O objetivo deste documento é criar um VPN de Site-para-Site no Roteadores do RV34x Series.
Um Virtual Private Network (VPN) é uma grande maneira de conectar trabalhadores remotos a uma rede assegurada. Um VPN permite que um host remoto atue como se foram conectados à rede assegurada no local. Em um VPN de Site-para-Site, o roteador local em um lugar conecta a um roteador remoto através de um túnel VPN. Este túnel encapsula dados firmemente usando a técnica de autenticação e criptografia do padrão para indústria aos dados seguros que são enviados.
A configuração de um VPN de Site-para-Site envolve ajustar o perfil IPSec e a configuração do VPN de Site-para-Site nos dois Roteadores. O perfil IPSec é configurado já para fazê-la fácil estabelecer o VPN de Site-para-Site, mesmo com uma 3ª parte (tal como AW ou azuis celestes). O perfil IPSec contém toda a criptografia necessária para o túnel. O VPN de Site-para-Site é a configuração assim que o roteador conhece qual o outro local a conectar. Se você escolhe não usar o perfil IPSec preconfigured, você tem a opção para criar diferente.
Quando você está configurando o VPN de Site-para-Site, as sub-redes da rede de área local (LAN) em ambos os lados do túnel não podem estar na mesma rede. Por exemplo, se o local A LAN usa a sub-rede 192.168.1.x/24, o local B não pode usar a mesma sub-rede. O local B tem que usar uma sub-rede diferente, tal como 192.168.2.x/24.
Para configurar corretamente um túnel, incorpore ajustes correspondentes (inversão local e remota) ao configurar os dois Roteadores. Supõe que este roteador está identificado como o roteador A. Entrada seus ajustes na seção de instalação do grupo local ao incorporar os ajustes para o outro roteador (roteador B) na seção de instalação do grupo remota. Quando você configurar o outro roteador (o roteador B), incorpora seus ajustes à seção de instalação do grupo local, e incorpora os ajustes do roteador A à instalação de grupo remota.
Está abaixo uma tabela da configuração para o roteador A e o roteador que B. Destaque em corajoso é os parâmetros que são o inverse do roteador oposto. Todos parâmetros restantes são configurados o mesmos. Neste documento nós estaremos configurando o roteador local, o roteador A.
Campo | Roteador local (roteador A) Endereço IP de WAN: 140.x.x.x Endereço IP privado (local): 192.168.2.0/24 |
Roteador remoto (roteador B) Endereço IP de WAN: 145.x.x.x Endereço IP privado (local): 10.1.1.0/24 |
Nome da conexão | VPNTest | VPNTestRemote |
Perfil IPSec | TestProfile | TestProfile |
Interface | WAN1 | WAN1 |
Ponto final remoto | IP Estático | IP Estático |
Endereço IP de Um ou Mais Servidores Cisco ICM NT do ponto final remoto | 145.x.x.x | 140.x.x.x |
Chave pré-compartilhada | CiscoTest123! | CiscoTest123! |
Tipo local do identificador | IP local de WAN | IP local de WAN |
Identificador local | 140.x.x.x | 145.x.x.x |
Tipo do IP local | Sub-rede | Sub-rede |
Endereço IP local | 192.168.2.0 | 10.1.1.0 |
Máscara de sub-rede local | 255.255.255.0 | 255.255.255.0 |
Tipo remoto do identificador | IP remoto de WAN | IP remoto de WAN |
Identificador remoto | 145.x.x.x | 140.x.x.x |
Tipo do IP remoto | Sub-rede | Sub-rede |
Endereço IP remoto | 10.1.1.0 | 192.168.2.0 |
Máscara de sub-rede remota | 255.255.255.0 | 255.255.255.0 |
· RV34x
· 1.0.02.16
Etapa 1. Log na página de configuração da Web de seu roteador.
Etapa 2. Navegue a VPN > site para site.
Etapa 3. Clique o botão Add para adicionar uma conexão nova do VPN de Site-para-Site.
Etapa 4. A verificação permite de permitir a configuração. Iss está habilitado por padrão.
Etapa 5. Dê entrada com um nome de conexão para o túnel VPN. Esta descrição é para finalidades da referência e não tem que combinar o nome usado no outro extremo do túnel.
Neste exemplo, nós estaremos entrando em VPNTest como nosso nome de conexão.
Etapa 6. Selecione o perfil IPSec que você quer usar para o VPN. O perfil IPSec é a configuração central no IPsec que define os algoritmos tais como a criptografia, a autenticação, e o grupo do Diffie-Hellman (DH) para a fase negociação mim e da fase II.
Para aprender como configurar o perfil IPSec usando IKEv2, clique por favor o link: Configurando o perfil IPSec usando IKEv2 no RV34x.
Nota: A opção de usar uma 3ª parte (serviços ou Microsoft Azure de Web das Amazonas) para o perfil IPSec está disponível. Este perfil IPSec é configurado já com todas as seleções necessárias que precisa de ser configurado para serviços ou Microsoft Azure de Web das Amazonas assim que você não tem que configurar-lo. Se você está tentando configurar o VPN de Site-para-Site entre AW ou azuis celestes a seu local, a seguir você precisaria de usar a informação que os AW ou o azul celeste lhe dão em seu lado e usa o perfil IPSec preconfigured ao configurar o VPN de Site-para-Site neste lado.
