Configuration d'un serveur VPN d'IPSec sur RV130 et RV130W

Objectif

IPSec VPN (réseau privé virtuel) te permet d'obtenir sécurisé l'Accès à distance aux ressources de l'entreprise en établissant un tunnel chiffré à travers l'Internet.

L'objectif de ce document est de t'afficher comment configurer un serveur VPN d'IPSec sur RV130 et RV130W.

Remarque: Pour des informations sur la façon configurer un serveur VPN d'IPSec avec le client vpn mou de musaraigne sur RV130 et RV130W, référez-vous au client vpn mou de musaraigne d'utilisation d'article avec le serveur VPN d'IPSec sur RV130 et RV130W.

Périphériques applicables

• Pare-feu du Wireless-N VPN RV130W
• Pare-feu RV130 VPN

Version de logiciel

• v1.0.1.3

Serveur VPN d'IPSec d'installation

Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez serveur VPN VPN > d'IPSec > installé. La page d'installation s'ouvre.

Étape 2. Vérifiez la case à cocher d'enable de serveur pour activer le certificat.

Étape 3. (facultative) si votre routeur VPN ou client vpn est derrière une passerelle NAT, cliquent sur Edit pour configurer le NAT Traversal. Autrement, NAT Traversal de congé désactivé.

Remarque: Pour plus d'informations sur la façon configurer des configurations de NAT Traversal, référez-vous aux paramètres de la stratégie d'Échange de clés Internet (IKE) sur des routeurs VPN RV130 et RV130W.

Étape 4. Introduisez une clé entre 8 à 49 caractères longs qui seront permutés entre votre périphérique et le point final distant dans la zone de tri pré-partagée.

Étape 5. De la liste déroulante de mode d'échange, choisissez le mode pour la connexion VPN d'IPSec. La canalisation est le mode par défaut. Cependant, si votre vitesse du réseau est basse, choisissez le mode agressif.

Remarque: Le mode agressif permute les id des points d'extrémité du tunnel en texte clair pendant la connexion, qui a besoin de moins d'heure de permuter mais être moins sécurisé.

Étape 6. De la liste déroulante d'algorithme de chiffrement, choisissez la méthode de cryptage appropriée pour chiffrer la clé pré-partagée dans la phase 1. AES-128 est recommandé pour sa sécurité élevée et représentation rapide. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

Les options disponibles sont définies comme suit :

• DES — Le Norme de chiffrement de données (DES) est des 56-bit, la vieille méthode de cryptage qui n'est pas très sécurisée, mais peut être exigé pour ascendant la compatibilité.

• 3DES — Le Norme 3DES (Triple Data Encryption Standard) est des 168-bit, méthode de cryptage simple utilisée pour augmenter la taille de clé parce qu'elle chiffre les données trois fois. Ceci fournit plus de Sécurité que le DES mais moins de Sécurité qu'AES.

• AES-128 — L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide et plus sécurisé que 3DES. AES-128 est plus rapide mais moins sécurisé qu'AES-192 et AES-256.

• AES-192 — AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisés qu'AES-128, et plus rapides mais moins sécurisent qu'AES-256.

• AES-256 — AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.

Étape 7. De la liste déroulante d'algorithme d'authentification, choisissez la méthode d'authentification appropriée pour déterminer comment les paquets d'en-tête de protocole de Protocole ESP (Encapsulating Security Payload) sont validés dans le Phase 1. Le tunnel VPN doit utiliser la même méthode d'authentification pour les deux extrémités de la connexion.

Les options disponibles sont définies comme suit :

• MD5 — Le MD5 est un algorithme de hachage à sens unique qui produit un condensé 128-bit. Le MD5 calcule plus rapide que SHA-1, mais est moins sécurisés que SHA-1. Le MD5 n'est pas recommandé.

• SHA-1 — SHA-1 est un algorithme de hachage à sens unique qui produit un condensé 160-bit. SHA-1 calcule plus lent que le MD5, mais est plus sécurisé que le MD5.

• SHA2-256 — Spécifie le Secure Hash Algorithm SHA2 avec le condensé 256-bit.

Étape 8. De la liste déroulante de groupe CAD, choisissez le groupe approprié de Protocole DH (Diffie-Hellman) à utiliser avec la clé dans la phase 1. Diffie-Hellman est un protocole d'échange de clé cryptographique qui est utilisé dans la connexion pour permuter les positionnements principaux pré-partagés. Le point fort de l'algorithme est déterminé par des bits.

Les options disponibles sont définies comme suit :

• Group1 (768-bit) — Calcule la clé le plus rapide, mais est les mineurs sécurisés.

• Group2 (1024-bit) — Calcule le plus lent principal, mais est plus sécurisés que Group1.

• Group5 (1536-bit) — Calcule la clé le plus lent, mais est les la plupart sécurisées.

