Wie richte ich Site-to-Site Manual IPSec VPN Tunnel auf dem Omada Gateway im Controller-Modus ein?

Knowledgebase
Configuration Guide
Gateway
06-27-2022
107

Hinweis: Für Omada SDN Controller v 4.3 und höher

Wenn Netzwerke an verschiedenen geografischen Standorten eine Netzwerkverbindung herstellen möchten, wird empfohlen, die IPSec-VPN-Tunnel von Standort zu Standort auf dem Omada-Gateway auf dem Omada SDN-Controller zu erstellen. Das von Omada verwaltete Gateway unterstützt zwei Arten von Site-to-Site-VPNs: Auto IPsec und Manual IPsec .

In diesem Artikel erfahren Sie, wie Sie das Manual IPSec auf dem Omada-Gateway im Controller-Modus konfigurieren. Informationen zum Konfigurieren des automatischen IPSec-VPN finden Sie unter Wie richte ich Site-to-Site Auto IPSec VPN Tunnel auf dem Omada Gateway im Controller-Modus ein?

 

Anwendungsszenario

 

Ein Unternehmen möchte seiner Niederlassung den Zugang zum Netzwerk in der Zentrale ermöglichen. Der Hauptsitz verwendet ein von Omada verwaltetes Gateway, während das Gateway in seiner Niederlassung nicht von einem Omada-Controller verwaltet wird (wir nehmen ER7206 als Beispiel). Außerdem befinden sich die Gateways nicht hinter einem NAT-Gerät, d. h. die Gateways empfangen öffentliche IP-Adressen auf der WAN-Schnittstelle. In diesem Szenario können Sie manuell einen IPSec-VPN-Tunnel über das Internet erstellen. Nehmen Sie als Beispiel die folgende Topologie.

Hinweis: Wenn sich das Omada-Gateway hinter einem NAT-Gerät befindet, stellen Sie zum erfolgreichen Aufbau eines IPSec-VPN-Tunnels sicher, dass der UDP-Port 500 und der UDP-Port 4500 auf dem NAT-Gerät vor dem Gateway geöffnet sind, und richten Sie die lokale ID ein Typ / Remote-ID Geben Sie in den Phase-1-Einstellungen als Namen ein .

 

Aufbau

Schritt 1. Erhalten Sie die Einstellungsparameter, die für manuelles IPSec-VPN erforderlich sind

1) Gehen Sie für das von Omada Controller verwaltete Gateway A zu Geräte und klicken Sie auf das Gateway. Auf der rechten Seite wird ein Eigenschaftsfenster angezeigt . Gehen Sie zu Details> WAN , um die WAN-IP-Adresse des Gateways A abzurufen.

 

 

Gehen Sie zu Einstellungen> Kabelgebundene Netzwerke> LAN> Netzwerke und rufen Sie das lokale Subnetz in der Zentrale ab (hier ist LAN 1, wählen Sie das entsprechende LAN entsprechend Ihrer Netzwerktopologie aus).

 

2) Gehen Sie für Gateway B (hier als Beispiel ER7206) zu Status>System Status und rufen Sie die WAN-IP-Adresse des Gateways B in der Niederlassung ab.

 

Gehen Sie zu Netzwerk> LAN> LAN und rufen Sie das lokale Subnetz in der Zweigstelle (LAN 2) ab.

 

Schritt 2. Erstellen Sie eine neue VPN-Richtlinie auf dem Gateway A, das von Omada Controller im Hauptsitz verwaltet wird

Gehen Sie zu Einstellungen> VPN und klicken Sie auf + Neue VPN-Richtlinie erstellen.

 

Schritt 3. Konfigurieren Sie die Parameter für die neue VPN-Richtlinie für Gateway A.

Geben Sie einen Namen ein, um die VPN-Richtlinie zu identifizieren, wählen Sie den Zweck für den neuen Eintrag als Site-to-Site-VPN und den VPN-Typ als manuelle IPSec aus . Konfigurieren Sie dann die entsprechenden Parameter und klicken Sie auf Erstellen .

