תשובה:
В данном случае схема сети выглядит следующим образом:
Примечания:
- для функционирования оборудования в данном режиме необходимо, чтобы промежуточное устройство, на котором выполняется трансляция адресов, поддерживало функцию IPSEC Pass-Through;
- кроме того, обычно требуется настроить транслирование 500-ого порта UDP c внешнего IP адреса на тот, что используется клиентом IPSEC. Например, на DSL-500,504,G604T это делается путем добавления правила IPSEC на определенный LAN IP адрес.
Настройка политики IPSec Windows XP.
Шаг 1> Меню "Пуск" > Программы > Администрирование > Локальная Политика Безопасности либо ручками набить в консоли secpol.msc
Шаг 2> Нажать правой кнопкой на Политики безопасности IP на "локальный компьютер" затем нажать Создать политику безопасности IP.
Шаг 3> Нажать Далее и назвать свою политику например VPN to DI-804HV. Нажать Далее.
Шаг 4> Отключить Использовать правило по умолчанию, затем нажать Далее.
Шаг 5> Удостовериться, что включено Изменить свойства и нажать Готово.
Построение Списка Фильтров
Шаг 1> В свойствах политики отключить Использовать Мастер и нажать Добавить
Шаг 2> Во вкладке Список фильтров IP нажать Добавить.
Шаг 3> Назвать список фильтров, например, WinXP to DI-804HV, отключить Использовать мастер и нажать Добавить.
Шаг 4> В поле Адрес источника пакетов выбрать Мой IP-адрес.
Шаг 5> В поле Адрес назначения пакетов выбрать Определенная подсеть IP. В появившемся поле IP-адрес ввести соответствующий адрес сети, которая находится за DI-804HV, в поле Маска подсети ввести цифры относящиеся к подсети, и нажать OK.
Шаг 6> Нажать OK в окне Список фильтров IP.
Шаг 7> Во вкладке Список фильтров IP нажать Добавить.
Шаг 8> Назвать список фильтров, например, DI-804HV to WinXP, отключить Использовать Мастер и нажать Добавить.
Шаг 9> В поле Адрес источника пакетов выбрать Указанная подсеть IP. В появившемся поле IP-адрес ввести соответствующий адрес сети которая находится за DI-804HV, в поле Маска подсети ввести цифры относящиеся к подсети, и нажать OK (192.168.3.0/255.255.255.0).
Шаг 10 > В поле Адрес назначения пакетов выбрать Мой IP-адрес нажать OK.
Конфигурирование Индивидуальных Правил
Правило 1:
Шаг 1 > На вкладке Список фильтров IP выбрать WinXP to DI-804HV.
Шаг 2 > Щелкнуть вкладку Действия фильтра и выбрать Требуется безопасность затем щелкнуть Изменить.
Шаг 3 > Выбрать Методы Безопасности, отключить Принимать небезопасную связь но отвечать с помощью IPSec. Нажать OK.
Шаг 4 > Выбрать вкладку Проверка подлинности и нажать Изменить.
Шаг 5 > Изменить аутентификацию на Использовать данную строку (общий ключ), ввести ключ, например, 123456 и нажать ОК. Ключ будет показан во вкладке Сведения.
Шаг 6 > Выбрать Параметры тоннеля и выбрать Конечная точка тоннеля определена этим IP-адресом и ввести WAN IP-адрес вашего DI-804HV (192.168.7.20).
Шаг 7 > Во вкладке Тип подключения выбрать Все сетевые подключения и нажать Применить. Нажать OK чтобы сохранить это правило.
Правило 2:
Шаг 1 > В настройках политики VPN to DI-804HV отключить Использовать мастер и нажать Добавить.
Шаг 2 > На вкладке Список фильтров IP выбрать DI-804HV to WinXP.
Шаг 2 > Щелкнуть вкладку Действия фильтра и выбрать Требуется безопасность.
Шаг 4 > Выбрать вкладку Проверка подлинности и нажать Изменить.
