Configurando o VPN de Site-para-Site no RV34x

Objetivo

O objetivo deste documento é criar um VPN de Site-para-Site no Roteadores do RV34x Series.

Introdução

Um Virtual Private Network (VPN) é uma grande maneira de conectar trabalhadores remotos a uma rede assegurada. Um VPN permite que um host remoto atue como se foram conectados à rede assegurada no local. Em um VPN de Site-para-Site, o roteador local em um lugar conecta a um roteador remoto através de um túnel VPN. Este túnel encapsula dados firmemente usando a técnica de autenticação e criptografia do padrão para indústria aos dados seguros que são enviados.

A configuração de um VPN de Site-para-Site envolve ajustar o perfil IPSec e a configuração do VPN de Site-para-Site nos dois Roteadores. O perfil IPSec é configurado já para fazê-la fácil estabelecer o VPN de Site-para-Site, mesmo com uma 3ª parte (tal como AW ou azuis celestes). O perfil IPSec contém toda a criptografia necessária para o túnel. O VPN de Site-para-Site é a configuração assim que o roteador conhece qual o outro local a conectar. Se você escolhe não usar o perfil IPSec preconfigured, você tem a opção para criar diferente.

Quando você está configurando o VPN de Site-para-Site, as sub-redes da rede de área local (LAN) em ambos os lados do túnel não podem estar na mesma rede. Por exemplo, se o local A LAN usa a sub-rede 192.168.1.x/24, o local B não pode usar a mesma sub-rede. O local B tem que usar uma sub-rede diferente, tal como 192.168.2.x/24.

Para configurar corretamente um túnel, incorpore ajustes correspondentes (inversão local e remota) ao configurar os dois Roteadores. Supõe que este roteador está identificado como o roteador A. Entrada seus ajustes na seção de instalação do grupo local ao incorporar os ajustes para o outro roteador (roteador B) na seção de instalação do grupo remota. Quando você configurar o outro roteador (o roteador B), incorpora seus ajustes à seção de instalação do grupo local, e incorpora os ajustes do roteador A à instalação de grupo remota.

Está abaixo uma tabela da configuração para o roteador A e o roteador que B. Destaque em corajoso é os parâmetros que são o inverse do roteador oposto. Todos parâmetros restantes são configurados o mesmos. Neste documento nós estaremos configurando o roteador local, o roteador A.

Campo	Roteador local (roteador A) Endereço IP de WAN: 140.x.x.x Endereço IP privado (local): 192.168.2.0/24	Roteador remoto (roteador B) Endereço IP de WAN: 145.x.x.x Endereço IP privado (local): 10.1.1.0/24
Nome da conexão	VPNTest	VPNTestRemote
Perfil IPSec	TestProfile	TestProfile
Interface	WAN1	WAN1
Ponto final remoto	IP Estático	IP Estático
Endereço IP de Um ou Mais Servidores Cisco ICM NT do ponto final remoto	145.x.x.x	140.x.x.x
Chave pré-compartilhada	CiscoTest123!	CiscoTest123!
Tipo local do identificador	IP local de WAN	IP local de WAN
Identificador local	140.x.x.x	145.x.x.x
Tipo do IP local	Sub-rede	Sub-rede
Endereço IP local	192.168.2.0	10.1.1.0
Máscara de sub-rede local	255.255.255.0	255.255.255.0
Tipo remoto do identificador	IP remoto de WAN	IP remoto de WAN
Identificador remoto	145.x.x.x	140.x.x.x
Tipo do IP remoto	Sub-rede	Sub-rede
Endereço IP remoto	10.1.1.0	192.168.2.0
Máscara de sub-rede remota	255.255.255.0	255.255.255.0

Dispositivos aplicáveis

·       RV34x

Versão de software

·       1.0.02.16

Configurando a conexão do VPN de Site-para-Site

Etapa 1. Log na página de configuração da Web de seu roteador.

Etapa 2. Navegue a VPN > site para site.

Etapa 3. Clique o botão Add para adicionar uma conexão nova do VPN de Site-para-Site.

Etapa 4. A verificação permite de permitir a configuração. Iss está habilitado por padrão.

Etapa 5. Dê entrada com um nome de conexão para o túnel VPN. Esta descrição é para finalidades da referência e não tem que combinar o nome usado no outro extremo do túnel.

Neste exemplo, nós estaremos entrando em VPNTest como nosso nome de conexão.

Etapa 6. Selecione o perfil IPSec que você quer usar para o VPN. O perfil IPSec é a configuração central no IPsec que define os algoritmos tais como a criptografia, a autenticação, e o grupo do Diffie-Hellman (DH) para a fase negociação mim e da fase II.

Para aprender como configurar o perfil IPSec usando IKEv2, clique por favor o link: Configurando o perfil IPSec usando IKEv2 no RV34x.

Nota: A opção de usar uma 3ª parte (serviços ou Microsoft Azure de Web das Amazonas) para o perfil IPSec está disponível. Este perfil IPSec é configurado já com todas as seleções necessárias que precisa de ser configurado para serviços ou Microsoft Azure de Web das Amazonas assim que você não tem que configurar-lo. Se você está tentando configurar o VPN de Site-para-Site entre AW ou azuis celestes a seu local, a seguir você precisaria de usar a informação que os AW ou o azul celeste lhe dão em seu lado e usa o perfil IPSec preconfigured ao configurar o VPN de Site-para-Site neste lado.

