plus lent mais plus sécurisé que le MD5. SHA-1 est l'algorithme d'authentification par défaut et est plus rapide mais moins sécurisé que SHA2-256.
SHA2-256 — Le Secure Hash Algorithm 2 avec une valeur de hachage 256-bit (SHA2-256) utilise une valeur de hachage 256-bit pour l'authentification. SHA2-256 est plus lent mais plus sécurisé que le MD5 et le SHA-1.
Remarque: Dans cet exemple, le MD5 est choisi.
Étape 10. Dans la liste déroulante de méthode d'authentification, choisissez des options suivantes :
Clé pré-partagée — Cette option exige un mot de passe qui est partagé avec le pair d'IKE.
Signature RSA — Cette option emploie des Certificats pour authentifier la connexion. Si ceci est choisi, la zone de tri pré-partagée est désactivée. Saut à l'étape 12.
Remarque: Dans cet exemple la clé pré-partagée est choisie.
Étape 11. Dans la zone de tri pré-partagée, entrez un mot de passe qui est entre 8 et 49 caractères de longueur.
Remarque: Dans cet exemple, yourpassword123 est utilisé.
Étape 12. De la liste déroulante de groupe CAD, choisissez que l'algorithme de groupe de Protocole DH (Diffie-Hellman) l'IKE utilise. Les hôtes dans un groupe CAD peuvent permuter des clés sans connaissance de l'un l'autre. Plus le nombre de bits de groupe est élevé, plus la Sécurité est meilleure.
Remarque: Dans cet exemple, Group1 est choisi.
Étape 13. Dans le domaine de SA-vie, entrez dans combien de temps en quelques secondes SA pour le VPN dure avant que SA soit renouvelée. La plage est de 30 à 86400 secondes. Le par défaut est 28800.
Étape 14. (Facultatif) cochez la case de Dead Peer Detection d'enable pour activer Dead Peer Detection (DPD). DPD surveille des pairs d'IKE pour voir si un pair a cessé de fonctionner ou est encore actif. Si le pair est détecté comme mort, le périphérique supprime l'IPsec et l'association de sécurité d'IKE. DPD empêche les déchets des ressources de réseau sur les pairs inactifs.
Remarque: Si vous ne souhaitez pas activer Dead Peer Detection, ignorez à l'étape 17.
Étape 15. (Facultatif) si vous activiez DPD dans l'étape 14, entrez dans combien de fois (en quelques secondes) le pair est activité vérifiée dans le domaine de retard DPD.
Remarque: Le retard DPD est l'intervalle en quelques secondes entre les messages consécutifs DPD R-U-THERE. Des messages DPD R-U-THERE sont envoyés seulement quand le trafic d'IPsec est de veille. La valeur par défaut est 10.
Étape 16. (Facultatif) si vous activiez DPD dans l'étape 14, écrivez combien de secondes à attendre avant qu'un pair inactif soit lâché dans le domaine de délai d'attente DPD.
Remarque: C'est le temps maximum que le périphérique devrait attendre pour recevoir une réponse au message DPD avant de considérer comme étant le pair mort. La valeur par défaut est 30.
Étape 17. Cliquez sur Save.
Remarque: La page d'installation VPN avancée par canalisation réapparaît.
Vous devriez avoir maintenant avec succès configuré les configurations de stratégie IKE sur votre routeur.
Remarque: Pour qu'un VPN fonctionne correctement, les règles VPN pour les deux points d'extrémité devraient être identiques.
Étape 1. Dans le Tableau de règle VPN, cliquez sur Add la ligne pour créer une nouvelle règle VPN.
Note: Vous pouvez également éditer une règle VPN en cochant la case pour la stratégie et cliquer sur Edit. La page avancée d'installation VPN paraît :
Étape 2. Dans la zone d'identification d'IPSec sous le secteur de configuration du VPN d'Add/Edit, écrivez un nom pour la règle VPN.
Remarque: Dans cet exemple, VPN1 est utilisé.
Étape 3. De la liste déroulante de type de stratégie, choisissez une option.
Stratégie manuelle — Cette option te permet pour configurer manuellement les clés pour le chiffrement de données et l'intégrité pour le tunnel VPN. Si ceci est choisi, les paramètres de configuration sous la région de paramètres manuelle de stratégie sont activés. Continuez les étapes jusqu'à la sélection distante du trafic. A cliquez ici pour connaître les étapes.
Stratégie automatique — Des paramètres de stratégie sont placés automatiquement. Cette option utilise une stratégie IKE pour des échanges d'intégrité des données et de clé de chiffrement. Si ceci est choisi les paramètres de configuration sous la région de paramètres automatique de stratégie sont activés. A cliquez ici pour connaître les étapes. Assurez-vous que votre protocole d'IKE négocie automatiquement entre les deux points finaux VPN.