Étape 9. Dans le domaine de durée de vie d'IKE SA, écrivez le temps, en quelques secondes, que la clé automatique d'IKE est valide. Une fois que cette fois expire, une nouvelle clé est négociée automatiquement.

Étape 10. De la liste déroulante IP de gens du pays, choisissez simple si vous comme un utilisateur simple de réseau local accéderiez au tunnel VPN, ou choisissez le sous-réseau si vous voudriez que les plusieurs utilisateurs puissent l'accéder à.

Étape 11. Si le sous-réseau était choisi dans l'étape 10, écrivez l'adresse IP de réseau du sous-réseau dans le champ IP Address. Si simple a été choisi dans l'étape 10, écrit l'adresse IP du seul utilisateur et ignore à l'étape 13.

Étape 12. (Facultatif) si le sous-réseau était choisi dans l'étape 10, écrivez le masque de sous-réseau du réseau local dans le domaine de masque de sous-réseau.

Étape 13. Dans le domaine de vie d'IPSec SA, écrivez le temps en quelques secondes que la connexion VPN demeure active dans le Phase 2. Une fois que cette fois expire, l'association de sécurité IPSec pour la connexion VPN est renégociée.

Étape 14. De la liste déroulante d'algorithme de chiffrement, choisissez la méthode de cryptage appropriée pour chiffrer la clé pré-partagée dans la phase 2. AES-128 est recommandé pour sa sécurité élevée et représentation rapide. Le tunnel VPN doit utiliser la même méthode de cryptage pour chacun des deux ses extrémités.

Les options disponibles sont définies comme suit :

• DES — Le Norme de chiffrement de données (DES) est des 56-bit, la vieille méthode de cryptage qui est le mineur sécurisé, mais peut être exigé pour ascendant la compatibilité.

• 3DES — Le Norme 3DES (Triple Data Encryption Standard) est des 168-bit, méthode de cryptage simple utilisée pour augmenter la taille de clé parce qu'elle chiffre les données trois fois. Ceci fournit plus de Sécurité que le DES mais moins de Sécurité qu'AES.

• AES-128 — L'Advanced Encryption Standard avec la clé 128-bit (AES-128) utilise une clé 128-bit pour le cryptage AES. AES est plus rapide et plus sécurisé que le DES. Généralement AES est également plus rapide et plus sécurisé que 3DES. AES-128 est plus rapide mais moins sécurisé qu'AES-192 et AES-256.

• AES-192 — AES-192 utilise une clé 192-bit pour le cryptage AES. AES-192 est plus lent mais plus sécurisés qu'AES-128, et plus rapides mais moins sécurisent qu'AES-256.

• AES-256 — AES-256 utilise une clé 256-bit pour le cryptage AES. AES-256 est plus lent mais plus sécurisé qu'AES-128 et AES-192.

Étape 15. De la liste déroulante d'algorithme d'authentification, choisissez la méthode d'authentification appropriée pour déterminer comment les paquets d'en-tête de protocole de Protocole ESP (Encapsulating Security Payload) sont validés dans le tunnel VPN de la phase 2.The doit utiliser la même méthode d'authentification pour chacun des deux ses extrémités.

Les options disponibles sont définies comme suit :

• MD5 — Le MD5 est un algorithme de hachage à sens unique qui produit un condensé 128-bit. Le MD5 calcule plus rapide que SHA-1, mais est moins sécurisés que SHA-1. Le MD5 n'est pas recommandé.

• SHA-1 — SHA-1 est un algorithme de hachage à sens unique qui produit un condensé 160-bit. SHA-1 calcule plus lent que le MD5, mais est plus sécurisé que le MD5.

• SHA2-256 — Spécifie le Secure Hash Algorithm SHA2 avec le condensé 256-bit.

Étape 16. (Facultatif) dans le domaine de groupe de touche PF, vérifiez la case à cocher d'enable. Le perfect forward secrecy (PFS) crée une couche de sécurité supplémentaire en protégeant vos données en assurant une nouvelle clé CAD dans le Phase 2. Le processus est fait au cas où la clé CAD générée dans le Phase 1 serait compromise en transit.

Étape 17. De la liste déroulante de groupe CAD, choisissez le groupe approprié de Protocole DH (Diffie-Hellman) à utiliser avec la clé dans le Phase 2.

Les options disponibles sont définies comme suit :

• Group1 (768-bit) — Calcule la clé le plus rapide, mais est les mineurs sécurisés.

• Group2 (1024-bit) — Calcule le plus lent principal, mais est plus sécurisés que Group1.

• Group5 (1536-bit) — Calcule la clé le plus lent, mais est les la plupart sécurisées.

Étape 18. Sauvegarde de clic pour sauvegarder vos configurations.

Pour en savoir plus, contrôle la documentation suivante :

• La fiche technique RV130 - explique les capacités VPN pour les Routeurs de gamme RV130
• La page produit RV130 - inclut des liens pour tous les articles RV130 de Cisco