Question: Настройка IPSec тоннеля между двумя маршрутизаторами DI-804HV

Answer: 

В качестве примера настройки IPSec соединения между двумя DI-804HV рассмотрим такую схему:

 

Необходимое требование: в локальных подсетях филиала и головного офиса должна быть разная IP-адресация. Например: в филиале адрес подсети 192.168.0.0, в головном офисе 192.168.3.0
Настройки, используемые в этом примере:

Головной офис:
DI-804HV
WAN IP: 192.168.100.201/24
LAN IP: 192.168.3.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.3.10/24
Шлюз по умолчанию: 192.168.3.1

Филиал
DI-804HV
WAN IP: 192.168.100.195/24
LAN IP: 192.168.0.1/24
ПК, подключенный к DI-804HV
IP - адрес: 192.168.0.187/24
Шлюз по умолчанию: 192.168.0.1

Версия ПО для DI-804HV - 1.34

Шаг 1. Настраиваем параметры IP на DI-804HV
При помощи web-интерфейса настраиваем WAN (внешний IP) и LAN (внутренний IP) межсетевого экрана DI-804HV.
Внутренний IP-адрес DI-804HV по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется устройство, нужно назначить IP- адрес типа 192.168.0.х
Логин по умолчанию - "admin" , пароль пустой.

Для того чтобы внести изменения в конфигурацию DI-804HV, после всех сделанных изменений на соответствующей странице web-интерфейса нужно нажать кнопку Apply. На WAN интерфейсе настраиваем статический IP - адрес, маску подсети, шлюз по умолчанию, DNS.
На LAN интерфейсе настраиваем IP-адрес, соответствующий адресации, принятой в вашей сети.
Проверить настройки можно на вкладке Status / Device Info:

 

Шаг 2. Настраиваем IPSec на первом DI-804HV.
Переходим по адресу Home->VPN
Страница VPN Settings
Здесь нужно включить Enable the VPN, затем ввести нужное вам количество тоннелей VPN в поле Max. number of tunnels
В поле Tunnel Name задать имя тоннеля (ID номер 1), в поле Method выбрать IKE, затем нажать кнопку More:

 

Шаг 3
Страница VPN Settings - Tunnel 1
В поле Local Subnet и Local Netmask задать соответствующие параметры для LAN в которой находится DI-804HV
В поле Remote Subnet и Remote Netmask задать соответствующие параметры для удаленной подсети, находящейся за межсетевым экраном DI-804HV.
В поле Remote Gateway ввести IP-адрес внешнего интерфейса удалённого DI-804HV, и в поле Preshared Key ввести ключ
Нажать на кнопку Apply:

 

Шаг 4
Нажать на кнопку Select IKE Proposal
Страница VPN Settings - Tunnel 1 - Set IKE Proposal
Примечание: Здесь выбор настроек определяется пользователем исходя из требований производительности или надежности. Приведенные ниже настройки даны в качестве примера. Вы также можете использовать другие комбинации - необходимое требование при этом одно: настройки должны быть идентичны на обоих устройствах, организующих IPSec тоннель!
Ввести имя для ID номер 1 и выбрать Group 2 из выпадающего меню DH Group.
Выбрать алгоритм шифрации 3DES в поле Encryption Algorithm и алгоритм аутентификации MD5 в поле Authentication Algorithm
Ввести значение Lifetime равным, например, 86400 и выбрать Sec
Выбрать 1 из выпадающего меню Proposal ID и нажать Add To - это добавит то что мы сконфигурировали к IKE Proposal Index. Нажать Apply а затем Back. Нажать Select IPSec Proposal:

 

Шаг 5
Страница VPN Settings - Tunnel 1 - Set IPSEC Proposal
Примечание: Здесь выбор настроек определяется пользователем исходя из требований производительности или надежности. Приведенные ниже настройки даны в качестве примера. Вы также можете использовать другие комбинации - необходимое требование при этом одно: настройки должны быть идентичны на обоих устройствах, организующих IPSec тоннель!
Ввести имя для предложенного ID номер 1 и выбрать Group 2 из выпадающего меню DH Group
Выбрать ESP в Encapsulation Protocol
Выбрать 3DES в Encryption Algorithm и MD5 в Authentication Algorithm
Ввести значение Lifetime равным 28800 и выбрать Sec.
Выбрать 1 из выпадающего меню Proposal ID и нажать Add To, это добавит то, что мы сконфигурировали к IPSec Proposal Index.
Нажать Apply:

 

Шаг 6
Аналогичным образом настраиваем второй DI-804HV. Настройки "IKE Proposal" и "IPSEC Proposal" у двух маршрутизаторов должны быть совершенно идентичны. Настройки VPN-туннеля у второго маршрутизатора немного отличаются:

 

Все, на этом конфигурирование устройств закончено

Проверка работы.
Теперь для поднятия тоннеля между устройствами посылаем icmp-запрос из одной подсети в другую:

 

Тоннель устанавливается за несколько секунд, и после этого пакеты icmp, как и весь остальной трафик между сетями, направляются именно по тоннелю IPSec.

На маршрутизаторах DI-804HV в логе появляются подобные записи: