Вопрос: Настройка IPSec тоннеля между двумя межсетевыми экранами DFL-100

Ответ: 

В качестве примера настройки IPSec соединения между двумя DFL-100 рассмотрим такую схему:

 

Необходимое требование: в локальных подсетях филиала и головного офиса должна быть разная IP-адресация. Например: в филиале адрес подсети 192.168.10.0, в головном офисе 192.168.0.0
Настройки, используемые в этом примере:
Первый DFL-100
WAN IP: 192.168.100.1/24
LAN IP: 192.168.10.1/24
Negotiation ID: admin
ПК, подключенный к первому DFL-100
IP - адрес: 192.168.10.145/24
Шлюз по умолчанию: 192.168.10.1

Второй DFL-100
WAN IP: 192.168.100.2/24
LAN IP: 192.168.0.1/24
Negotiation ID: admin
ПК, подключенный ко второму DFL-100
IP - адрес: 192.168.0.187/24
Шлюз по умолчанию: 192.168.0.1

Версия ПО для DFL-100: тестировались 1.40 и 2.25 во всех возможных комбинациях.

Шаг 1. Настраиваем параметры IP на первом DFL-100

При помощи web-интерфейса настраиваем WAN (внешний IP) и LAN (внутренний IP) межсетевого экрана DFL-100.
Внутренний IP-адрес DFL-100 по умолчанию - 192.168.0.1, поэтому компьютеру, с которого конфигурируется устройство, нужно назначить IP- адрес типа 192.168.0.х
Логин по умолчанию - "admin" , пароль пустой.

Для того чтобы внести изменения в конфигурацию межсетевого экрана, после всех сделанных изменений на соответствующей странице web-интерфейса нужно нажать кнопку Apply. Для сохранения изменений в NV-RAM для версии ПО 1.40 нажимаем кнопку Save Changes.
На WAN интерфейсе настраиваем статический IP - адрес, маску подсети, шлюз по умолчанию, DNS.
На LAN интерфейсе настраиваем IP-адрес, соответствующий адресации, принятой в вашей сети.
Проверить настройки можно на вкладке Device Status:

 

Шаг 2. Настраиваем IPSec на первом DFL-100.

В первую очередь на вкладке Advanced Settings / VPN Settings /IPSec Status настраиваем статус IPSec. По умолчанию, IPSec включен. Далее, проверяем параметр Negotiation ID - этот параметр, заданный на локальном DFL-100, служит для организации тоннеля и указывается на удаленном устройстве. По умолчанию, Negotiation ID=admin. Для простоты, можно использовать одинаковые Negotiation ID на обоих устройствах. Исключение составляют случаи, когда нам нужно организовать несколько тоннелей IPSec, тогда параметр нужно выставить на каждом устройстве уникальный.

 

Далее, на вкладке Advanced Settings / VPN Settings / IPSec Tunnel Mode задаем настройки для конкретного тоннеля. За подробностями понимания всех этих настроек можно обратится к документации по IPSec - она широко представлена в Интернет.
В пояснении нуждается поле Negotiation ID - это как раз тот параметр, который задается на вкладке Advanced Settings / VPN Settings /IPSec Status на устройстве, стоящем на другом конце тоннеля.
Далее, параметр Remote Gateway IP - это IP-адрес WAN-интерфейса устройства, стоящего на другом конце тоннеля, т.е. 192.168.100.2
Параметр Remote IP Network - это внутренняя сеть LAN, подключенная к устройству, стоящему на другом конце тоннеля, т.е. 192.168.0.0
Параметр Remote IP Netmask - маска подсети для предыдущего пункта, т.е. 255.255.255.0
Все остальные параметры должны быть одинаковые на обоих устройствах, организующих IPSec соединение. Примечание: Здесь выбор настроек определяется пользователем исходя из требований производительности или надежности. Приведенные ниже настройки даны в качестве примера. Вы также можете использовать другие комбинации - необходимое требование при этом одно: настройки должны быть идентичны на обоих устройствах, организующих IPSec тоннель!

 

Шаг 3. Настраиваем параметры IP на втором DFL-100
Настройки второго устройства происходят по тому же сценарию.

Вот примеры скриншотов:
Настройки параметров IP:

 

Шаг 4. Настраиваем IPSec на втором DFL-100.
Настройки Advanced Settings / VPN Settings /IPSec Status:
Параметр Negotiation ID совпадает с таким же параметром для DFL-100. Сделано для простоты.

 

Настройки Advanced Settings / VPN Settings / IPSec Tunnel Mode:
Здесь также настройки аналогичны настройкам первого DFL-100, за исключением параметров Remote Gateway IP, Remote IP Network, Remote IP Netmask:
Remote Gateway IP - 192.168.100.1
Remote IP Network - 192.168.10.0
Remote IP Netmask - 255.255.255.0

Пример на рисунке:

 

Теперь для поднятия тоннеля между устройствами посылаем icmp-запрос из одной подсети в другую:

 

Тоннель устанавливается за несколько секунд и после этого пакеты icmp между сетями направляются именно по тоннелю IPsec.
Отследить установку тоннеля IPSec на любом из двух устройств, а также в случае необходимости терминировать тоннель можно на вкладке Device Status / VPN Statistics
Состояние параметра Status "Phase 2 Est" показывает, что тоннель поднялся. Для того, чтобы его терминировать, нужно нажать на кнопку Disconnect