Remarque: Dans cet exemple, la stratégie automatique est choisie.
Étape 4. De la liste déroulante distante de point final, choisissez une option.
Adresse IP — Cette option identifie le réseau distant par une adresse IP publique.
FQDN — Nom de domaine complet pour un ordinateur spécifique, ou hôte, ou l'Internet. Le FQDN se compose de deux parts : l'adresse Internet et le nom de domaine. Cette option peut seulement être activée quand la stratégie automatique est sélectionnée dans l'étape 3.
Remarque: Pour cet exemple, l'adresse IP est choisie.
Étape 5. Dans le domaine distant de point final, écrivez l'adresse IP publique ou le nom de domaine de l'adresse distante.
Remarque: Dans cet exemple, 192.168.2.101 est utilisé.
Le contrôle (facultatif) d'étape 6. le Netbios a activé la case si vous voulez permettre à des émissions de Basic Input/Output System de réseau (Netbios) d'être envoyé par la connexion VPN. Netbios permet à des hôtes pour communiquer les uns avec les autres dans un réseau local (RÉSEAU LOCAL).
Étape 7. De la liste déroulante IP de gens du pays sous la région de sélection du trafic local, choisissez une option.
Simple — Limite la stratégie à un hôte.
Sous-réseau — Permet à des hôtes dans une plage d'adresses IP pour se connecter au VPN.
Remarque: Dans cet exemple, le sous-réseau est choisi.
Étape 8. Dans le champ IP Address, écrivez l'adresse IP d'hôte ou de sous-réseau du sous-réseau local ou la hébergez.
Remarque: Dans cet exemple, l'adresse IP locale de sous-réseau de 10.10.10.1 est utilisée.
Étape 9. (facultative) si le sous-réseau est sélectionné dans l'étape 7, écrivent le masque de sous-réseau du client dans le domaine de masque de sous-réseau. Le champ de masque de sous-réseau est désactivé si simple est choisi dans l'étape 1.
Remarque: Dans cet exemple, le masque de sous-réseau de 255.255.0.0 est utilisé.
Étape 10. De la liste déroulante IP de distant sous la région éloignée de sélection du trafic, choisissez une option.
Remarque: Dans cet exemple, le sous-réseau est choisi.
Étape 11. Écrivez la plage des adresses IP de l'hôte qui fera partie du VPN dans le champ IP Address. Si simple est sélectionné dans l'étape 10, écrivent une adresse IP.
Remarque: Dans l'exemple ci-dessous, 10.10.11.2 est utilisé.
Étape 12. (Facultatif) si le sous-réseau est sélectionné dans l'étape 10, écrivez le masque de sous-réseau de l'adresse IP de sous-réseau dans le domaine de masque de sous-réseau.
Remarque: Dans l'exemple ci-dessous, 255.255.0.0 est utilisé.
Paramètres manuels de stratégie
Remarque: Ces champs peuvent seulement être édités si la stratégie manuelle est choisie.
Étape 1. Dans le domaine SPI-entrant, écrivez des trois à huit caractères hexadécimaux pour la balise de l'index de paramètre de Sécurité (SPI) pour le trafic entrant sur la connexion VPN. La balise SPI est utilisée pour distinguer le trafic d'une session du trafic d'autres sessions.
Remarque: Pour cet exemple, 0xABCD est utilisé.
Étape 2. Dans le domaine SPI-sortant, écrivez trois à huit caractères hexadécimaux pour la balise SPI pour le trafic sortant sur la connexion VPN.
Remarque: Pour cet exemple, 0x1234 est utilisé.
Étape 3. De la liste déroulante manuelle d'algorithme de chiffrement, choisissez une option. Les options sont DES, 3DES, AES-128, AES-192, et AES-256.
Remarque: Dans cet exemple, AES-128 est choisi.
Étape 4. Dans Clé-dans le champ, introduisez une clé pour la stratégie entrante. La longueur principale dépend de l'algorithme choisi dans l'étape 3.
Le DES utilise une clé 8-character.
3DES utilise une clé 24-character.
AES-128 utilise une clé 16-character.
AES-192 utilise une clé 24-character.
AES-256 utilise une clé 32-character.
Remarque: Dans cet exemple, 123456789ABCDEFG est utilisé.
Étape 5. Dans le domaine de clé-, introduisez une clé pour la stratégie sortante. La longueur principale dépend de l'algorithme choisi dans l'étape 3.
Remarque: Dans cet exemple, 123456789ABCDEFG est utilisé.
Étape 6. De la liste déroulante manuelle d'algorithme d'intégrité, choisissez une option.
