¿Cómo configurar túneles VPN IPsec manuales de sitio a sitio en Omada Gateway en modo controlador?
Nota: Para Omada SDN Controller v 4.3 y superior
Cuando las redes en diferentes ubicaciones geográficas desean establecer una conexión de red, se recomienda crear túneles VPN IPsec de sitio a sitio en la puerta de enlace de Omada en el controlador SDN de Omada. La puerta de enlace administrada Omada admite dos tipos de VPN de sitio a sitio: IPsec automático e IPsec manual .
Este artículo le mostrará cómo configurar IPsec manual en la puerta de enlace Omada en modo controlador, para configurar Auto IPsec VPN, consulte ¿Cómo configurar túneles VPN IPsec automático de sitio a sitio en la puerta de enlace Omada en modo controlador?
Escenario de aplicación
Una empresa quiere proporcionar a su sucursal el acceso a la red en la sede. La sede utiliza una puerta de enlace administrada por Omada, mientras que la puerta de enlace en su sucursal no está administrada por un controlador Omada (tomaremos ER7206 como ejemplo). Además, las puertas de enlace no están detrás de ningún dispositivo NAT, en otras palabras, las puertas de enlace reciben direcciones IP públicas en la interfaz WAN. En este escenario, puede crear un túnel VPN IPsec a través de Internet manualmente. Tome la siguiente topología como ejemplo.
Nota: Si la puerta de enlace está detrás de un dispositivo NAT, para establecer un túnel VPN IPsec con éxito, asegúrese de que el puerto UDP 500 y el puerto UDP 4500 estén abiertos en el dispositivo NAT frente a la puerta de enlace Omada.
Configuración
1) Para la puerta de enlace A administrada por Omada Controller, vaya a Dispositivos y haga clic en la puerta de enlace, y aparecerá una ventana de propiedades a la derecha. Vaya a Detalles> WAN para obtener la dirección IP WAN del Gateway A.
Vaya a Configuración> Redes cableadas> LAN> Redes y obtenga la subred local en la sede (aquí está la LAN 1, seleccione la LAN correspondiente de acuerdo con la topología de su red).
2) Para la puerta de enlace B (aquí tomamos ER7206 como ejemplo), vaya a Estado> Estado del sistema y obtenga la dirección IP WAN de la puerta de enlace B en la sucursal.
Vaya a Red> LAN> LAN y obtenga la subred local en la sucursal (LAN 2).
Vaya a Configuración> VPN y haga clic en + Crear nueva política de VPN.
Ingrese un nombre para identificar la política de VPN, seleccione el propósito de la nueva entrada como VPN de sitio a sitio y el Tipo de VPN como IPsec manual . Luego configure los parámetros correspondientes y haga clic en Crear .
Estado |
Marque la casilla para habilitar el túnel VPN. |
Puerta de enlace remota |
Ingrese la dirección IP WAN de Gateway B en la sucursal (100.100.100.100). |
Subredes remotas |
Ingrese el rango de direcciones IP de la LAN en la sucursal (192.168.10.1/24). |
Redes locales |
Seleccione las redes en la sede (LAN 1) y la política de VPN se aplicará a las redes seleccionadas. |
Clave precompartida |
Ingrese la clave precompartida (PSK) que sirve como clave de autenticación. La puerta de enlace en la sede y la sucursal deben usar el mismo PSK para la autenticación. |
WAN |
Seleccione el puerto WAN en el que se establecerá el túnel VPN. |
Nota: Cuando la puerta de enlace B (ER7206) está en modo independiente, haga clic en Configuración avanzada y seleccione IKEv1 como Versión de intercambio de claves en la Configuración de la fase 1
Para otras configuraciones en Phase-1 y Phase-2, en general, puede mantener la configuración predeterminada. También puede configurar los parámetros según sus necesidades.
Aquí tomaremos ER7206 como ejemplo. Vaya a VPN> IPsec> Política IPsec y haga clic en + Agregar .
Ingrese un nombre de política para identificar la política de VPN y seleccione el modo para la nueva entrada como LAN a LAN. Luego configure los parámetros correspondientes y haga clic en Aceptar .
Puerta de enlace remota |
Ingrese la dirección IP WAN de la puerta de enlace A en la sede (100.100.100.100). |
WAN |
Seleccione el puerto WAN en el que se establecerá el túnel VPN. |
Subred local |
Ingrese la dirección IP de la red en la sucursal (192.168.10.1/24) y la política de VPN se aplicará a la red. |
Subred remota |
Ingrese el rango de direcciones IP de la LAN en la sede (192.168.0.1/24). |
Clave precompartida |
Ingrese la clave precompartida (PSK) que sirve como clave de autenticación. La puerta de enlace en la sede y la sucursal deben usar el mismo PSK para la autenticación. |
Estado |
Marque la casilla para habilitar el túnel VPN. |
Nota: En general, puede mantener la configuración predeterminada en Phase-1 y Phase-2. Si desea cambiar la configuración, haga clic en Configuración avanzada para configurar los parámetros según las necesidades.
Verificación del túnel VPN IPsec manual
Para la puerta de enlace administrada de Omada en la sede, vaya a Insight> Estado de VPN> IPsec SA y verifique las entradas de IPsec SA.
Para ER7206, vaya a VPN> IPsec> IPsec SA y verifique las entradas de IPsec SA. Cuando se muestran las entradas correspondientes en las tablas, el túnel VPN se establece con éxito.