Nota: Para Omada SDN Controller v 4.3 y superior
Cuando las redes en diferentes ubicaciones geográficas desean establecer una conexión de red. Se recomienda crear los túneles VPN IPsec de sitio a sitio en la puerta de enlace/ Gateway Omada en el controlador Omada SDN. La puerta de enlace administrada de Omada admite dos tipos de VPN de sitio a sitio: IPsec automático e IPsec manual.
Este artículo le mostrará cómo configurar IPsec manual en la puerta de enlace Omada en modo controlador. Para configurar la VPN IPsec automática, consulte ¿Cómo configurar túneles VPN IPsec automáticos de sitio a sitio en la puerta de enlace Omada en modo controlador?
Escenario de aplicación
Una empresa quiere proporcionar a su sucursal el acceso a la red en la sede. La sede central utiliza una puerta de enlace gestionada por Omada.Mientrás que la puerta de enlace de su sucursal no está gestionada por un controlador Omada (tomaremos ER7206 como ejemplo). Además, las puertas de enlace no están detrás de ningún dispositivo NAT, en otras palabras, las puertas de enlace reciben direcciones IP públicas en la interfaz WAN. En este escenario, puede crear un túnel VPN IPsec a través de Internet manualmente. Tome la siguiente topología como ejemplo.
Nota: Si la puerta de enlace Omada está detrás de un dispositivo NAT, para establecer correctamente un túnel VPN IPsec.Asegúrese de que el puerto UDP 500 y el puerto UDP 4500 estén abiertos en el dispositivo NAT frente a la puerta de enlace y configure la ID local. Tipo/Tipo de ID remota como nombre en la configuración de la fase 1.
Configuración
Paso 1. Obtenga los parámetros de configuración necesarios para Manual IPsec VPN
1) Para la puerta de enlace A administrada por Omada Controller.Vaya a Dispositivos y haga clic en la puerta de enlace; aparecerá una ventana de propiedades a la derecha. Vaya a Detalles > WAN para obtener la dirección IP de WAN del Gateway A.
Vaya a Configuración > Redes cableadas > LAN > Redes y obtenga la subred local en la sede central (aquí está la LAN 1. Seleccione la LAN correspondiente según la topología de su red).
2) Para la puerta de enlace B (aquí tomamos ER7206 como ejemplo).Vaya a Estado > Estado del sistema y obtenga la dirección IP WAN de la puerta de enlace B en la sucursal.
Vaya a Red > LAN > LAN y obtenga la subred local en la sucursal (LAN 2)
Go to Settings > VPN and click + Create New VPN Policy.
Ingrese un nombre para identificar la política de VPN, seleccione el propósito de la nueva entrada como VPN de sitio a sitio y el Tipo de VPN como IPsec manual. Luego, configure los parámetros correspondientes y haga clic en Crear.
Estado |
Marque la casilla para habilitar el túnel VPN. |
Puerta de enlace Remota |
Enter the WAN IP address of Gateway B in the branch office (100.100.100.100). |
Remote Subnets |
Enter the IP address range of the LAN in the branch office (192.168.10.1/24). |
Local Networks |
Select the networks in headquarter (LAN 1), and the VPN policy will be applied to the selected networks. |
Pre-Shared Key |
Enter the Pre-Shared Key (PSK) that serves as authentication key. The gateway in headquarter and the branch office must use the same PSK for authentication. |
WAN |
Select the WAN port on which the VPN tunnel will be established. |
Nota: Cuando la puerta de enlace B (ER7206) está en modo independiente, haga clic en Configuración avanzada y seleccione IKEv1 como versión de intercambio de claves en la configuración de fase 1
Si Omada Gateway está detrás de un dispositivo NAT, asegúrese de que el puerto UDP 500 y el puerto UDP 4500 estén abiertos en el dispositivo NAT y configure el Tipo de ID local/Tipo de ID remoto como Nombre en la Configuración de la Fase 1.
Aquí tomaremos ER7206 como ejemplo. Vaya a VPN > IPsec > Política IPsec y haga clic en + Agregar.
Ingrese un nombre de política para identificar la política de VPN y seleccione el modo para la nueva entrada como LAN a LAN. Luego configure los parámetros correspondientes y haga clic en Aceptar/ OK.
Remote Gateway |
Enter the WAN IP address of Gateway A in headquarter (100.100.100.100). |
WAN |
Select the WAN port on which the VPN tunnel will be established. |
Local Subnet |
Enter the IP address of the network in the branch office (192.168.10.1/24), and the VPN policy will be applied to the network. |
Remote Subnet |
Enter the IP address range of the LAN in headquarter (192.168.0.1/24). |
Pre-Shared Key |
Enter the Pre-Shared Key (PSK) that serves as authentication key. The gateway in headquarter and the branch office must use the same PSK for authentication. |
Status |
Check the box to enable the VPN tunnel. |
Nota: Si el enrutador está detrás de un dispositivo NAT, asegúrese de que el puerto UDP 500 y el puerto UDP 4500 estén abiertos en el dispositivo NAT y configure el Tipo de ID local/Tipo de ID remoto como Nombre en la Configuración de fase 1.
Verificación del Túnel VPN IPsec Manual
Para la puerta de enlace administrada de Omada en la sede central, vaya a Insight > Estado de VPN > IPsec SA y verifique las entradas de IPsec SA.
Para ER7206, vaya a VPN > IPsec > IPsec SA y verifique las entradas de IPsec SA. Cuando se muestran las entradas correspondientes en las tablas, el túnel VPN se establece correctamente.