Para este exemplo, nós estaremos selecionando TestProfile como nosso perfil IPSec.

Passo 7. No campo da relação, selecione a relação usada para o túnel. Neste exemplo, nós estaremos usando o WAN1 como nossa relação.

Etapa 8. Selecione o IP Estático, o nome de domínio totalmente qualificado (FQDN), ou o IP dinâmico para o ponto final remoto. Entre no endereço IP de Um ou Mais Servidores Cisco ICM NT ou no FQDN do ponto final remoto baseado em sua seleção.

Nós selecionamos o IP Estático e entramo-lo em nosso endereço IP de Um ou Mais Servidores Cisco ICM NT do ponto final remoto.

Configurando o método de autenticação de IKE

Etapa 1. Selecione a chave pré-compartilhada ou Certificate.

Chave pré-compartilhada: Os pares IKE autenticam-se computando e enviando uma mistura fechada dos dados que incluem a chave pré-compartilhada. Ambos os pares devem compartilhar da mesma chave secreta. Se o par de recepção pode criar a mesma mistura que usa independentemente sua chave pré-compartilhada, autentica o outro par. As chaves pré-compartilhada não escalam bem porque cada ipsec peer deve ser configurado com a chave pré-compartilhada de cada outro par com que estabelece uma sessão.

Certificado: O certificado digital é um pacote que contenha a informação tal como a identidade de um portador do certificado que incluem um nome ou um endereço IP de Um ou Mais Servidores Cisco ICM NT, o número de série do certificado, a data de expiração do certificado, e uma cópia da chave pública do portador do certificado. O formato padrão do certificado digital é definido na especificação X.509. A versão 3 X.509 define a estrutura de dados para Certificados. Se você selecionou o certificado, certifique-se que seu certificado assinado está importado na administração > no certificado. Selecione o certificado da lista de drop-down para o local e o telecontrole.

Para esta demonstração, nós estaremos selecionando a chave pré-compartilhada como nosso método de autenticação de IKE.

Etapa 2. No campo de chave pré-compartilhada, entre em uma chave pré-compartilhada.

Nota: Certifique-se que o roteador remoto usa a mesma chave pré-compartilhada.

Etapa 3. O medidor da força de chave pré-compartilhada mostra a força da chave pré-compartilhada através das barras coloridas. A verificação permite de permitir a complexidade mínima da chave pré-compartilhada. A complexidade da chave pré-compartilhada é verificada à revelia. Se você gostaria de indicar a chave pré-compartilhada, verifique a caixa de seleção da possibilidade.

Instalação do grupo local

Etapa 1. Selecione o IP local de WAN, o endereço IP de Um ou Mais Servidores Cisco ICM NT, o FQDN local, ou o FQDN do usuário local da lista de drop-down. Incorpore o nome ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do identificador baseado em sua seleção. Se você selecionou o IP local de WAN, o endereço IP de WAN de seu roteador deve automaticamente ser incorporado.

Etapa 2. Para o tipo do IP local, selecione a sub-rede, única, grupo IP, ou relação GRE da lista de drop-down.

Neste exemplo, a sub-rede foi escolhida.

Etapa 3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do dispositivo que pode usar este túnel. Incorpore então a máscara de sub-rede.

Para esta demonstração, nós estaremos entrando em 192.168.2.0 como nosso endereço IP local e em 255.255.255.0 para a máscara de sub-rede.

Instalação de grupo remota

Etapa 1. Selecione o IP remoto de WAN, o FQDN remoto, ou o FQDN do usuário remoto da lista de drop-down. Incorpore o nome ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do identificador baseado em sua seleção.

Nós selecionamos o IP remoto de WAN como nosso tipo remoto do identificador e entramo-lo no endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador remoto.

Etapa 2. Selecione a sub-rede, única, grupo IP do tipo lista de drop-down do IP remoto.

Neste exemplo, nós estaremos selecionando a sub-rede.

Nota: Se você selecionou o grupo IP como seu tipo do IP remoto, uma janela pop-up para criar um grupo IP novo aparecerá.

Etapa 3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT e a máscara de sub-rede do dispositivo que pode usar este túnel.

Nós entramos em 10.1.1.0 para o endereço IP local remoto que pode usar este túnel e a máscara de sub-rede de 255.255.255.0.

Etapa 4. O clique aplica-se para criar uma conexão nova do VPN de Site-para-Site.

Todas as configurações que você incorporou no roteador estão no arquivo de configuração running que é temporário e não é retido entre repartições.

Etapa 5. Na parte superior da página, clique o botão Save Button para navegar ao gerenciamento de configuração para salvar sua configuração running à configuração de inicialização. Esta é reter a configuração após uma repartição.

Etapa 6. No gerenciamento de configuração, certifique-se que a fonte é configuração running e o destino é configuração de inicialização. Então a imprensa aplica-se para salvar sua configuração running à configuração de inicialização. O arquivo de configuração de inicialização reterá agora todas as configurações após uma repartição.

Conclusão

Você deve agora com sucesso ter adicionado uma conexão nova do VPN de Site-para-Site para seu roteador local. Você precisaria de configurar seu roteador remoto (roteador B) usando a informação reversa.