Como configurar túneis VPN IPsec manuais site a site no Omada Gateway no modo controlador
Nota: Para Omada SDN Controller v 4.3 e superior
Quando redes em diferentes localizações geográficas desejam estabelecer uma conexão de rede, é recomendável criar túneis VPN IPsec site a site no gateway Omada no Controlador SDN Omada. O gateway gerenciado Omada oferece suporte a dois tipos de VPNs site a site: Auto IPsec e Manual IPsec .
Este artigo mostrará como configurar o IPsec manual no gateway Omada no modo controlador. Para configurar a VPN IPsec automática, consulte Como configurar túneis VPN IPsec automáticos site a site no gateway Omada no modo controlador?
Cenário de aplicação
Uma empresa deseja fornecer à sua filial acesso à rede da sede. A sede utiliza um gateway gerenciado Omada, enquanto o gateway de sua filial não é gerenciado por um controlador Omada (tomaremos o ER7206 como exemplo). Além disso, os gateways não estão atrás de nenhum dispositivo NAT, ou seja, os gateways estão recebendo endereços IP públicos na interface WAN. Neste cenário, você pode criar manualmente um túnel VPN IPsec pela Internet. Tome a seguinte topologia como exemplo.
Observação: se o Omada Gateway estiver atrás de um dispositivo NAT, para estabelecer um túnel VPN IPsec com sucesso, certifique-se de que a porta UDP 500 e a porta UDP 4500 estejam abertas no dispositivo NAT na frente do gateway e configure o Tipo ID local / Tipo ID remoto, digite como Nome nas Configurações da Fase 1 .
Configuração
1) Para o gateway A gerenciado pelo Omada Controller, vá para Dispositivos e clique no gateway, e uma janela de propriedades aparecerá à direita. Vá para Detalhes > WAN para obter o endereço IP WAN do Gateway A.
Vá para Configurações > Redes com fio > LAN > Redes e obtenha a sub-rede local na matriz (aqui é LAN 1, selecione a LAN correspondente de acordo com sua topologia de rede).
2) Para o gateway B (aqui tomamos o ER7206 como exemplo), vá para Status > Status do Sistema e obtenha o endereço IP WAN do Gateway B na filial.
Vá para Rede > LAN > LAN e obtenha a sub-rede local na filial (LAN 2).
Vá para Configurações > VPN e clique em + Criar nova política de VPN.
Insira um nome para identificar a política de VPN, selecione a finalidade da nova entrada como Site-to-Site VPN e o Tipo VPN como Manual IPsec. Em seguida, configure os parâmetros correspondentes e clique em Criar.
Status |
Marque a caixa para habilitar o túnel VPN. |
Gateway remoto |
Digite o endereço IP WAN do Gateway B na filial (100.100.100.100). |
Sub-redes remotas |
Digite o intervalo de endereços IP da LAN na filial (192.168.10.1/24). |
Redes locais |
Selecione as redes na sede (LAN 1) e a política de VPN será aplicada às redes selecionadas. |
Chave pré-compartilhada |
Insira a Pre-Shared Key (PSK) que serve como chave de autenticação. O gateway na matriz e na filial devem usar o mesmo PSK para autenticação. |
VAN |
Selecione a porta WAN na qual o túnel VPN será estabelecido. |
Observação: quando o gateway B (ER7206) estiver no modo autônomo, clique em Configurações avançadas e selecione IKEv1 como versão de troca de chaves nas configurações da fase 1
Se o Omada Gateway estiver atrás de um dispositivo NAT, certifique-se de que a porta UDP 500 e a porta UDP 4500 estejam abertas no dispositivo NAT e configure o Tipo de ID local/Tipo de ID remoto como Nome nas Configurações da Fase 1.
Aqui, tomaremos o ER7206 como exemplo. Vá para VPN > IPsec > Política IPsec e clique em + Adicionar.
Insira um nome de política para identificar a política VPN e selecione o modo para a nova entrada como LAN-to-LAN. Em seguida, configure os parâmetros correspondentes e clique em OK.
Gateway remoto |
Digite o endereço IP WAN do Gateway A na sede (100.100.100.100). |
VAN |
Selecione a porta WAN na qual o túnel VPN será estabelecido. |
Sub-rede local |
Digite o endereço IP da rede na filial (192.168.10.1/24) e a política de VPN será aplicada à rede. |
Sub-rede remota |
Digite o intervalo de endereços IP da LAN na sede (192.168.0.1/24). |
Chave pré-compartilhada |
Insira a Pre-Shared Key (PSK) que serve como chave de autenticação. O gateway na matriz e na filial devem usar o mesmo PSK para autenticação. |
Status |
Marque a caixa para habilitar o túnel VPN. |
Observação: se o roteador estiver atrás de um dispositivo NAT, certifique-se de que a porta UDP 500 e a porta UDP 4500 estejam abertas no dispositivo NAT e configure o Tipo de ID local/Tipo de ID remoto como Nome nas Configurações da Fase 1.
Verificação do túnel VPN IPsec manual
Para o gateway gerenciado Omada na sede, acesse Insight > Status da VPN > IPsec SA e verifique as entradas do IPsec SA.
Para ER7206, vá para VPN > IPsec > IPsec SA e verifique as entradas IPsec SA. Quando as entradas correspondentes forem exibidas nas tabelas, o túnel VPN foi estabelecido com sucesso.