Wie richte ich Site-to-Site Manual IPSec VPN Tunnel auf dem Omada Gateway im Controller-Modus ein?
Hinweis: Für Omada SDN Controller v 4.3 und höher
Wenn Netzwerke an verschiedenen geografischen Standorten eine Netzwerkverbindung herstellen möchten, wird empfohlen, die IPSec-VPN-Tunnel von Standort zu Standort auf dem Omada-Gateway auf dem Omada SDN-Controller zu erstellen. Das von Omada verwaltete Gateway unterstützt zwei Arten von Site-to-Site-VPNs: Auto IPsec und Manual IPsec .
In diesem Artikel erfahren Sie, wie Sie das Manual IPSec auf dem Omada-Gateway im Controller-Modus konfigurieren. Informationen zum Konfigurieren des automatischen IPSec-VPN finden Sie unter Wie richte ich Site-to-Site Auto IPSec VPN Tunnel auf dem Omada Gateway im Controller-Modus ein?
Anwendungsszenario
Ein Unternehmen möchte seiner Niederlassung den Zugang zum Netzwerk in der Zentrale ermöglichen. Der Hauptsitz verwendet ein von Omada verwaltetes Gateway, während das Gateway in seiner Niederlassung nicht von einem Omada-Controller verwaltet wird (wir nehmen ER7206 als Beispiel). Außerdem befinden sich die Gateways nicht hinter einem NAT-Gerät, d. h. die Gateways empfangen öffentliche IP-Adressen auf der WAN-Schnittstelle. In diesem Szenario können Sie manuell einen IPSec-VPN-Tunnel über das Internet erstellen. Nehmen Sie als Beispiel die folgende Topologie.
Hinweis: Wenn sich das Omada-Gateway hinter einem NAT-Gerät befindet, stellen Sie zum erfolgreichen Aufbau eines IPSec-VPN-Tunnels sicher, dass der UDP-Port 500 und der UDP-Port 4500 auf dem NAT-Gerät vor dem Gateway geöffnet sind, und richten Sie die lokale ID ein Typ / Remote-ID Geben Sie in den Phase-1-Einstellungen als Namen ein .
Aufbau
Schritt 1. Erhalten Sie die Einstellungsparameter, die für manuelles IPSec-VPN erforderlich sind
1) Gehen Sie für das von Omada Controller verwaltete Gateway A zu Geräte und klicken Sie auf das Gateway. Auf der rechten Seite wird ein Eigenschaftsfenster angezeigt . Gehen Sie zu Details> WAN , um die WAN-IP-Adresse des Gateways A abzurufen.
Gehen Sie zu Einstellungen> Kabelgebundene Netzwerke> LAN> Netzwerke und rufen Sie das lokale Subnetz in der Zentrale ab (hier ist LAN 1, wählen Sie das entsprechende LAN entsprechend Ihrer Netzwerktopologie aus).
2) Gehen Sie für Gateway B (hier als Beispiel ER7206) zu Status>System Status und rufen Sie die WAN-IP-Adresse des Gateways B in der Niederlassung ab.
Gehen Sie zu Netzwerk> LAN> LAN und rufen Sie das lokale Subnetz in der Zweigstelle (LAN 2) ab.
Schritt 2. Erstellen Sie eine neue VPN-Richtlinie auf dem Gateway A, das von Omada Controller im Hauptsitz verwaltet wird
Gehen Sie zu Einstellungen> VPN und klicken Sie auf + Neue VPN-Richtlinie erstellen.
Schritt 3. Konfigurieren Sie die Parameter für die neue VPN-Richtlinie für Gateway A.
Geben Sie einen Namen ein, um die VPN-Richtlinie zu identifizieren, wählen Sie den Zweck für den neuen Eintrag als Site-to-Site-VPN und den VPN-Typ als manuelle IPSec aus . Konfigurieren Sie dann die entsprechenden Parameter und klicken Sie auf Erstellen .
