Come configurare un tunnel VPN Site-to-Site Manual IPsec con Gateway Omada in controller mode?
Nota. La guida si riferisce a Omada SDN Controller v 4.3 o successive release.
Per stabilire una connessione tra network situati in differenti posizioni geografiche è possibile creare un tunnel VPN IPsec Site-to-Site sfruttando un Gateway Omada gestito con Omada SDN Controller. I Gateway Omada gestiti supportano due tipologie di VPN site-to-site: Auto IPsec e Manual IPsec.
In questa guida vedremo come configurare un tunnel VPN Manual IPsec con un Gateway Omada in controller mode. Per configurare un tunnel VPN Auto IPsec consulta la guida Come configurare un tunnel VPN Site-to-Site Auto IPsec con Gateway Omada in controller mode?
Scenario applicativo
Un'azienda necessita di fornire accesso alle risorse del network della sede centrale alle proprie filiali. Nella sede centrale è presente un Gateway Omada gestito tramite Omada Controller (v 4.3 o successive release), mentre il Gateway della filiale è in modalità stand-alone (nell'esempio utilizzeremo il modello ER7206). Entrambi i Gateway non si trovano dietro NAT, quindi ricevono indirizzi IP pubblici sull'interfaccia WAN.
In questa tipologia di scenario (esempio nella topologia di seguito) è possibile creare un tunnel VPN IPsec manualmente.
Nota. Se il Gateway si trova dietro dispositivo NAT, per stabilire con successo un tunnel VPN IPsec assicurati che le porte UDP 500 e 4500 del dispositivo NAT siano aperte.
Configurazione
1) Per il Gateway A - gestito dal Controller Omada e situato nella sede centrale - vai in Devices e clicca sul Gateway, la finestra delle proprietà apparirà a destra. Vai in Details > WAN e ottieni l'indirizzo IP WAN del Gateway A.
Vai in Settings > Wired Networks > LAN > Networks e ottieni la local subnet della sede centrale (nell'esempio è LAN 1, seleziona la LAN corrispondente in base al tuo network).
2) Per il Gateway B - situato nella filiale in modalità stand-alone (nell'esempio viene utilizzato il modello ER7206), vai in Status > System Status e ottieni l'IP WAN del Gateway B.
Vai in Network > LAN > LAN e ottieni la local subnet della filiale (LAN 2).
Vai in Settings > VPN e clicca su "+ Create New VPN Policy".
Inserisci il nome della nuova VPN policy, in "Purpose" seleziona Site-to-Site VPN, mentre in "VPN Type" imposta Manual IPsec. Imposta i parametri corrispondenti e infine clicca su Create.
Status |
Seleziona la casella di controllo per abilitare il tunnel VPN. |
Remote Gateway |
Inserisci l'indirizzo IP WAN del Gateway B situato nella filiale (100.100.100.100). |
Remote Subnets |
Inserisci il range di indirizzi IP della LAN della filiale (192.168.10.1/24). |
Local Networks |
Seleziona il network della sede centrale (LAN 1), la VPN policy verrà applicata al network selezionato. |
Pre-Shared Key |
Inserisci la Pre-Shared Key (PSK) che fungerà da chiave di autenticazione. Il Gateway A della sede centrale e il Gateway B della filiale devono usare la stessa PSK. |
WAN |
Seleziona la porta WAN sulla quale sarà stabilito il tunnel VPN. |
Nota. Quando il Gateway B (ER7206) è in modalità stand alone, clicca su Advanced Settings e seleziona IKEv1 come "Key Exchange Version" in "Phase-1 Settings"
In generale in "Phase-1" e "Phase-2", è possibile mantenere le impostazioni di default o procedere alla configurazione dei parametri in base alle esigenze.
Nell'esempio viene utilizzato il modello ER7206. Vai in VPN > IPsec > IPsec Policy e clicca su "+ Add".
Inserisci il nome della nuova VPN policy, in "Mode" seleziona LAN-to-LAN. Configura i parametri corrispondenti e clicca su OK.
Remote Gateway |
Inserisci l'indirizzo IP WAN del Gateway A in sede centrale (100.100.100.100). |
WAN |
Seleziona l aporta WAN sulla quale veràà stabilito il tunnel VPN. |
Local Subnet |
Inserisci l'indirizzo IP del network della filiale (192.168.10.1/24). La VPN policy verrà applicata al network. |
Remote Subnet |
Inserisci il range di indirizzi IP della LAN in sede centrale (192.168.0.1/24). |
Pre-Shared Key |
Inserisci la Pre-Shared Key (PSK) che fungerà da chiave di autenticazione. Il Gateway A della sede centrale e il Gateway B della filiale devono usare la stessa PSK. |
Status |
Seleziona la casella di controllo per abilitare il tunnel VPN. |
Nota. In generale, è possibile mantenere le impostazioni di default nelle sezioni "Phase-1" e "Phase-2". Per modificare le impostazioni in base alle proprie esigenze cliccare su Advanced Settings.
Verifica del tunnel VPN Manual IPsec
Per il Gateway A, situato nella sede centrale e gestito con Omada Controller, vai in Insight > VPN Status > IPsec SA e controlla i dati IPsec SA.
Per il Gateway B (modello ER7206) - in modalità stand-alone e situato nella filiale - vai in VPN > IPsec > IPsec SA e controlla i dati IPsec SA. Se le tabelle riportano gli stessi dati il tunnel VPN è stato stabilito correttamente.