Шаг 5 > Изменить аутентификацию на Использовать данную строку (предварительный ключ), ввести ключ ( 123456) и нажать ОК. Ключ будет показан во вкладке Сведения.
Шаг 6 > Выбрать Параметры тоннеля и выбрать Конечная точка тоннеля определена этим IP-адресом и ввести IP адрес вашего ПК с Клиентом Windows XP(192.168.1.3).
Шаг 7 > Во вкладке Тип подключения выбрать Все сетевые подключения и нажать Применить. Нажать OK чтобы сохранить это правило.
Шаг 8 > Нажать Закрыть чтобы закрыть окно свойств политики VPN to DI-804HV.
Назначение политики IPSec
Шаг 1 > В окне Локальные установки безопасности нажать на Политики безопасности IP на "локальный компьютер" затем правой кнопкой щелкнуть политики названную VPN to DI-804HV и нажать Назначить. Вы увидите зеленый плюс на значке папки VPN to DI-804HV и значение Назначенная Политика изменится на Да.
Конфигурирование DI-804HV:
Шаг 1 > Зайти на веб-интерфейс роутера (по умолчанию - 192.168.0.1, username: admin, пароля нет). Сконфигурировать WAN и LAN как показано на рисунке.
Шаг 2 > Нажать на кнопку VPN в левой колонке включить Enable the VPN, затем ввести нужное вам количество тоннелей VPN в Max. number of tunnels.
Шаг 3 > В Tunnel Name написать имя тоннеля (ID номер 1), выбрать IKE, затем нажать More.
Шаг 4 > В Local Subnet и Local Netmask набить соответствующие цифры для LAN в которой находится DI-804HV (192.168.3.0 / 255.255.255.0).
Шаг 5 > В Remote Subnet и Remote Netmask ввести IP-адрес Клиента и маску подсети Клиента (192.168.1.3 / 255.255.255.255).
Шаг 6 > В поле Remote Gateway ввести IP-адрес NAT outside интерфейса промежуточного маршрутизатора (192.168.7.21) и в поле Preshared Key field, ввести ключ (123456), такой же как и был сконфигурирован на Клиенте.
Шаг 7 > Нажать Apply и затем нажать на Select IKE Proposal...
Шаг 8 > Ввести имя для ID номер 1 и выбрать Group 2 из выпадающего меню DH Group.
Шаг 9 > Выбрать выбрать 3DES в Encryption Algorithm и SHA-1 в Authentication Algorithm.
Шаг 10 > Ввести значение Lifetime равным 28800 и выбрать Sec.
Шаг 11 > Выбрать 1 из выпадающего меню Proposal ID и нажать Add To, это добавит то что мы сконфигурировали к IKE Proposal Index. Нажать Apply а затем Back.
Шаг 12 > Нажать Select IPSec Proposal...
Шаг 13 > Ввести имя для предложенного ID номер 1 и выбрать None из выпадающего меню DH Group.
Шаг 14 > Выбрать ESP в Encapsulation Protocol.
Шаг 15 > Выбрать 3DES в Encryption Algorithm и MD5 в Authentication Algorithm.
Шаг 16 > Ввести значение Lifetime равным 28800 и выбрать Sec.
Шаг 17 > Выбрать 1 из выпадающего меню Proposal ID и нажать Add To, это добавит то что мы сконфигурировали к IPSec Proposal Index. Нажать Apply затем нажать Restart.
Установка соединения:
Шаг 1 > На клиентском компьютере включить консоль.
Шаг 2 > В консоли запустить ping x.x.x.x, где x.x.x.x - это адрес компьютера, находящегося за DI-804HV (192.168.3.183)
Шаг 3 > Сначала вы получите несколько сообщений:
Согласование используемого уровня безопасности IP
Согласование используемого уровня безопасности IP
Согласование используемого уровня безопасности IP
Согласование используемого уровня безопасности IP
…
а затем появится статистика по посланным пакетам, это означает что VPN работает.