Een Virtual Private Network (VPN) is een beveiligde verbinding tussen twee endpoints. Een privaat netwerk, dat gegevens veilig tussen deze twee locaties of netwerken verstuurt, wordt opgericht door een VPN-tunnel. Een VPN-tunnelverbinding maakt twee pc’s of netwerken mogelijk en maakt het mogelijk gegevens via het internet te verzenden alsof de endpoints zich in een netwerk bevinden. VPN is een goede oplossing voor bedrijven die werknemers hebben die buiten LAN moeten reizen of er niet zijn. Met VPN kunnen deze werknemers toegang tot het LAN hebben en de beschikbare bronnen gebruiken om hun baan te doen. Ook, kan VPN twee of meer plaatsen verbinden, zodat bedrijven met verschillende takken met elkaar kunnen communiceren.
Opmerking: De RV Wired Routers Series biedt twee typen VPN, Gateway to Gateway en Client to Gateway. Om de VPN-verbinding naar behoren te laten werken, moeten de IPSec-waarden aan beide zijden van de verbinding hetzelfde zijn. Bovendien moeten beide zijden van de verbinding aan verschillende LAN’s zijn gelegen. De volgende stappen verklaren hoe te om VPN op de RV Wired Routers serie te vormen.
Voor de toepassing van dit artikel, zal de VPN configuratie Gateway to Gateway zijn.
Dit artikel legt uit hoe u een VPN-tunnel kunt opzetten op RV016 RV042, RV042G en RV082 VPN-routers.
・ RV016
・ RV042
・ RV042G
・ RV082
・ v4.2.1.02
Stap 1. Meld u aan bij de pagina Web Configuration Utility en kies VPN > Gateway to Gateway. De pagina Gateway to Gateway wordt geopend:
Opmerking: Om een client te configureren naar gateway VPN-tunnel kiest u VPN > client naar gateway.
Stap 2. Voer in het veld Naam van de Tunnel de naam van de VPN-tunnel in.
Stap 3. Kies een van de beschikbare WAN-interfaces in de vervolgkeuzelijst Interfaceiten. Dit is de interface die de VPN-tunnel aan de andere kant zal maken.
Stap 4. Kies onder Local Group Setup in de vervolgkeuzelijst Local Security Gateway Type een van de opties die op de lijst staan:
・ IP alleen — Kies deze optie als uw router is ingesteld met een statisch IP-adres voor internetconnectiviteit.
・ IP + Domain Name (FQDN)-verificatie - Kies deze optie als uw router met een statisch IP-adres en een geregistreerde domeinnaam voor internetconnectiviteit is ingesteld.
・ IP + E-mailadres (User FQDN)-verificatie - Kies deze optie als uw router is ingesteld met een statisch IP-adres voor internetconnectiviteit en er een e-mailadres wordt gebruikt voor verificatie.
・ Dynamische IP + Domain Name (FQDN)-verificatie - Kies deze optie als uw router met een dynamisch IP-adres is ingesteld en een dynamische domeinnaam voor verificatie zal worden gebruikt.
・ Dynamische IP + E-mailadres (User FQDN)-verificatie - Kies deze optie als uw router een dynamisch IP-adres voor internetconnectiviteit heeft, maar geen dynamische domeinnaam voor verificatie heeft en in plaats daarvan wordt een e-mailadres gebruikt voor verificatie.
Stap 5. Selecteer onder Local Group Setup in de vervolgkeuzelijst Local Security Group Type een van de opties:
・ IP-adres - Met deze optie kunt u één apparaat specificeren dat deze VPN-tunnel kan gebruiken. U hoeft alleen het IP-adres van het apparaat in te voeren.
・ Subnet - Kies deze optie om alle apparaten toe te staan die tot zelfde voorwerp behoren om de VPN tunnel te gebruiken. U moet het IP-adres van het netwerk en het bijbehorende subnetmasker invoeren.
・ IP-bereik — Kies deze optie om een bereik van apparaten te specificeren dat de VPN-tunnel kan gebruiken. U moet het eerste IP-adres en het laatste IP-adres van het bereik van apparaten invoeren.
Stap 6. Kies onder Instellingen Remote Group in de vervolgkeuzelijst Local Security Gateway Type een van de volgende opties:
・ IP alleen — Kies deze optie als uw router is ingesteld met een statisch IP-adres voor internetconnectiviteit.
・ IP + Domain Name (FQDN)-verificatie - Kies deze optie als uw router met een statisch IP-adres en een geregistreerde domeinnaam voor internetconnectiviteit is ingesteld.
