LAN to LAN VPN IPSec tunel (hlavní mód) mezi Vigor2920 a Vigor3900

V tomto článku si ukážeme jak nastavit IPSec LAN to LAN VPN tunel v hlavním módu v routerech DrayTek Vigor 2920 a pak především ve Vigor3900. Používáme následující aplikaci.

1


Nastavení ve Vigor2920

1. Přihlaste se do routeru Vigor2920 přes webový prohlížeč.
2. Otevřete nyní stránku VPN and Remote Access>>LAN to LAN, kde vytvoříme LAN-to-LAN profil. Následující nastavení je pro trvalé VPN spojení.
2

 

3. Klikněte na volné číslo ve sloupci index, čím se otevře konfigurační stránka. Zadejte jméno pro rychlou identifikaci profilu (v našem případě zadáme HQ3900) a zaškrtněte Enable This Profile. Zde ve Vigor2920 bude profil nastaven jako klient, směr volání musí být Dial-Out. Zaškrtněte Always on pro trvalé VPN spojení.
3

4. Nyní přejděte do části Dial-Out Settings, vyberte IPSec Tunnel a zadejte IP adresu nebo jméno hosta vzdáleného serveru (např. v našem případě: 59.115.245.216). Dále klikněte na tlačítko IKE Pre-Shared Key a nastavte před-sdílený klíč (heslo) PSK; dále zvolte High (ESP) pro vyšší bezpečnost.
4

 

5. V části TCP/IP Network Settings nastavte LAN IP adresu vzdálené strany.
5

 

6. Klikněte na OK pro uložení nastavení.
7. Nyní je IPSec tunel sestaven. Stav VPN tunelů můžete jednoduše sledovat v části VPN and Remote Access >> Connection Management. Dále můžete použít PING diagnostiku (Ping Diagnosis) v menu v části Diagnostics.
6

 

Nastavení ve Vigor3900

1. Přihlaste se do webového rozhraní firewallu Vigor3900.
2. Otevřete stránku VPN and Remote Access>>VPN Profiles.
3. Klikněte na Add pro vytvoření nového profilu.

7

 

4. Zadejte jméno profilu, např.: Server a zaškrtněte Enable This Profile.

8

 

Zrušte Always On přepnutím na Disable. Vigor3900 funguje jako Dial-In server. Vyberte PSK jakožto Auth Type (autentizační typ) a nastavte před-sdílený klíč (Preshared Key ? stejný jako v nastavení klienta Vigor2920). Zadejte WAN IP adresu vzdálené strany (v našem příkladu je to: 85.216.119.12, což je WAN IP adresa Vigor2920) do pole Remote Host.
Zadejte LAN IP adresu vzdálené strany do pole Remote IP/Subnet Mask (např. v našem příkladu: 192.168.26.0).
5. Klikněte na Apply pro uložení nastavení.
6. Nyní je IPSec tunel navázán. Stav VPN tunelů můžete jednoduše kontrolovat na stránce: VPN and Remote Access >> Connection Management. Dále může použít ping diagnostiku, která je dostupná na stránce Diagnostics >>Ping Diagnosis.

9

10