MD5 — Utilise une valeur de hachage 128-bit pour l'intégrité des données. Le MD5 est moins sécurisés mais plus rapides que SHA-1 et SHA2-256.
SHA-1 — Utilise une valeur de hachage 160-bit pour l'intégrité des données. SHA-1 est plus lent mais plus sécurisé que le MD5, et SHA-1 est plus rapide mais moins sécurisé que SHA2-256.
SHA2-256 — Utilise une valeur de hachage 256-bit pour l'intégrité des données. SHA2-256 est plus lent mais sécurise que le MD5 et le SHA-1.
Remarque: Dans cet exemple, le MD5 est choisi.
Étape 7. Dans Clé-dans le champ, introduisez une clé pour la stratégie entrante. La longueur principale dépend de l'algorithme choisi dans l'étape 6.
Le MD5 utilise une clé 16-character.
SHA-1 utilise une clé 20-character.
SHA2-256 utilise une clé 32-character.
Remarque: Dans cet exemple, 123456789ABCDEFG est utilisé.
Étape 8. Dans le domaine de clé-, introduisez une clé pour la stratégie sortante. La longueur principale dépend de l'algorithme choisi dans l'étape 6.
Remarque: Dans cet exemple, 123456789ABCDEFG est utilisé.
Paramètres automatiques de stratégie
Remarque: Avant que vous créiez une règle VPN automatique, assurez-vous que vous créez la stratégie IKE basée sur ce que vous voulez pour créer la règle VPN automatique. Ces champs peuvent seulement être édités si la stratégie automatique est sélectionnée dans l'étape 3.
Étape 1. Dans le domaine de SA-vie d'IPSec, entrez dans combien de temps en quelques secondes SA dure avant renouvellement. La plage est de 30-86400. Le par défaut est 3600.
Étape 2. De la liste déroulante d'algorithme de chiffrement, choisissez une option. Les options sont :
Remarque: Dans cet exemple, AES-128 est choisi.
DES — Un 56-bit, la vieille méthode de cryptage qui n'est pas une méthode de cryptage très sécurisée, mais peut être exigé pour ascendant la compatibilité.
3DES — Un 168-bit, méthode de cryptage simple utilisée pour augmenter la taille de clé parce qu'elle chiffre les données trois fois. Ceci fournit plus de Sécurité que le DES mais moins de Sécurité qu'AES.
AES-128 — Utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide et plus sécurisé que 3DES. AES-128 est plus rapide mais moins sécurisé qu'AES-192 et AES-256.
AES-192 — Utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisés qu'AES-128, et plus rapides mais moins sécurisent qu'AES-256.
AES-256 — Utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.
AESGCM — Le mode de compteur de Galois d'Advanced Encryption Standard est un mode authentifié générique de chiffre par bloc de cryptage. L'authentification GCM utilise les exécutions qui sont particulièrement bien adaptées à l'implémentation efficace dans le matériel, la faisant lançant un appel particulièrement pour des réalisations ultra-rapides, ou pour des réalisations dans un circuit efficace et compact.
AESCCM — L'Advanced Encryption Standard contre- avec le mode CBC-MAC est un mode authentifié générique de chiffre par bloc de cryptage. CCM est bien adapté pour l'usage dans des réalisations compactes de logiciel.
Étape 3. De la liste déroulante d'algorithme d'intégrité, choisissez une option. Les options sont MD5, SHA-1, et SHA2-256.
Note: Dans cet exemple, SHA-1 est choisi.
Étape 4. Cochez la case d'enable dans le groupe de touche PF pour activer le perfect forward secrecy (PFS). Le PFS augmente la Sécurité VPN, mais ralentit la vitesse de connexion.
Étape 5. (facultative) si vous choisissiez d'activer le PFS dans l'étape 4, choisissent un groupe CAD pour se joindre de la liste déroulante de groupe CAD. Plus le nombre de groupe est élevé, plus la Sécurité est meilleure.
Remarque: Pour cet exemple, le groupe 1 est choisi.
Étape 6. De la liste déroulante choisie de stratégie IKE, choisissez qui stratégie IKE à l'utiliser pour la règle VPN.
Remarque: Dans cet exemple, seulement une stratégie IKE a été configurée ainsi seulement une stratégie apparaît.
Étape 7. Sauvegarde de clic.
Remarque: La page d'installation VPN avancée par canalisation réapparaît. Un message de confirmation que les paramètres de configuration ont été enregistrés avec succès devrait apparaître.
Étape 8. Sous la table de règle VPN, cochez une case pour choisir un enable VPN et de clic.
Remarque: La règle VPN configurée est désactivée par défaut.
Étape 9. Sauvegarde de clic.
Vous devriez avoir maintenant avec succès configuré une règle VPN sur votre routeur RV130 ou RV130W.