・ IP + E-mailadres (User FQDN)-verificatie - Kies deze optie als uw router is ingesteld met een statisch IP-adres voor internetconnectiviteit en er een e-mailadres wordt gebruikt voor verificatie.
・ Dynamische IP + Domain Name (FQDN)-verificatie - Kies deze optie als uw router met een dynamisch IP-adres is ingesteld en een dynamische domeinnaam voor verificatie zal worden gebruikt.
・ Dynamische IP + E-mailadres (User FQDN)-verificatie - Kies deze optie als uw router een dynamisch IP-adres voor internetconnectiviteit heeft, maar geen dynamische domeinnaam voor verificatie heeft en in plaats daarvan wordt een e-mailadres gebruikt voor verificatie.
Stap 7. Als u IP Alleen als de lokale beveiligingsgateway op afstand kiest, kiest u een van deze opties uit de vervolgkeuzelijst hieronder:
・ IP — Kies deze optie om het IP-adres in het aangrenzende veld in te voeren.
・ IP door DNS opgelost - Kies deze optie als u het IP-adres van de externe gateway niet kent en voer vervolgens de naam van de andere router in het aangrenzende veld in.
Stap 8. Kies onder Instellingen afstandsbediening een van de volgende opties in de vervolgkeuzelijst Type beveiligingsgroep op afstand:
・ IP-adres - Met deze optie kunt u één apparaat specificeren dat deze VPN-tunnel kan gebruiken. U hoeft alleen het IP-adres van het apparaat in te voeren.
・ Subnet - Kies deze optie om alle apparaten toe te staan die tot zelfde voorwerp behoren om de VPN tunnel te gebruiken. U moet het IP-adres van het netwerk en het bijbehorende subnetmasker invoeren.
・ IP-bereik — Kies deze optie om een bereik van apparaten te specificeren dat de VPN-tunnel kan gebruiken. U moet het eerste IP-adres en het laatste IP-adres van het bereik van apparaten invoeren.
Stap 9. Kies een van de opties in de vervolgkeuzelijst Coderingsmodus onder IPSec Setup:
・ Handmatig - Met deze optie kunt u de toets handmatig configureren in plaats van met de andere router in de VPN-verbinding te onderhandelen.
・ IKE met PreShared Key — Kies deze optie om het Internet Key Exchange Protocol (IKE) in te schakelen, dat een beveiligingsassociatie in de VPN-tunnel instelt. IKE gebruikt een vooraf gedeelde sleutel om een externe peer te authentiseren.
Stap 10. DH (Diffie - Hellman) is een belangrijk uitwisselingsprotocol waarmee beide uiteinden van de VPN-tunnel een versleutelde sleutel kunnen delen. In de vervolgkeuzelijsten Fase 1 DH Group en Fase 2 DH Group kiest u een van de volgende opties:
・ Groep 1 - 768 bit - biedt snellere uitwisselingssnelheid, maar minder veiligheid. Als u wilt dat de VPN-sessie snel verloopt en dat de beveiliging geen probleem is, kies dan deze optie.
・ bit van groep 2 - 1024 — biedt meer beveiliging dan groep 1, maar heeft meer verwerkingstijd. Dit is een evenwichtiger keuze op het gebied van veiligheid en snelheid.
・ Groep 3 - 1536 bit - biedt minder snelheid maar meer veiligheid. Als u de VPN-sessie wilt beveiligen en snelheid geen probleem is, kies dan deze optie.
Stap 11. Kies in de vervolgkeuzelijsten Fase 1 Encryption en Fase 2 Encryption een van de volgende opties voor encryptie en decryptie van de sleutel:
・ DES - Data Encryption Standard, dit is een basisalgoritme voor encryptie van gegevens, dat de toets in een 56-bits pakket versleutelt.
・ 3DES - Triple Data Encryption Standard, dit algoritme versleutelt de toets in drie 64 bits pakketten. Het is veiliger dan DES.
・ AES-128 — Advanced Encryption Standard, gebruikt dit algoritme dezelfde sleutel voor encryptie en decryptie. Het biedt meer veiligheid dan DES. Zijn belangrijkste grootte is 128 bits
・ AES-192 — Gelijkaardig aan AES-128, maar de grootte is 192 bits.
・ AES-256 — Gelijkaardig aan AES-128, maar de grootte is 256 bits. Dit is het best beveiligde encryptie algoritme beschikbaar.
Stap 12. Kies een van deze opties in de vervolgkeuzelijsten Fase 1-verificatie en Fase 2-verificatie:
・ SHA1 — Dit algoritme produceert een waarde van 160 bits. Met deze waarde controleert het algoritme op integriteit in de uitgewisselde gegevens en zorgt het ervoor dat de gegevens niet gewijzigd zijn.
