O objetivo deste documento é criar uma VPN site a site em RV34x Series Routers.
Uma rede virtual privada (VPN) é uma excelente maneira de conectar funcionários remotos a uma rede segura. Uma VPN permite que um host remoto atue como se estivesse conectado à rede protegida no local. Em uma VPN site a site, o roteador local em um local se conecta a um roteador remoto através de um túnel VPN. Esse túnel encapsula dados com segurança usando técnicas de criptografia e autenticação padrão do setor para proteger os dados enviados.
A configuração de uma VPN site a site envolve a configuração do perfil IPsec e da VPN site a site nos dois roteadores. O perfil IPsec já está configurado para facilitar a configuração de VPN site a site, mesmo com um terceiro (como AWS ou Azure). O perfil IPsec contém toda a criptografia necessária para o túnel. A VPN site a site é a configuração, de modo que o roteador saiba a que outro site se conectar. Se optar por não usar o perfil IPsec pré-configurado, você terá a opção de criar um perfil diferente.
Quando você está configurando a VPN site a site, as sub-redes da Rede Local (LAN) em ambos os lados do túnel não podem estar na mesma rede. Por exemplo, se a LAN do Site A usar a sub-rede 192.168.1.x/24, o Site B não poderá usar a mesma sub-rede. O site B precisa usar uma sub-rede diferente, como 192.168.2.x/24.
Para configurar um túnel corretamente, insira as configurações correspondentes (invertendo local e remoto) ao configurar os dois roteadores. Suponha que esse roteador esteja identificado como Roteador A. Insira suas configurações na seção Local Group Setup (Configuração do grupo local) ao inserir as configurações para o outro roteador (Roteador B) na seção Remote Group Setup (Configuração do grupo remoto). Ao configurar o outro roteador (Roteador B), insira suas configurações na seção Local Group Setup (Configuração do grupo local) e insira as configurações do Roteador A na Remote Group Setup (Configuração do grupo remoto).
Abaixo está uma tabela da configuração do Roteador A e do Roteador B. Destacados em negrito estão os parâmetros que são o inverso do roteador oposto. Todos os outros parâmetros são configurados da mesma forma. Neste documento, configuraremos o roteador local, o roteador A.
Campo | Roteador local (Roteador A) Endereço IP da WAN: 140.x.x.x Endereço IP privado (local): 192.168.2.0/24 |
Roteador remoto (Roteador B) Endereço IP da WAN: 145.x.x.x Endereço IP privado (local): 10.1.1.0/24 |
Nome da conexão | VPNTest | VPNTestRemoto |
Perfil IPsec | TestProfile | TestProfile |
Interface | WAN1 | WAN1 |
Ponto Final Remoto | IP estático | IP estático |
Endereço IP do ponto de extremidade remoto | 145.x.x.x | 140.x.x.x |
Chave pré-compartilhada | Teste Cisco123! | Teste Cisco123! |
Tipo de identificador local | IP WAN local | IP WAN local |
Identificador local | 140.x.x.x | 145.x.x.x |
Tipo de IP local | Sub-rede | Sub-rede |
Endereço IP local | 192.168.2.0 | 10.1.1.0 |
Máscara de sub-rede local | 255.255.255.0 | 255.255.255.0 |
Tipo de identificador remoto | IP WAN remoto | IP WAN remoto |
Identificador remoto | 145.x.x.x | 140.x.x.x |
Tipo de IP remoto | Sub-rede | Sub-rede |
Endereço IP remoto | 10.1.1.0 | 192.168.2.0 |
Máscara de sub-rede remota | 255.255.255.0 | 255.255.255.0 |
· RV34x
·1.0.02.16
Etapa 1. Faça login na página de configuração da Web do roteador.
Etapa 2. Navegue para VPN > Site a Site.
Etapa 3. Clique no botão adicionar para adicionar uma nova conexão VPN Site a Site.
Etapa 4. Marque Habilitar para habilitar a configuração. Iss está habilitado por padrão.
Etapa 5. Insira um nome de conexão para o túnel VPN. Essa descrição é para fins de referência e não precisa corresponder ao nome usado na outra extremidade do túnel.
Neste exemplo, vamos inserir VPNTest como nosso nome de conexão.
Etapa 6. Selecione o perfil IPsec que deseja usar para a VPN. O perfil IPsec é a configuração central no IPsec que define os algoritmos como criptografia, autenticação e grupo Diffie-Hellman (DH) para a negociação da Fase I e da Fase II.
Para saber como configurar o perfil IPsec usando IKEv2, clique no link: Configurando o perfil IPsec usando IKEv2 no RV34x.
Note: A opção de usar um perfil de IPsec de terceiros (Amazon Web Services ou Microsoft Azure) está disponível. Este perfil de IPsec já está configurado com todas as seleções necessárias que precisam ser configuradas para o Amazon Web Services ou o Microsoft Azure para que você não precise configurá-lo. Se estiver tentando configurar a VPN de site a site entre o AWS ou o Azure para seu site, você precisará usar as informações que o AWS ou o Azure fornecem a você em seu lado e usar o perfil IPsec pré-configurado ao configurar a VPN de site a site nesse lado.
