LAN to LAN IPSec VPN tunel mezi Vigor 2130/2750 a Vigor2820/2830/2850 v agresívním módu (Aggressive mode)

V tomto článku se podíváme na to jak nastavit LAN to LAN IPSec VPN tunel mezi routery Vigor 2130 a Vigor 2820 za použití agresívního módu (aggresive mode).

V našem příkladu použijeme následující aplikaci:

1


Příklad 1: Směr VPN z Vigor 2130 do Vigor 2820

Nastavení VPN ve Vigor 2130

1. Vytvoříme LAN-to-LAN VPN profil.
2
2. Zaškrtněte volbu Enabled a vyplňte položku Name (jméno). V našem příkladu jsme zvolili jméno ?Demo?.
3. Do pole Remote IP zadejte WAN IP adresu routeru Vigor 2820.
4. U IKE phase 1 mode zvolte Aggressive Mode.
5. Nyní zadejte předsdílený klíč do pole pre-shared key, který musí být shodný s Vigor 2820.
6. Nastavte příslušnou identitu pro Local Identity a Remote Identity.
Během vyjednávání spojení VPN IPSec v agresívním módu musí VPN klient poslat svoji identitu VPN serveru k odsouhlasení. VPN klient může rovněž odsouhlasit identitu VPN serveru, což je volitelná funkce. V tomto příkladu nastavujeme hodnotu ´vigor2130´ jako identitu pro router Vigor2130 a ?vigor2820? jako identitu pro router Vigor2820.
7. Do pole Local Network / Mask zadejte subsíť použitou ve Vigor 2130. Do pole Remote Network / Mask zadejte subsíť  použitou ve Vigor2820.
8. Pro IKE phase 1 a IKE phase 2 použijte výchozích hodnot ?Automatic?.
9. Nyní klikněte na OK.
10. Přístupem do VPN sítě ve Vigor 2820 z  PC za routerem Vigor 2130 dojde k inicializaci VPN spojení. Např. příkazem ping 192.168.1.x z PC (192.168.30.x). Vigor 2130 spustí vytáčení IPSec VPN tunelu do Vigor 2820. Po úspěšném připojení VPN můžete sledovat její stav na stránce VPN and Remote Acces >> LAN to LAN.

3

Nastavení VPN ve Vigor 2820

1. Vytvoříme LAN-to-LAN VPN profil.
4
2. Zaškrtněte volbu Enable a vyplňte pole Profile name. V našem příkladu jsme zvolili jméno ?test?.
3. V části Call Direction vyberte Dial-in.
4. V části Dial-Out Settings zvolte IPSec Tunnel a klikněte na tlačítko Advanced.
5. Ve vyskakovacím okně zadejte hodnotu ´vigor2820´ do pole Local ID. Klikněte na OK, čímž se vrátíte zpět na nastavení profilu VPN.
5
6. V části Dial-In Settings povolte Specify Remote VPN Gateway a do pole Peer ID zadejte vigor2130.
7. Nastavte pre-shared key, který se musí shodovat s routerem Vigor2130.
8. Do políček Remote Network IP / Mask zadejte subsíť použitou ve Vigor  2130.
9. Klikněte na OK.

Pozn.: Vigor2130 podporuje následující:

For phase 1
Mode Selection                         Proposals will be sent
When you select Automatic        3DES, SHA1, Group 2
When you select 3DES              3DES, MD5, Group 5
When you select AES(any)        AES, MD5, Group 5
When you select AES-128         AES-128, MD5, Group 5
When you select AES-192         AES-192, MD5, Group 5
When you select AES-256         AES-256, MD5, Group 5

For phase 2
Mode Selection                           Proposals will be sent
When you select Automatic          AES-128, MD5; AES-128, SHA1;
                                                 AES-192, MD5; AES-192, SHA1;
                                                 AES-256, MD5; AES-256, SHA1;
                                                 3DES, SHA1; 3DES, MD5
When you select 3DES                3DES, MD5; 3DES, SHA1
When you select AES(any)          AES-256, MD5; AES-256, SHA1
When you select AES-128           AES-128, MD5; AES-128, SHA1
When you select AES-192           AES-192, MD5; AES-192, SHA1
When you select AES-256           AES-256, MD5; AES-256, SHA1


Příklad 2: Směr VPN z Vigor 2820 do Vigor 2130

Nastavení VPN ve Vigor 2130

1. Vytvoříme LAN-to-LAN VPN profil.
6
2. Zaškrtněte volbu Enabled a do pole Name zadejte jméno profilu.
3. Do pole Remote IP zadejte 0.0.0.0 .
4. V části IKE phase 1 mode vyberte Aggressive Mode.
5. Do pole Pre-shared key, zadejte předsdílený klíč použitý ve Vigor 2820.
6. Nastavte příslušné identity Local Identity a Remote Identity v souladu s nastavením routerů Vigor 2130 a vigor 2820.
Během vyjednávání spojení VPN IPSec v agresívním módu musí VPN klient poslat svoji identitu VPN serveru k odsouhlasení. VPN klient může rovněž odsouhlasit identitu VPN serveru, což je volitelná funkce. V tomto příkladu nekontrolujeme identitu VPN serveru, takže nastavujeme pouze identitu routeru Vigor 2820.
7. Do pole Local Network / Mask zadejte subsíť použitou ve Vigor 2130.
8. Do pole Remote Network / Mask zadejte subsíť použitou ve Vigor 2820.
9. V části IKE phase 1 a IKE phase 2 proposal ponechte výchozí hodnotu ?Automatic?.
10. Po navázání VPN spojení , můžete sledovat stav VPN v části, viz. obrázek níže.

7

Nastavení VPN ve Vigor 2820

1. Vytvoříme LAN-to-LAN VPN profil.
2. Zaškrtněte volbu Enable a do pole profile name zadejte název profilu VPN. V našem případě jsme použili ?test?.
8
3. V části Call Direction zvolte Dial-Out a povolte Always on.
4. Dále vyberte IPSec Tunnel a v části Server IP/Host Name for VPN zadejte WAN IP adresu routeru Vigor 2130.
5. Kliknutím na tlačítko IKE pre-shared key zadejte předsdílený klíč, který je použit ve Vigor 2130.
6. V části IPSec security method zvolte ESP (High) a 3DES with Authentication.
7. Klikněte na tlačítko Advanced.
9
8. Ve vyskakovacím okně vyberte prosím Aggressive mode a zvolte ?DES_MD5_G2/DES_SHA1_G2/3DES_MD5_G2/3DES_SHA1_G2? jakožto IKE phase 1. Do pole Local ID zadejte hodnotu vigor2820. Klikněte na tlačítko OK, čímž se vrátíte na nastavení profilu VPN.
9. Do pole Remote Network IP / Mask zadejte subsíť použitou ve Vigor 2130.
10. Klikněte na OK.