Para este exemplo, nós estaremos selecionando TestProfile como nosso perfil IPSec.
Passo 7. No campo da relação, selecione a relação usada para o túnel. Neste exemplo, nós estaremos usando o WAN1 como nossa relação.
Etapa 8. Selecione o IP Estático, o nome de domínio totalmente qualificado (FQDN), ou o IP dinâmico para o ponto final remoto. Entre no endereço IP de Um ou Mais Servidores Cisco ICM NT ou no FQDN do ponto final remoto baseado em sua seleção.
Nós selecionamos o IP Estático e entramo-lo em nosso endereço IP de Um ou Mais Servidores Cisco ICM NT do ponto final remoto.
Etapa 1. Selecione a chave pré-compartilhada ou Certificate.
Chave pré-compartilhada: Os pares IKE autenticam-se computando e enviando uma mistura fechada dos dados que incluem a chave pré-compartilhada. Ambos os pares devem compartilhar da mesma chave secreta. Se o par de recepção pode criar a mesma mistura que usa independentemente sua chave pré-compartilhada, autentica o outro par. As chaves pré-compartilhada não escalam bem porque cada ipsec peer deve ser configurado com a chave pré-compartilhada de cada outro par com que estabelece uma sessão.
Certificado: O certificado digital é um pacote que contenha a informação tal como a identidade de um portador do certificado que incluem um nome ou um endereço IP de Um ou Mais Servidores Cisco ICM NT, o número de série do certificado, a data de expiração do certificado, e uma cópia da chave pública do portador do certificado. O formato padrão do certificado digital é definido na especificação X.509. A versão 3 X.509 define a estrutura de dados para Certificados. Se você selecionou o certificado, certifique-se que seu certificado assinado está importado na administração > no certificado. Selecione o certificado da lista de drop-down para o local e o telecontrole.
Para esta demonstração, nós estaremos selecionando a chave pré-compartilhada como nosso método de autenticação de IKE.
Etapa 2. No campo de chave pré-compartilhada, entre em uma chave pré-compartilhada.
Nota: Certifique-se que o roteador remoto usa a mesma chave pré-compartilhada.
Etapa 3. O medidor da força de chave pré-compartilhada mostra a força da chave pré-compartilhada através das barras coloridas. A verificação permite de permitir a complexidade mínima da chave pré-compartilhada. A complexidade da chave pré-compartilhada é verificada à revelia. Se você gostaria de indicar a chave pré-compartilhada, verifique a caixa de seleção da possibilidade.
Etapa 1. Selecione o IP local de WAN, o endereço IP de Um ou Mais Servidores Cisco ICM NT, o FQDN local, ou o FQDN do usuário local da lista de drop-down. Incorpore o nome ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do identificador baseado em sua seleção. Se você selecionou o IP local de WAN, o endereço IP de WAN de seu roteador deve automaticamente ser incorporado.
Etapa 2. Para o tipo do IP local, selecione a sub-rede, única, grupo IP, ou relação GRE da lista de drop-down.
Neste exemplo, a sub-rede foi escolhida.
Etapa 3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do dispositivo que pode usar este túnel. Incorpore então a máscara de sub-rede.
Para esta demonstração, nós estaremos entrando em 192.168.2.0 como nosso endereço IP local e em 255.255.255.0 para a máscara de sub-rede.
Etapa 1. Selecione o IP remoto de WAN, o FQDN remoto, ou o FQDN do usuário remoto da lista de drop-down. Incorpore o nome ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do identificador baseado em sua seleção.
Nós selecionamos o IP remoto de WAN como nosso tipo remoto do identificador e entramo-lo no endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador remoto.
Etapa 2. Selecione a sub-rede, única, grupo IP do tipo lista de drop-down do IP remoto.
Neste exemplo, nós estaremos selecionando a sub-rede.
Nota: Se você selecionou o grupo IP como seu tipo do IP remoto, uma janela pop-up para criar um grupo IP novo aparecerá.
Etapa 3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT e a máscara de sub-rede do dispositivo que pode usar este túnel.
Nós entramos em 10.1.1.0 para o endereço IP local remoto que pode usar este túnel e a máscara de sub-rede de 255.255.255.0.
Etapa 4. O clique aplica-se para criar uma conexão nova do VPN de Site-para-Site.
Todas as configurações que você incorporou no roteador estão no arquivo de configuração running que é temporário e não é retido entre repartições.
Etapa 5. Na parte superior da página, clique o botão Save Button para navegar ao gerenciamento de configuração para salvar sua configuração running à configuração de inicialização. Esta é reter a configuração após uma repartição.
Etapa 6. No gerenciamento de configuração, certifique-se que a fonte é configuração running e o destino é configuração de inicialização. Então a imprensa aplica-se para salvar sua configuração running à configuração de inicialização. O arquivo de configuração de inicialização reterá agora todas as configurações após uma repartição.
Você deve agora com sucesso ter adicionado uma conexão nova do VPN de Site-para-Site para seu roteador local. Você precisaria de configurar seu roteador remoto (roteador B) usando a informação reversa.