Para este exemplo, selecionaremos TestProfile como nosso perfil de IPsec.
Passo 7. No campo Interface, selecione a interface usada para o túnel. Neste exemplo, usaremos WAN1 como nossa interface.
Etapa 8. Selecione IP estático, Nome de domínio totalmente qualificado (FQDN) ou IP dinâmico para o endpoint remoto. Digite o endereço IP ou FQDN do endpoint remoto com base na sua seleção.
Selecionamos o IP estático e inserimos em nosso endereço IP de endpoint remoto.
Etapa 1. Selecione Pre-shared Key ou Certificate.
Chave pré-compartilhada: Os pares IKE autenticam-se através da computação e do envio de um hash chaveado de dados que inclui a chave pré-compartilhada. Ambos os pares devem compartilhar a mesma chave secreta. Se o peer receptor for capaz de criar o mesmo hash independentemente usando sua chave pré-compartilhada, ele autenticará o outro peer. As chaves pré-compartilhadas não escalam bem porque cada peer IPsec deve ser configurado com a chave pré-compartilhada de cada outro peer com o qual estabelece uma sessão.
Certificado: O certificado digital é um pacote que contém informações como a identidade de um portador de certificado, incluindo um nome ou endereço IP, o número de série do certificado, a data de expiração do certificado e uma cópia da chave pública do portador do certificado. O formato padrão do certificado digital é definido na especificação X.509. A versão 3 do X.509 define a estrutura de dados para os certificados. Se tiver selecionado Certificado, certifique-se de que o certificado assinado foi importado em Administração > Certificado. Selecione o certificado na lista suspensa para local e remoto.
Para esta demonstração, selecionaremos a chave pré-compartilhada como nosso método de autenticação IKE.
Etapa 2. No campo Pre-shared Key, insira uma chave pré-compartilhada.
Note: Certifique-se de que o roteador remoto use a mesma chave pré-compartilhada.
Etapa 3. O Medidor de força da chave pré-compartilhada mostra a força da chave pré-compartilhada através de barras coloridas. Marque Enable (Habilitar) para habilitar a complexidade mínima de chave pré-compartilhada. A complexidade da chave pré-compartilhada é verificada por padrão. Se quiser exibir a chave pré-compartilhada, marque a caixa de seleção Habilitar.
Etapa 1. Selecione Local WAN IP, IP Address, Local FQDN ou Local User FQDN na lista suspensa. Insira o nome do identificador ou o endereço IP com base na sua seleção. Se você selecionou o IP da WAN local, o endereço IP da WAN do roteador deve ser inserido automaticamente.
Etapa 2. Para o Tipo de IP Local, selecione Sub-rede, Única, Qualquer, Grupo IP ou Interface GRE na lista suspensa.
Neste exemplo, a Sub-rede foi escolhida.
Etapa 3. Insira o endereço IP do dispositivo que pode usar este túnel. Em seguida, insira a máscara de sub-rede.
Para esta demonstração, vamos inserir 192.168.2.0 como nosso endereço IP local e 255.255.255.0 para a máscara de sub-rede.
Etapa 1. Selecione Remote WAN IP, Remote FQDN ou Remote User FQDN na lista suspensa. Insira o nome do identificador ou o endereço IP com base na sua seleção.
Selecionamos o IP da WAN remota como nosso Tipo de Identificador Remoto e inserimos o endereço IP do roteador remoto.
Etapa 2. Selecione Sub-rede, Única, Qualquer Grupo IP na lista suspensa Tipo de IP Remoto.
Neste exemplo, selecionaremos Sub-rede.
Note: Se você tiver selecionado Grupo IP como seu tipo IP remoto, uma janela pop-up para criar um novo grupo IP será exibida.
Etapa 3. Insira o endereço IP e a máscara de sub-rede do dispositivo que pode usar esse túnel.
Nós inserimos 10.1.1.0 para o endereço IP local remoto que pode usar esse túnel e a máscara de sub-rede de 255.255.255.0.
Etapa 4. Clique em Apply para criar uma nova conexão VPN site a site.
Todas as configurações que você inseriu no roteador estão no arquivo de configuração atual, que é volátil e não é retido entre as reinicializações.
Etapa 5. Na parte superior da página, clique no botão Salvar para navegar até o Gerenciamento de configuração para salvar sua configuração atual na configuração de inicialização. Isso serve para manter a configuração após uma reinicialização.
Etapa 6. No Gerenciamento de configuração, verifique se a fonte está executando a configuração e se o destino está na configuração de inicialização. Em seguida, pressione Apply para salvar sua configuração atual na configuração de inicialização. O arquivo de configuração de inicialização agora manterá todas as configurações após a reinicialização.
Agora você deve ter adicionado com êxito uma nova conexão VPN de site a site para o roteador local. Você precisaria configurar seu roteador remoto (Roteador B) usando as informações inversas.