(!) Настройка VPN между маршрутизаторами P-2602/P-662

Как настроить VPN-соединение между двумя модемами P-2602/P-662?

В данной инструкции рассказывается, как настроить VPN-соединение между двумя маршрутизаторами ZyXEL Prestige (P-2602/P-662). VPN-туннель можно также установить и с оборудованием других производителей, поддерживающих данную функцию, а также с программными VPN-клиентами (например, ZyWALL Remote Security Client).


Как показано на рисунке ниже, туннель между Prestige A и Prestige B обеспечивает безопасное прохождение данных между компьютерами PC 1 и PC 2. Пакеты проходят через туннель с использованием протокола IPSec в защищенном виде.



В нашем примере используются следующие IP-адреса:


PC 1

Prestige A

Prestige B

PC 2

192.168.1.33

LAN: 192.168.1.1

WAN: 202.132.154.1

LAN: 192.168.2.1

WAN: 168.10.10.66

192.168.2.33


Примечание: В нашем примере оба VPN-шлюза имеют статические IP-адреса на WAN-интерфейсе. Если один из них использует динамический IP-адрес, то нужно в настройках VPN другого шлюза ввести 0.0.0.0 в поле Secure Gateway. В этом случае, VPN-соединение может быть инициализировано только от стороны с динамическим IP-адресом к стороне со статическим IP-адресом.





Настройка Prestige A


  1. Запустите веб-браузер (например, Internet Explorer) и введите в адресной строке LAN IP-адрес маршрутизатора. По умолчанию LAN IP - 192.168.1.1. Вы увидите веб-конфигуратор и приглашение ввести пароль для авторизации. Пароль по умолчанию 1234.
  2. Вы увидите основное меню веб-конфигуратора, в котором нажмите Advanced и затем VPN.
  3. В меню SUMMARY выберите правило для редактирования и нажмите Edit.
  4. В меню CONFIGURE - IKE установите галочку напротив Active и введите название для этого правила.
  5. Установите IPSec Keying Mode - IKE и Negotiation Mode - Main, такие же настройки и для Prestige B.
  6. В поле Source IP Address Start и Source IP Address End введите IP-адрес PC 1 (безопасный хост в сети Prestige A).
  7. В поле Destination IP Address Start и Destination IP Address End введите IP-адрес PC 2 (безопасный удаленный хост).
  8. В поле My IP Addr введите WAN IP-адрес Prestige A.
  9. В поле Secure Gateway IP Addr укажите WAN IP-адрес удаленного VPN-шлюза Prestige B.
  10. Установите Encapsulation Mode - Tunnel.
  11. Поставьте галочку напротив ESP. (AH не может применяться при использовании трансляции IP-адресов SUA/NAT.)
  12. Установите алгоритмы - Encryption Algorithm и Authentication Algorithm. Такие же настройки должны быть установлены и для Prestige B.
  13. Введите ключ в строке Preshared Key. В нашем примере - 12345678.





Если вы используете SMT-меню для настройки Prestige (например, подключились к маршрутизатору через telnet-соединение или производите настройку через консольный порт), то VPN-соединение настраивается следующим образом:



                     Menu 27.1.1 - IPSec Setup 



          Index #= 1        Name= PrestigeA
          Active= Yes       Keep Alive= No
          Local ID type= IP         Content= 202.132.154.1
          My IP Addr= 202.132.154.1
          Peer ID type= IP          Content= 168.10.10.66   
          Secure Gateway IP Addr= 168.10.10.66 
          Protocol= 0 
            Local:  Addr Type= SINGLE 
              IP Addr Start= 192.168.1.33        End/Subnet Mask= N/A
                 Port Start= 0                   End= N/A
          Remote: Addr Type= SINGLE
              IP Addr Start= 192.168.2.33        End/Subnet Mask= N/A
                 Port Start= 0                 End= N/A   
          Enable Replay Detection= No 
          Key Management= IKE 
          Edit IKE Setup= No 
          Edit Manual Setup= N/A 



                    Press ENTER to Confirm or ESC to Cancel: 


1. Для редактирования настроек IKE в поле Edit IKE Setup выберите Yes и нажмите Enter.


2. Введите настройки для для двух стадий IKE:


На стадии 1 устанавливается защищенный канал для обмена ключами.


На стадии 2 после успешного обмена ключами создается новое  защищенное соединение для передачи данных.


