תשובה:
IPSec строим исходя из данных:
DFL:
Внутренняя сеть (lannet): 192.168.1.0/24
IP на WAN (wan_ip): 192.168.110.10
DIR-330:
Внутренняя сеть: 192.168.0.0
IP на WAN: 192.168.110.100
Настройка IPSec на DFL.
Откройте web-браузер, введите IP-адрес межсетевого экрана в адресную строку (по умолчанию - 192.168.1.1) и нажмите Enter. Авторизуйтесь (по умолчанию пароль и логин admin).
Затем добавьте следующие объекты:
IPSec_remote_net: 192.168.0.0/24
IPSec_remote_endpoint: 192.168.110.100
Нажмите на знак «+» рядом с папкой Objects и выберите Address Book, затем нажмите Add, из меню выберите IP4 Host/Network.
В поле Name введите имя, например IPSec_remote_net.
После заполнения всех полей нажмите ОК.
Добавление ключа Pre-Shared Key.
Нажмите на знак «+» рядом с папкой Objects и выберите Authentication Objects, затем нажмите Add, и из меню выберите Pre-Shared Key.
Заполните поля следующим образом:
Name: IPSec_Key
Passphrase
Shared Secret: Введите ключ ключ, например 1029384756Confirm Secret: Введите ключ повторно.
После заполнения всех полей нажмите ОК.
Добавление IPSec.
Нажмите на знак знак «+» рядом с папкой Interfaces и выберите IPSec, затем нажмите Add, из меню выберите IPSec Tunnel.
Заполните поля следующим образом:
Вкладка General - параметры General:
Name: Tunnel
Local Network: lannet
Remote Network: IPSec_remote_net
Remote Endpoint: IPSec_remote_endpoint
Encapsulation Mode: Tunnel
Параметры Algorithms:
IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPsec Life Time: 3600
Затем выберите вкладку Authentication.
Укажите в поле Pre-shared Key: IPSec_Key.
После заполнения всех полей нажмите ОК.
Создание разрешающих правил для доступа из IPSec в lan и наоборот.
Нажмите на знак «+» рядом с папкой Rules, далее на знак «+» рядом с папкой IP Rules и выберите эту папку, нажмите кнопку Add, укажите IP Rule Folder, в поле Name укажите IPSec и нажмите ОK.
Нажмите кнопку Add, выберите IP Rule.
Заполните поля следующим образом:
Вкладка General - параметры General:
Name: IPSec_to_lan
Action: Allow
Service: all_services
Параметры Address Filter:
Source:
Interface: tunnel
Network: IPSec_remote_net
Destination:
Interface: lan
Network: lannet
Нажмите ОК.
Создание второго правила.
Нажмите кнопку Add, выберите IP Rule.
Заполните поля следующим образом:
Вкладка General – параметры General:
Name: lan_to_IPSec
Action: Allow
Service: all_services
Параметры Address Filter:
Source:
Interface: lan
Network: lannet
Destination:
Interface: tunnel
Network: IPSec_remote_net
Нажмите ОК.
Для того, чтобы настройки вступили в силу – необходимо в верхнем меню выбрать Configuration, затем Save and Activate, нажмите ОК и дождитесь сохранения настроек.
Настройка IPSec на DIR-130/330.
Откройте web-браузер и введите IP-адрес DIR-330 в адресную строку (по умолчанию - 192.168.0.1) и нажмите Enter. Авторизуйтесь (по умолчанию пароль и логин - admin).
Нажмите вкладку Setup, в левой панели выберите VPN Settings.
В поле ADD VPN PROFILE: выберите IPSec –Internet Protocol Security и нажмите кнопку Add.
Укажите основные параметры IPSec.
Поставьте галочку в поле Enable и заполните поля следующим образом:
Name: Tunnel
Local Net / Mask: 192.168.0.0/24
Выберите режим: Site to Site
Remote IP: 192.168.110.10
Remote Net / Mask: 192.168.1.0/24
Pre-shared Key: Введите такой же ключ, что ввели при настройке DFL, например 1029384756
Выполните настройку первой фазы.
Заполните поля окна PHASE 1, следующим образом:
Выберите режим: Main mode
Keep Alive / DPD: none
DH Group: 2 – modp 1024-bit
В IKE Proposal List укажите Chipher 3DES, а Hash MD5
IKE Lifetime: 28800
Выполните настройку второй фазы.
Заполните поля окна PHASE 2 следующим образом:
Снимите галочку в поле PFS Enable
В IKE Proposal List укажите Chipher - 3DES, а Hash - MD5
IPSec Lifetime: 3600
Нажмите кнопку Save Settings