Status |
Aktivieren Sie das Kontrollkästchen, um den VPN-Tunnel zu aktivieren. |
Remote Gateway |
Geben Sie die WAN-IP-Adresse von Gateway B in der Zweigstelle ein (100.100.100.100). |
Remote-Subnetze |
Geben Sie den IP-Adressbereich des LAN in der Zweigstelle ein (192.168.10.1/24). |
Lokale Netzwerke |
Wählen Sie die Netzwerke im Hauptsitz (LAN 1) aus, und die VPN-Richtlinie wird auf die ausgewählten Netzwerke angewendet. |
Geteilter Schlüssel |
Geben Sie den Pre-Shared Key (PSK) ein, der als Authentifizierungsschlüssel dient. Das Gateway in der Zentrale und die Zweigstelle müssen zur Authentifizierung dasselbe PSK verwenden. |
WAN |
Wählen Sie den WAN-Port aus, an dem der VPN-Tunnel eingerichtet werden soll. |
Hinweis: Wenn sich Gateway B (ER7206) im Standalone-Modus befindet, klicken Sie auf Erweiterte Einstellungen und wählen Sie in Phase-1-Settings IKEv1 als Schlüsselaustauschversion aus
Wenn sich das Omada Gateway hinter einem NAT-Gerät befindet, stellen Sie sicher, dass der UDP-Port 500 und der UDP-Port 4500 auf dem NAT-Gerät geöffnet sind, und richten Sie den lokalen ID-Typ / Remote-ID-Typ in den Phase-1-Einstellungen als Namen ein .
Schritt 4. Erstellen Sie eine neue VPN-Richtlinie auf dem Gateway B in der Zweigstelle
Hier nehmen wir als Beispiel ER7206. Gehen Sie zu VPN> IPsec> IPsec-Richtlinie und klicken Sie auf + Hinzufügen .
Schritt 5. Konfigurieren Sie die Parameter für die neue VPN-Richtlinie für Gateway B.
Geben Sie einen Richtliniennamen ein, um die VPN-Richtlinie zu identifizieren, und wählen Sie den Modus für den neuen Eintrag als LAN-zu-LAN aus. Konfigurieren Sie dann die entsprechenden Parameter und klicken Sie auf OK .
Remote Gateway |
Geben Sie die WAN-IP-Adresse von Gateway A in der Zentrale ein (100.100.100.100). |
WAN |
Wählen Sie den WAN-Port aus, an dem der VPN-Tunnel eingerichtet werden soll. |
Lokales Subnetz |
Geben Sie die IP-Adresse des Netzwerks in der Zweigstelle ein (192.168.10.1/24), und die VPN-Richtlinie wird auf das Netzwerk angewendet. |
Remote-Subnetz |
Geben Sie den IP-Adressbereich des LAN in der Zentrale ein (192.168.0.1/24). |
Geteilter Schlüssel |
Geben Sie den Pre-Shared Key (PSK) ein, der als Authentifizierungsschlüssel dient. Das Gateway in der Zentrale und die Zweigstelle müssen zur Authentifizierung dasselbe PSK verwenden. |
Status |
Aktivieren Sie das Kontrollkästchen, um den VPN-Tunnel zu aktivieren. |
Hinweis: Wenn sich der Router hinter einem NAT-Gerät befindet, stellen Sie sicher, dass UDP-Port 500 und UDP-Port 4500 auf dem NAT-Gerät geöffnet sind, und richten Sie in Phase-1-Einstellungen den lokalen ID-Typ / Remote-ID-Typ als Namen ein .
Überprüfung des manuellen IPSec-VPN-Tunnels
Gehen Sie für das von Omada verwaltete Gateway in der Zentrale zu Insight> VPN-Status> IPsec SA und überprüfen Sie die IPsec SA-Einträge.
Gehen Sie für ER7206 zu VPN> IPsec> IPsec SA und überprüfen Sie die IPsec SA-Einträge. Wenn entsprechende Einträge in den Tabellen angezeigt werden, wird der VPN-Tunnel erfolgreich eingerichtet.