Примечание: настройки меню IKE Setup должны совпадать на обоих модемах Prestige A и Prestige B.



                       Menu 27.1.1.1 - IKE Setup 


                    Phase 1 
                      Negotiation Mode= Main 
                      Pre-Shared Key= 12345678 
                      Encryption Algorithm= DES 
                      Authentication Algorithm= MD5 
                      SA Life Time (Seconds)= 3600 
                      Key Group= DH1 


                    Phase 2 
                      Active Protocol= ESP 
                      Encryption Algorithm= DES 
                      Authentication Algorithm= MD5 
                      SA Life Time (Seconds)= 3600 
                      Encapsulation= Tunnel 
                      Perfect Forward Secrecy (PFS)= None 



                    Press ENTER to Confirm or ESC to Cancel: 





Настройка Prestige B


  1. Запустите веб-браузер (например, Internet Explorer) и введите в адресной строке LAN IP-адрес маршрутизатора и войдите в веб-конфигуратор.
  2. Вы увидите основное меню веб-конфигуратора, в котором нажмите Advanced и затем VPN.
  3. В меню SUMMARY выберите правило для редактирования и нажмите Edit.
  4. В меню CONFIGURE - IKE установите галочку напротив Active и введите название для этого правила.
  5. Установите IPSec Keying Mode - IKE и Negotiation Mode - Main, такие же настройки и для Prestige A.
  6. В поле Source IP Address Start и Source IP Address End введите IP-адрес PC 2 (безопасный хост в сети Prestige B).
  7. В поле Destination IP Address Start и Destination IP Address End введите IP-адрес PC 1 (безопасный удаленный хост).
  8. В поле My IP Addr введите WAN IP-адрес Prestige B.
  9. В поле Secure Gateway IP Addr укажите WAN IP-адрес удаленного VPN-шлюза Prestige A.
  10. Установите Encapsulation Mode - Tunnel.
  11. Поставьте галочку напротив ESP (AH не может применяться при использовании трансляции IP-адресов SUA/NAT).
  12. Установите Encryption Algorithm - DES и Authentication Algorithm - MD5, такие же настройки и для Prestige A.
  13. Введите ключ в строке Preshared Key. В нашем примере - 12345678.


Если вы используете SMT-меню для настройки Prestige (например, подключились к маршрутизатору через telnet-соединение или производите настройку через консольный порт), то VPN-соединение настраивается следующим образом:



             Menu 27.1.1 - IPSec Setup 



          Index #= 1        Name= PrestigeB
          Active= Yes       Keep Alive= No
          Local ID type= IP         Content= 168.10.10.66
          My IP Addr= 168.10.10.66
          Peer ID type= IP          Content= 202.132.154.1   
          Secure Gateway IP Addr= 202.132.154.1 
          Protocol= 0 
            Local:  Addr Type= SINGLE 
              IP Addr Start= 192.168.2.33        End/Subnet Mask= N/A
                 Port Start= 0                   End= N/A
          Remote: Addr Type= SINGLE
              IP Addr Start= 192.168.1.33        End/Subnet Mask= N/A
                 Port Start= 0                 End= N/A    
          Enable Replay Detection= No 
          Key Management= IKE 
          Edit IKE Setup= Yes 
          Edit Manual Setup= N/A 



                    Press ENTER to Confirm or ESC to Cancel: 


1. Для редактирования настроек IKE в поле Edit IKE Setup выберите Yes и нажмите Enter.


2. Введите настройки для для двух стадий IKE:


На стадии 1 устанавливается защещенный канал для обмена ключами.


На стадии 2 после успешного обмена ключами создается новое  защищенное соединение для передачи данных.


Примечание: настройки меню IKE Setup должны совпадать на обоих модемах Prestige A и Prestige B.



                        Menu 27.1.1.1 - IKE Setup


                    Phase 1
                      Negotiation Mode= Main
                      Pre-Shared Key= 12345678
                      Encryption Algorithm= DES
                      Authentication Algorithm= MD5
                      SA Life Time (Seconds)= 3600
                      Key Group= DH1


                    Phase 2
                      Active Protocol= ESP
                      Encryption Algorithm= DES
                      Authentication Algorithm= MD5
                      SA Life Time (Seconds)= 3600
                      Encapsulation= Tunnel
                      Perfect Forward Secrecy (PFS)= None



                    Press ENTER to Confirm or ESC to Cancel:

 

KB-1436

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0