・ MD5 — Dit is een algoritme-ontwerp voor authenticatiedoeleinden. Dit algoritme controleert de integriteit van de gedeelde informatie tussen de twee uiteinden van de VPN-tunnel. Het produceert een hash waarde die wordt gedeeld om de sleutel aan beide uiteinden van de VPN-tunnel te authentiseren.
Stap 13. In de velden Levensduur fase 1 SA en fase 2 SA Liftime, Voer de tijd (in seconden) in de VPN-tunnel is actief in een fase. De standaardwaarde voor fase 1 is 28800 seconden. De standaardwaarde voor fase 2 is 3600 seconden.
Opmerking: De configuratie van fase 1 en fase 2 moet op beide routers hetzelfde zijn.
Stap 14. (Optioneel) Controleer het aanvinkvakje Perfect Forward Forward Security (PFS) om perfect forward geheim mogelijk te maken. Met PFS zal IKE Fase 2 onderhandeling nieuwe gegevens voor encryptie en authenticatie genereren, die meer veiligheid afdwingt.
Stap 15. Voer in de PreShared Key de sleutel in die beide routers voor verificatie delen.
Stap 16. (Optioneel) Controleer het aanvinkvakje Minimale Gepineerde Key Complexity om de Gepineerde Key Sterkte-meter in te schakelen die u de sterkte van de door u gemaakte toets vertelt.
Stap 17. (Optioneel) Om geavanceerde encryptie-opties te configureren klikt u op Advanced+.
Stap 18. Klik op Opslaan om uw configuraties op te slaan.
Als u meer functies aan uw VPN-instellingen wilt toevoegen, biedt de RV Wired Routers Series geavanceerde opties. Deze opties verbeteren de beveiligingsfuncties van uw VPN-tunnel. Deze opties zijn optioneel, maar als u geavanceerde opties op één router instelt, zorg er dan voor dat u dezelfde opties op de andere router instelt. In het volgende gedeelte worden deze opties uitgelegd.
Stap 1. Klik in het veld IPSec op de knop Advanced+. De geavanceerde pagina wordt geopend:
Opmerking: Om de geavanceerde opties van een client te configureren naar gateway VPN-tunnel kiest u VPN > Clientverbinding naar gateway. Klik vervolgens op Advanced+.
Het bovenstaande beeld geeft een voorbeeld van een configuratie van de geavanceerde opties.
Stap 2. Controleer onder Geavanceerd de opties die u aan uw VPN-instellingen wilt toevoegen:
・ Aggressieve modus: met deze optie is de onderhandeling over de toets sneller, waardoor de beveiliging afneemt. Controleer het vakje Aggressive Mode als u de snelheid van de VPN-tunnel wilt verbeteren.
・ Comprimeer (Support IP Payload Compression Protocol (IP Comp)) — Met deze optie beperkt het IP Comp-protocol de omvang van de IP-datagrammen. Controleer het vakje Compressed (Support IP payload Compression Protocol (IP Comp)) om deze optie mogelijk te maken
・ Houd Alive. Met deze optie probeert u de VPN-sessie opnieuw op te starten als deze wordt ingetrokken. Controleer het selectieteken Levend houden om deze optie in te schakelen.
・ AH Hash Algorithm - Met deze optie kunt u de beveiliging van de IP-header uitbreiden om de integriteit van het gehele pakket te controleren. Hiervoor kan MD5 of SHA1 worden gebruikt. Selecteer het aanvinkvakje AH Hash Algorithm en kies in de vervolgkeuzelijst MD5 of SHA1 om de verificatie van het gehele pakket mogelijk te maken.
・ Netoverheid Broadcast — Dit is een Windows-protocol dat informatie geeft over de verschillende apparaten die op een netwerk zijn aangesloten, zoals printers, computers en bestandsservers. Normaal gesproken geeft VPN deze informatie niet door. Controleer het aankruisvakje NetConfiguration Broadcast om deze informatie in de VPN-tunnel te verzenden.
・ NAT Traversal — Netwerkadresomzetting stelt gebruikers in een privéLAN in staat om toegang te krijgen tot internetbronnen met behulp van een openbaar IP-adres als bronadres. Als uw router achter een NAT-gateway staat, controleert u het aankruisvakje NAT.
・ Dead Peer Detection Interval - Controleer het vakje Dead Peer Detection Interval en voer (in seconden) het interval in voordat de router een andere pakketten verstuurt om de connectiviteit van de VPN-tunnel te controleren.
Stap 3. Klik op Save om uw configuraties op te slaan.