Настройка IPSec между межсетевым экраном DFL-210/800 и DI-804HV
IPSec строим исходя из данных:DFL:
Внутренняя сеть (lannet): 192.168.1.0/24
IP на WAN (wan_ip): 192.168.110.10
DI-804HV:
Внутренняя сеть: 192.168.0.0
IP на WAN: 192.168.110.100
Настройка IPSec на DFL.
Откройте Web-браузер, введите IP-адрес межсетевого экрана в адресную строку (по умолчанию 192.168.1.1) и нажмите Enter. Авторизуйтесь (по умолчанию пароль и логин admin).Далее добавляем нужные нам объекты:
IPSec_remote_net: 192.168.0.0/24
IPSec_remote_endpoint: 192.168.110.100
Кликните по знаку "+" рядом с папкой Objects и выберите Address Book, затем нажмите Add, из меню выберете IP4 Host/Network.
Например, добавим IPSec_remote_net
После заполнения всех полей нажимаем ОК.
Теперь добавим Pre-Shared Key
Кликните по знаку "+" рядом с папкой Objects и выберите Authentication Objects, затем нажмите Add, из меню выберите Pre-Shared Key.
Заполняем поля так:
Name: IPSec_Key
Passphrase
Shared Secret: Указываем ключ, например 1029384756
Confirm Secret: Повторяем ключ.
После заполнения всех полей нажимаем ОК.
Добавляем IPSec. Кликните по знаку "+" рядом с папкой Interfaces и выберите IPSec, затем нажмите Add, из меню выберите IPSec Tunnel.
Поля заполняем так:
В General
Name: Tunnel
Local Network: lannet
Remote Network: IPSec_remote_net
Remote Endpoint: IPSec_remote_endpoint
Encapsulation Mode: Tunnel
В Algorithms
IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPsec Life Time: 3600
Наверху выберите вкладку Authentication.
Укажите в поле Pre-shared Key: IPSec_Key.
После заполнения всех полей нажимаем ОК.
Создаем разрешающие правила для доступа из IPSec в lan и наоборот.
Кликните по знаку "+" рядом с папкой Rules, далее по знаку "+" рядом с папкой IP Rules и выберите эту папку, нажмите кнопку Add, укажите IP Rule Folder, поле Name укажите IPSec и нажмите ОK.
Нажмите кнопку Add, укажите IP Rule.
Заполните поля как показано на рисунке:
В General
Name: IPSec_to_lan
Action: Allow
Service: all_services
В Address Filter
Source:
Interface: tunnel
Network: IPSec_remote_net
Destination:
Interface: lan
Network: lannet
Нажмите ОК.
Создаем второе правило.
Нажмите кнопку Add, укажите IP Rule. Заполните поля как показано на рисунке:
В General
Name: lan_to_IPSec
Action: Allow
Service: all_services
В Address Filter
Source:
Interface: lan
Network: lannet
Destination:
Interface: tunnel
Network: IPSec_remote_net
Нажмите ОК.
Теперь примените настройки. Наверху меню Configuration выберите Save and Activate, нажмите ОК и дождитесь применения настроек.
Настройка IPSec на DI-804HV.
Откройте Web-браузер и введите IP-адрес DI-824HV в адресную строку (по умолчанию 192.168.0.1) и нажмите Enter. Авторизуйтесь.Кликните с верху на вкладке Home, выберите внизу слева VPN.
Поставьте галочку в поле VPN на Enable, в поле Max number of tunnels поставьте 2, далее занесите в поле Tunnel Name с ID 1 tunnel и нажмите apply, дождитесь применения настроек и нажмите continue.
Нажмите на кнопку More напротив заполненного поля tunnel и заполните поля следующим образом:
Tunnel Name: Tunnel
Local Subnet: 192.168.0.0
Local Mask: 255.255.255.0
Remote Subnet: 192.168.1.0
Remote Mask: 255.255.255.0
Remote Gateway: 192.168.110.10
Preshare Key: Введите ключ такой же как ввели при настройки DFL например 1029384756
Нажмите Аpply, дождитесь применения настроек и нажмите continue.
Настраиваем IKE Proposal.
Нажмите кнопку Select IKE Proposal и заполните поля как показано на рисунке:
Шаг 1: В поле Proposal Name укажите Tunnel.
Шаг 2: В поле DH Group из выпадающего меню выберите Group 2.
Шаг 3: В поле Auth algorithm из выпадающего меню выберите MD5.
Шаг 4: В поле Life Time укажите 28800.
Шаг 5 и 6: В поле Proposal ID из выпадающего меню выберите 1 и нажмите кнопку Add to.
После заполнения всех полей нажмите Аpply, дождитесь применения настроек и нажмите continue. Далее нажмите кнопку Back.
Настраиваем IPSec Proposal.
Нажмите на кнопку Select IPSec Proposal и заполните поля как показано на рисунке:
Шаг 1: В поле Proposal Name укажите Tunnel.
Шаг 2: В поле DH Group из выпадающего меню выберите None.
Шаг 3: В поле Auth algorithm из выпадающего меню выберите MD5.
Шаг 4: В поле Life Time укажите 3600.
Шаг 5 и 6: В поле Proposal ID из выпадающего меню выберите 1 и нажмите кнопку Add to.
После заполнения всех полей нажмите Аpply, дождитесь применения настроек и нажмите continue.
Проверяем тоннель IPSec.
Кликните сверху на вкладке Status, выберите внизу слева VPN Status, нажмите кнопку reconnect, затем нажмите кнопку refresh.
Смотрим поля Type и State, если они соответствуют тому, что приведено на рисунке ниже, то тоннель установлен.
Хотелось бы пообщаться... не нашел почту. будьте добры, отпишитесь.
ОтветитьУдалитьНапишите контакты и вопрос
Удалить