Быстрый поиск
Russia Ukraine Belarus Israel Turkey Lithuania Latvia Estonia Mongolia Moldova Armenia Kazahstan Georgia
Смотрите также
Вопрос: Как настроить резервирование VPN IPSec между двумя DFL.

Ответ: 

Топология:

Основной VPN IPsec будет устанавливаться между WAN1 DFL-860E и WAN DFL-260E, резервный тоннель будет установлен между WAN2 DFL-860E и DMZ DFL-260E.

Данный пример настройки подразумевает, что настройки интерфейсов для подключения к интернет уже настроены, в т.ч. резервирование интернет канала если это необходимо.

Настройка DFL-860E:

Создайте в адресной книге DFL следующие объекты:
remote_net 192.168.20.0/24, remote_dmz 192.168.60.2
remote_wan 192.168.50.2


Пример для CLI:

add Address IP4Address remote_net Address=192.168.20.0/24
add Address IP4Address remote_dmz Address=192.168.60.2
add Address IP4Address remote_wan Address=192.168.50.2

Пример для WEB.

Пройдите в WEB интерфейсе Objects → Address Book, нажмите кнопку Add, из выпадающего меню выберите IP4 Address.

Заполните поля следующим образом:

Name: remote_net
Address: 192.68.20.0/24

Затем нажмите кнопку Ок.

Повторите эти действия создав следующие объекты:

Name: remote_dmz
Address: 192.168.60.2

и

Name: remote_wan
Address: 192.168.50.2.

Далее создадим VPN PSK ключи для IPSec тоннелей в адресной книге:
key1 1234567890
key2 0987654321

Пример для CLI.

add PSK key1 Type=ASCII PSKAscii=1234567890
add PSK key2 Type=ASCII PSKAscii=0987654321

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Key Ring, нажмите кнопку Add, из выпадающего меню выберите Pre-Shared Key.

Заполните поля следующим образом:
Name: key1
Type: Passphrase
Shared Secret: 1234567890
Confirm Secret: 1234567890

 

Затем нажмите кнопку Ок.

Создайте аналогично объект key2 с заполнеными полями следующим образом:

Name: key1
Type: Passphrase
Shared Secret: 0987654321
Confirm Secret: 0987654321

Создание 2х IPSec тоннелей.

Пример для CLI.

add Interface IPsecTunnel tun1 LocalNetwork=InterfaceAddresses/lannet PSK=key1 RemoteNetwork=remote_net RemoteEndpoint=remote_wan IKEAlgorithms=Standard IPsecAlgorithms=Standard AddRouteToRemoteNet=Yes AutoInterfaceNetworkRoute=No AutoEstablish=Yes LocalEndpoint=InterfaceAddresses/wan1_ip SourceInterface=wan1

Пройдите Network → Interfaces and VPN→ VPN and tunnels → IPSec, нажмите кнопку add выберите IPSec tunnel.

Выполните настройки на вкладках как указано ниже на скриншотах.

 

После выполнения настройки тоннеля, нажмите Ок.


Создадим второй IPSec тоннель.

Пример для CLI

add Interface IPsecTunnel tun2 PSK=key2 LocalNetwork=InterfaceAddresses/lannet RemoteNetwork=remote_net RemoteEndpoint=remote_dmz IKEAlgorithms=Standard IPsecAlgorithms=Standard AutoEstablish=yes SourceInterface=wan2 LocalEndpoint=InterfaceAddresses/wan2_ip


Пример для Web интерфейса.

Пройдите в Web интерфейсе Network → Interfaces and VPN→ VPN and tunnels → IPSec, нажмите кнопку add выберите IPSec tunnel. Выполните настройки на вкладках как указано ниже на скриншотах: 

После выполнения настройки тоннеля, нажмите Ок.


ВНИМАНИЕ, только при настройке первого тоннеля изменяются настройки Automatic Route Creation на вкладке Advanced.

Теперь необходимо создать 2 маршрута для того, чтоб привязать IPSec тоннели к WAN интерфейсам.

Пример для CLI.

