Klausimas: Kaip sukurti IPsec tunelį tarp dviejų DFL įrenginių?

Atsakymas: 

Virtualus privatus tinklas, naudojantis IPsec lan-to-lan tunelius. Pavyzdinėje schemoje pateikti adresai gali skirtis nuo realių tinklų. Svarbu, kad DFL A lan potinklis nesutaptų su DFL B potinkliu.

DFL-A konfigūravimas

1. Objects->Address book -> InterfaceAddresses. Redaguokite šiuos elementus:

Pakeiskite lan_ip į 192.168.1.1

Pakeiskite lannet į 192.168.1.0/24

Pakeiskite wan_ip į 10.90.90.210

Pakeiskite wannet į 10.90.90.0/24

2. Objects -> Address book, įdėkite naują aplanką “RemoteHosts”.

Naują aplanką papildykite IP4 Host/Network:

Vardas: fwB-remotenet; IP adresas: 192.168.10.0/24

Vardas: fwB-remotegw; IP adresas: 10.90.90.160

2. Objects -> VPN objects -> Pre-shared keys.

Sukurkite naują Pre-Shared Key.

Name: fwB-psk.

Passphrase: ********* (toks pat turės būti naudojamas ir DFL B).

Spauskite OK.

3. Interfaces -> IPsec Tunnels. Pasirinkkite add new -> IPsec Tunnel.

Name: fwB-ipsec

Local Network: lannet

Remote Network: fwB-remotenet

Remote Endpoint: fwB-remotegw

Encapsulation Mode: Tunnel

IKE Algorithms: High

IKE Life Time: 28800

IPsec Algorithms: High

IPsec Life Time: 3600

Authentication skiltyje pasirinkite Pre_shared key: fwA-psk.

 

Tada spauskite OK.

4. IP Taisyklės: Rules -> IP Rules.

Sukurkite naują aplanką IP Rules Folder, pavadinimu lan_to_fwB-ipsec

Sukurtame aplanke įrašykite naują taisyklę IP Rule.

Užpildykite General:

Name: allow_all

Action: Allow

Service: all_services

Source Interface: lan

Source Network: lannet

Destination Interface: fwB-ipsec

Destination Network: fwB-remotenet

Užpildę spauskite OK.

Sukurkite antrą taisyklę tame pačiame aplanke.

Užpildykite General:

Name: allow_all

Action: Allow

Service: all_services

Source Interface: fwB-ipsec

Source Network: fwB-remotenet

Destination Interface: lan

Destination Network: lannet

Užpildę spauskite OK.

Išsaugokite ir aktyvuokite naujus DFL A nustatymus: Configuration > Save and Activate.

5. DFL B konfigūravimas.

pasirinkite Objects -> Adrress Book -> InterfaceAddresses.

Pakeiskite lan1_ip į 192.168.10.1

Pakeiskite lan1net į 192.168.10.0/24

Pakeiskite wan1_ip į 10.90.90.160

Pakeiskite wan1net į 10.90.90.0/24

Pasirinkite Objects -> Address book ir sukurkite aplanką RemoteHosts.

Į naują aplaką įdėkite naują IP4 Host/Network:

Name: fwA-remotenet; IP adresas: 192.168.1.0/24

Vardas: fwA-remotegw; IP adresas: 10.90.90.210

6. Objects -> VPN objects -> Prie-Shared keys.

Sukurkite naują Pre-Shared Key.

Name: fwA-psk; slaptažodis toks pat kaip antrajame žingsnyje.

Spauskite OK.

7. Ugniasienės B IPsec tunelis. Interfaces -> IPsec Tunnels.

Sukurkite naują IPsec Tunnel.

Užpildykite General:

Name: fwA-ipsec

Local Network: lannet

Remote Network: fwA-remotenet

Remote Endpoint: fwA-remotegw

Encapsulation Mode: Tunnel

Užpildykite Algorithms:

IKE Algorithms: High

IKE Life Time: 28800

IPsec Algorithms: High

IPsec Life Time: 3600

IPsec Life Time: 0

Užpildykite Authentication:

Authentication: Išrinkite Pre-Shared Key į fwA-psk.

Spauskite OK.

8. IP Taisyklės: Rules -> IP Rules.

Sukurkite naują aplanką IP Rules Folder, pavadinimu lan_to_fwA-ipsec. Į naują aplanką įdėkite naują IP taisyklę IP Rules.

Name: allow_all

Action: Allow

Service: all_services

Address Filter:

Source Interface: lan

Source Network: lannet

Destination Interface: fwA-ipsec

Destination Network: fwA-remotenet

Spauskite OK.

Sukurkite antrą taisyklę tame pačiame aplanke.

Užpildykite General:

Name: allow_all

Action: Allow

Service: all_services

Address Filter:

Source Interface: fwA-ipsec

Source Network: fwA-remotenet

Destination Interface: lan

Destination Network: lannet

Spauskite OK.

Išsaugokite ugniasienės B nustatymus.

Tunelis bus sujungiamas automatiškai, kai tik vieno tinklo vartotojai bandys kreiptis į kitą tinklą.