Come configurare un tunnel VPN Site-to-Site Manual IPsec con Gateway Omada in controller mode?

Knowledgebase
Configuration Guide
Gateway
06-27-2022

Nota. La guida si riferisce a Omada SDN Controller v 4.3 o successive release.

Per stabilire una connessione tra network situati in differenti posizioni geografiche è possibile creare un tunnel VPN IPsec Site-to-Site sfruttando un Gateway Omada gestito con Omada SDN Controller. I Gateway Omada gestiti supportano due tipologie di VPN site-to-site: Auto IPsec e Manual IPsec.  

In questa guida vedremo come configurare un tunnel VPN Manual IPsec con un Gateway Omada in controller mode. Per configurare un tunnel VPN Auto IPsec consulta la guida Come configurare un tunnel VPN Site-to-Site Auto IPsec con Gateway Omada in controller mode?

 

Scenario applicativo

 

Un'azienda necessita di fornire accesso alle risorse del network della sede centrale alle proprie filiali. Nella sede centrale è presente un Gateway Omada gestito tramite Omada Controller (v 4.3 o successive release), mentre il Gateway della filiale è in modalità stand-alone (nell'esempio utilizzeremo il modello ER7206). Entrambi i Gateway non si trovano dietro NAT, quindi ricevono indirizzi IP pubblici sull'interfaccia WAN. 

In questa tipologia di scenario (esempio nella topologia di seguito) è possibile creare un tunnel VPN IPsec manualmente.

Nota. Se il Gateway si trova dietro dispositivo NAT, per stabilire con successo un tunnel VPN IPsec assicurati che le porte UDP 500 e 4500 del dispositivo NAT siano aperte.

 

Configurazione

Step 1. Ottenere i parametri necessari per VPN Manual IPsec 

1) Per il Gateway A - gestito dal Controller Omada e situato nella sede centrale - vai in Devices e clicca sul Gateway, la finestra delle proprietà apparirà a destra. Vai in  Details > WAN e ottieni l'indirizzo IP WAN del Gateway A.

 

 

Vai in Settings > Wired Networks > LAN > Networks e ottieni la local subnet della sede centrale (nell'esempio è LAN 1, seleziona la LAN corrispondente in base al tuo network).

 

2) Per il Gateway B - situato nella filiale in modalità stand-alone (nell'esempio viene utilizzato il modello ER7206), vai in Status > System Status e ottieni l'IP WAN del Gateway B.

 

Vai in Network > LAN > LAN e ottieni la local subnet della filiale (LAN 2).

 

Step 2. Creare una nuova VPN policy sul Gateway A, gestito tramite Controller Omada in sede centrale

Vai in Settings > VPN e clicca su "+ Create New VPN Policy".

 

Step 3. Configurare i parametri della nuova VPN policy per il Gateway A

Inserisci il nome della nuova VPN policy, in "Purpose" seleziona Site-to-Site VPN, mentre in "VPN Type" imposta Manual IPsec. Imposta i parametri corrispondenti e infine clicca su Create.

Status

Seleziona la casella di controllo per abilitare il tunnel VPN. 

Remote Gateway

Inserisci l'indirizzo IP WAN del Gateway B situato nella filiale (100.100.100.100).

Remote Subnets

Inserisci  il range di indirizzi IP della LAN della filiale (192.168.10.1/24).

Local Networks

Seleziona il network della sede centrale (LAN 1), la VPN policy verrà applicata al network selezionato.

Pre-Shared Key

Inserisci la Pre-Shared Key (PSK) che fungerà da chiave di autenticazione. Il Gateway A della sede centrale e il Gateway B della filiale devono usare la stessa PSK.

WAN

Seleziona la porta WAN sulla quale sarà stabilito il tunnel VPN.

Nota. Quando il Gateway B (ER7206) è in modalità stand alone, clicca su Advanced Settings e seleziona IKEv1 come "Key Exchange Version" in "Phase-1 Settings"

In generale in "Phase-1" e "Phase-2", è possibile mantenere le impostazioni di default o procedere alla configurazione dei parametri in base alle esigenze.

 

Step 4. Creare una nuova VPN policy sul Gateway B situato nella filiale

Nell'esempio viene utilizzato il modello ER7206. Vai in VPN > IPsec > IPsec Policy e clicca su "+ Add".

 

Step 5. Configurare i parametri della nuova VPN policy per il Gateway B

Inserisci il nome della nuova VPN policy, in "Mode" seleziona LAN-to-LAN. Configura i parametri corrispondenti e clicca su OK.

Remote Gateway

Inserisci l'indirizzo IP WAN del Gateway A in sede centrale (100.100.100.100).

WAN

Seleziona l aporta WAN sulla quale veràà stabilito il tunnel VPN.

Local Subnet

Inserisci l'indirizzo IP del network della filiale (192.168.10.1/24). La VPN policy verrà applicata al network.

Remote Subnet

Inserisci il range di indirizzi IP della LAN in sede centrale (192.168.0.1/24).

Pre-Shared Key

Inserisci la Pre-Shared Key (PSK) che fungerà da chiave di autenticazione. Il Gateway A della sede centrale e il Gateway B della filiale devono usare la stessa PSK.

Status

Seleziona la casella di controllo per abilitare il tunnel VPN.

 

Nota. In generale, è possibile mantenere le impostazioni di default nelle sezioni "Phase-1" e "Phase-2". Per modificare le impostazioni in base alle proprie esigenze cliccare su Advanced Settings.

 

Verifica del tunnel VPN Manual IPsec

Per il Gateway A, situato nella sede centrale e gestito con Omada Controller, vai in Insight > VPN Status > IPsec SA e controlla i dati IPsec SA.

 

Per il Gateway B (modello ER7206) - in modalità stand-alone e situato nella filiale - vai in VPN > IPsec > IPsec SA e controlla i dati IPsec SA. Se le tabelle riportano gli stessi dati il tunnel VPN è stato stabilito correttamente.

 

Come valuti questo documento?

Documenti correlati