LAN to LAN IPSec pro serie V2910/2930/2950
podívejte se jak nastavit LAN to LAN IPSec tunel pro série routerů DrayTek Vigor
LAN IP: 192.168.11.0 LAN IP: 192.168.10.0
WAN IP: 192.168.1.11 WAN IP: 192.168.1.10
Tunel vytváří klient z Brna směrem na server umístěný v Praze.
A. Nastavení routeru na straně ?VPN server?
1. Common Settings:
- Zaškrtněte "Enable this Profile".
- Napište jméno profilu do ?Profile Name? (na následujícím obrázku ?Brno?).
- Zaškrtněte ?Dial-In? a nastavte čas nečinnosti ?Idle Timeout? na ?nulu? proto, aby strana serveru neodpojovala tento tunel, ale aby byl odpojován pouze ze strany klienta, případně, aby po ztrátě spojení byl tunel automaticky odhlášen pro přijetí nového požadavku o vytvoření tunelu.
2. Dial-Out Setings:
- V části Dial-Out není třeba nic nastavovat, profil není aktivní.
3. Dial-in Settings:
- Zaškrtněte ?IPSec? tunel.
- Zaškrtněte ?Specify Remote VPN Gateway? a napište identifikaci vzdálené VPN brány. Zde lze použít buď veřejnou IP adresu klienta, nebo ?identifikační jméno?, které napíšete v rozšířeném nastavení ?Advance? na straně klienta.
- Klikněte na ?IKE Pre-Shared key?, napište předsdílený klíč a potvrďte.
- Políčka pro metodu ochrany ?IPSec Security Method? můžete ponechat všechna zaškrtnutá, nebo pouze ty, která chcete používat.
4. TCP/IP Network Settings:
- Napište IP adresu vzdálené LAN do položky ?Remote Network IP?. V našem příkladu je to ?Remote network IP?: 192.168.10.0 (viz.úvodní obr.)
- Napište masku vzdálené LAN do položky ?Remote Network mask?. V našem příkladu je to ?Remote network Mask?: 255.255.255.0
Po nastavení všech položek potvrďte nastavení profilu "OK" a po vytvoření spojení lze jeho stav kontrolovat v položce ze stránky hlavního menu ?VPN and Remote Access -? Connection Management?.
B. Nastavení routeru na straně ?VPN klient?
1. Common Settings:
- Zaškrtněte "Enable this Profile".
- Napište jméno profilu do ?Profile Name? (na následujícím obrázku ?Praha").
- Zaškrtněte ?Always on?. Položka ?Iddle timeout? se přepíše na hodnotu ?-1?. Router bude automaticky obnovovat tunel po každém rozpadu spojení.
- Zaškrtněte "Enable PING to keep alive" a do pole "PING to the IP" napište stále dostupnou IP adresu ze vzdálené LAN (např. 192.168.1.1). Pokud by byl tunel přerušen, Vigor se bude snažit spojit na tuto vzdálenou adresu.
2. Dial-Out Settings:
- Zvolte ?IPSec Tunnel?.
- Napište IP adresu VPN serveru (je to veřejná adresa ADSL připojení).
- Zvolte metodu ochrany ?IPSec Security Method?. V našem příkladu je zvolená metoda DES s autentikací (DES with Authentication)
- Klikněte na ?IKE Pre-Shared key?, napište předsdílený klíč a klikněte na OK.
- Klikněte na tlačítko rozšířeného nastavení ?Advance? (viz. níže obr. Okno rozšířených nastavení), zvolte agresivní režim ?Agresive mode? a do položky ?Local ID? napište ?identifikační jméno? klienta, které je kontrolováno na straně serveru.
3. Dial-in Settings:
- V části ?Dial-in Settings? není třeba nic nastavovat, protože tento profil není aktivní, používáme "Dial out".
4. TCP/IP Network Settings:
- Napište IP adresu vzdálené LAN do položky ?Remote Network IP?. V našem příkladu je to ?Remote network IP?: 192.168.11.0
- Napište masku vzdálené LAN do položky ?Remote Network mask?. V našem příkladu je to ?Remote network Mask?: 255.255.255.0
Nastavení profilu ukončíte kliknutím na OK.
Pro tzv. ´´Agresivní mód´´ klikněte na tlačítko ´´Advance´´ a zobrazí se vám okno pokročilých nastavení. Zvolte ´´Aggresive mode´´ a vyplňte viz. obr.
Ze stránky hlavního menu ?VPN and Remote Access - > Connection Management?, zkontrolujte IPSEC spojení.