Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Помогите создать Site-to-Site IPSec VPN тунель (http://forum.oszone.net/showthread.php?t=340160)

Bootman 18-04-2019 20:28 2868308
Помогите создать Site-to-Site IPSec VPN тунель
 
Доброго времени суток. Помогите пожалуйста настроить туннель VPN «Site-to-Site IPSec » . С другой стороны мне были присланы вот такие параметры -

Параметры:
Public: IP - 195.1xx.xxx.xxx
Local: IP - 10.10.2.27, 10.10.4.17, 10.10.32.3, 10.10.5.38, 10.10.0.23, 10.10.0.135
1. IKEv1, 1 фаза (IKE policy): pre-share-aes-256-sha (или: Encyption: aes-256, Hash: SHA1, Authentication: pre share), DH: 5, lifetime:
86400 сек.

2. IKEv1, 2 фаза (IPСек Proposal): ESP-AES-256-SHA (или: ESP Encryption: aes-256, ESP authentication: SHA1, Mode: tunnel), PFS: off, lifetime: 28800 сек или traffic volume: 4608000 KBytes.
NAT-T: enabled. Mode: main
DPD: 10 сек, retry: 2 сек.
Authentication Type – Preshared key.

Моя Lan:
Адрес: 172.16.1.0
Сетевая маска: 255.255.255.0 = 24
Инверсия маски (wildcard): 0.0.0.255
Полученные данные:
Сеть: 172.16.1.0 / 24
Минимальный IP: 172.16.1.1
Максимальный IP: 172.16.1.254
Broadcast: 172.16.1.255
Число хостов: 254
Класс сети: Class B

Мой - Public: IP 8x.xxx.xxx.xxx.

Что надо вводить в Hosts, Policy, IpSec? Какие IP должны быть «Connection detail» в IPSec?
Я так понимаю, что моя сторона будет «Default branch office»?!
Спасибо всем за отклик.

James Marsh 19-04-2019 21:41 2868410
Цитата:
Цитата Bootman
Я так понимаю, что моя сторона будет «Default branch office»?! »
Ну это понятие растяжимое у всех производителей оборудования.

Вообще
Цитата:
Цитата Bootman
Site-to-Site IPSec »
считается равноправным.

По Вашим куцым скриншотам, т.е. для Вашей железки:
local subnet 172.16.1.0 / 24
remote subnet 10.10.2.27/32, 10.10.4.17/32, 10.10.32.3/32, 10.10.5.38/32, 10.10.0.23/32, 10.10.0.135/32
Хотя блин странно, обычно указывают полные /24 подсети во второй фазе, а не конкретные хосты, в настройках туннеля. А доступ на UTM решениях настраивается правилами экрана. Но как говорится каждый как хочет, так и булочки печет.

Ну, а в VPN/Policy я хз, какоу у Вас выбор дает.

Блин. ТС по ходу ленивый до ужаса. Он даже на ютубе (! КАРЛ) видос есть как настраивать - https://www.youtube.com/watch?v=XHmaBAlcDB8

Bootman 21-04-2019 12:01 2868566
Спасибо за отклик.

По этим IP, какие должны быть в «Remote Subnet» IPv4 / Netmask и VPN_NAT_POOL. И как «выNaT ить» пакеты, прежде чем как они войдут в VPN-туннель, это надо будет указать в правилах «Firewall Rule»?
NAT адрес придоставит другая сторона.

Правильно ли заполнен "Host"

Host-.-> VPN_NAT_POOL
10.10.2.27/32
10.10.4.17/32
10.10.32.3/32
10.10.5.38/32
10.10.0.23/32
10.10.0.135/32


Время: 20:54.

Время: 20:54.
© OSzone.net 2001-