Выберем таблицу маршрутизации main.

cc RoutingTable main

Добавим маршруты.

add Route Interface=wan1 Network=remote_wan Gateway=InterfaceAddresses/wan1_gw Metric=100

add Route Interface=wan2 Network=remote_dmz Gateway=InterfaceAddresses/wan2_gw Metric=100

Пример для Web интерфейса.

Пройдите Network → Routing → Static Routes → Routing tables → main

Нажмите кнопку add и выберите Route IPv4.

Ниже на скриншотах приведены 2 маршрута которые необходимо создать.

 

Теперь необходимо создать IP правила для того, что бы разрешить трафик в/из VPN.

Для уменьшения количества IP правил, создадим группу c названием VPN_tuns из интерфейсов tun1 и tun2.

Пример для CLI.

add Interface InterfaceGroup VPN_tuns Members=tun1,tun2 Equivalent=Yes

Пример для Web интерфейса.

Пройдите Network → Interfaces and VPN→ Miscellaneous → Interface Groups нажмите кнопку add выберете Interface Group. Настройте так как показано на скриншоте ниже и нажмите Ок.

Создадим два IP правила.

Пример для CLI

Создадим правило разрешающее прохождения трафика в VPN тоннели из lan.

add IPRule Action=Allow SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=VPN_tuns DestinationNetwork=remote_net Service=all_services Name=to_vpn

Создадим правило разрешающее прохождение трафика в lan из VPN.

add IPRule Action=Allow SourceInterface=VPN_tuns SourceNetwork=remote_net DestinationInterface=lan DestinationNetwork=InterfaceAddresses/lannet Service=all_services Name=from_vpn


Пример для Web интерфейса.

Пройдите Policies → Firewalling → Rules → Main IP Rules и нажмите кнопку Аdd выберите IP Rules. Создайте два правила как указанно на скриншотах ниже.


Настройка DFL-260E:

Настройка DFL-260E будет во многом «зеркальна» настройке DFL-860E, поэтому будут использоваться отсылки к настройки предыдущего устройства.

Создайте в адресной книге DFL следующие объекты, этот процесс аналогичный с DFL-860E:
remote_net 192.168.10.0/24, remote_wan2 192.168.40.2
remote_wan1 192.168.30.2

Создайте VPN PSK ключи для IPSec тоннелей в адресной книге, этот процесс аналогичный с DFL-860E:
key1 1234567890
key2 0987654321

Создадим два IPSec тоннеля. Только в этом случае будут отличатся интерфейсы через которые они будут устанавливаться. На DFL-260E нет WAN2 интерфейса, поэтом вместо него будет использован интерфейс DMZ.

Пройдите Network → Interfaces and VPN→ VPN and tunnels → IPSec, нажмите кнопку add выберите IPSec tunnel. Выполните настройки на вкладках как указано ниже на скриншотах.

Пройдите Network → Interfaces and VPN→ VPN and tunnels → IPSec, нажмите кнопку add выберите IPSec tunnel. Выполните настройки на вкладках как указано ниже на скриншотах.

 

 

 

ВНИМАНИЕ, только при настройки первого тоннеля изменяются настройки Automatic Route Creation на вкладке Advanced.

Теперь необходимо создать 2 маршрута для того, чтоб привязать IPSec тоннели к WAN/DMZ интерфейсам. Только в этом случае вместо WAN2 будет использован интерфейс DMZ и сопуствующие ему объекты.

Пройдите Network → Routing → Static Routes → Routing tables → main и нажмите кнопку add и выберите Route IPv4. Настройки 2х маршрутов приведены на скриншотах ниже.

 

Для разрешения прохождения трафика в/из VPN необходимо создать IP правила. Все это делается аналогично с DFL-860E.

Для уменьшения количества IP правил, создадим группу из интерфейсов tun1 и tun2,

Пройдите Network → Interfaces and VPN→ Miscellaneous → Interface Groups нажмите кнопку add выберете Interface Group. Настройте так как показано на скриншоте ниже и нажмите Ок.


Пройдите Policies → Firewalling → Rules → Main IP Rules и нажмите кнопку Аdd выберите IP Rules. Создайте два правила как указанно на скриншотах ниже.


 

Сохраните и активируйте настройки.

Продукты и решения | Поддержка  | Новости  | О компании |