Status

Aktivieren Sie das Kontrollkästchen, um den VPN-Tunnel zu aktivieren. 

Remote Gateway

Geben Sie die WAN-IP-Adresse von Gateway B in der Zweigstelle ein (100.100.100.100).

Remote-Subnetze

Geben Sie den IP-Adressbereich des LAN in der Zweigstelle ein (192.168.10.1/24).

Lokale Netzwerke

Wählen Sie die Netzwerke im Hauptsitz (LAN 1) aus, und die VPN-Richtlinie wird auf die ausgewählten Netzwerke angewendet.

Geteilter Schlüssel

Geben Sie den Pre-Shared Key (PSK) ein, der als Authentifizierungsschlüssel dient. Das Gateway in der Zentrale und die Zweigstelle müssen zur Authentifizierung dasselbe PSK verwenden.

WAN

Wählen Sie den WAN-Port aus, an dem der VPN-Tunnel eingerichtet werden soll.

Hinweis: Wenn sich Gateway B (ER7206) im Standalone-Modus befindet, klicken Sie auf Erweiterte Einstellungen und wählen Sie in Phase-1-Settings IKEv1 als Schlüsselaustauschversion aus

Wenn sich das Omada Gateway hinter einem NAT-Gerät befindet, stellen Sie sicher, dass der UDP-Port 500 und der UDP-Port 4500 auf dem NAT-Gerät geöffnet sind, und richten Sie den lokalen ID-Typ / Remote-ID-Typ in den Phase-1-Einstellungen als Namen ein .

 

 

 

Schritt 4. Erstellen Sie eine neue VPN-Richtlinie auf dem Gateway B in der Zweigstelle

Hier nehmen wir als Beispiel ER7206. Gehen Sie zu VPN> IPsec> IPsec-Richtlinie und klicken Sie auf + Hinzufügen .

 

Schritt 5. Konfigurieren Sie die Parameter für die neue VPN-Richtlinie für Gateway B.

Geben Sie einen Richtliniennamen ein, um die VPN-Richtlinie zu identifizieren, und wählen Sie den Modus für den neuen Eintrag als LAN-zu-LAN aus. Konfigurieren Sie dann die entsprechenden Parameter und klicken Sie auf OK .

Remote Gateway

Geben Sie die WAN-IP-Adresse von Gateway A in der Zentrale ein (100.100.100.100).

WAN

Wählen Sie den WAN-Port aus, an dem der VPN-Tunnel eingerichtet werden soll.

Lokales Subnetz

Geben Sie die IP-Adresse des Netzwerks in der Zweigstelle ein (192.168.10.1/24), und die VPN-Richtlinie wird auf das Netzwerk angewendet.

Remote-Subnetz

Geben Sie den IP-Adressbereich des LAN in der Zentrale ein (192.168.0.1/24).

Geteilter Schlüssel

Geben Sie den Pre-Shared Key (PSK) ein, der als Authentifizierungsschlüssel dient. Das Gateway in der Zentrale und die Zweigstelle müssen zur Authentifizierung dasselbe PSK verwenden.

Status

Aktivieren Sie das Kontrollkästchen, um den VPN-Tunnel zu aktivieren.

 

Hinweis: Wenn sich der Router hinter einem NAT-Gerät befindet, stellen Sie sicher, dass UDP-Port 500 und UDP-Port 4500 auf dem NAT-Gerät geöffnet sind, und richten Sie in Phase-1-Einstellungen den lokalen ID-Typ / Remote-ID-Typ als Namen ein .

 

 

 

Überprüfung des manuellen IPSec-VPN-Tunnels

Gehen Sie für das von Omada verwaltete Gateway in der Zentrale zu Insight> VPN-Status> IPsec SA und überprüfen Sie die IPsec SA-Einträge.

 

Gehen Sie für ER7206 zu VPN> IPsec> IPsec SA und überprüfen Sie die IPsec SA-Einträge. Wenn entsprechende Einträge in den Tabellen angezeigt werden, wird der VPN-Tunnel erfolgreich eingerichtet.

 

 

Bitte bewerten Sie dieses Dokument

Verwandte Dokumente