Cum se face legătura între două rețele prin VPN (IPsec)? (Administrarea sistemului, Vpn, Ipsec)

polemon a intrebat.

Aș dori să fac o punte Site-to-Site cu un VPN IPsec. Cum pot face acest lucru?

Pe partea locală, am un DrayTec Vigor2910, se presupune că este capabil să gestioneze tuneluri IPsec. Am nevoie să am mai multe tuneluri VPN către diverse site-uri, dar cum anume pot face acest lucru dacă singurul router pe care îl pot configura este cel local? Din câte am înțeles, aș avea nevoie de un fel de server sau client VPN de cealaltă parte, dar nu sunt sigur.

3 răspunsuri
wolfgangsz

Da, într-adevăr, pentru a configura un tunel VPN aveți nevoie de ceva de lucru la ambele capete ale tunelului. Dacă nu puteți configura celălalt capăt, sau dacă nu puteți obține pe cineva să o configureze pentru dvs.

Pentru situațiile în care furnizați serverul VPN central pentru mai mulți clienți, există scenarii în care, după configurarea serverului, clienții pot fi instruiți să instaleze un client, să descarce câteva fișiere de configurare și sunt gata de plecare. Cu toate acestea, acest lucru necesită un pic de testare și, de asemenea, necesită utilizatori pe partea clientului care pot executa instrucțiunile dvs. de descărcare/instalație/configurare.

Comentarii

  • Bine, dar configurarea generală ar trebui să fie destul de ușoară, din câte am înțeles. Am profiluri Site-to-Site pe care le pot configura, iar acolo ar trebui să furnizez rețeaua de la distanță etc. Ceea ce nu prea înțeleg este cum se gestionează certificatele… –  > Por polemon.
  • Detaliile reale ale modului în care vă configurați routerul depind foarte mult de interfața de utilizator a routerului respectiv. Nu ai un ghid de utilizare sau un manual pentru acel lucru? Plus: nu orice router VPN poate gestiona certificate. Majoritatea o fac, dar nu toate. –  > Por wolfgangsz.
alexlev2004

IPSec VPN în forma actuală nu poate oferi bridging (L2), ci rutare (L3). Pentru bridging puteți utiliza GRE TAP sau L2TP (împreună cu IPSec) – dar atunci trebuie să verificați dacă aparatul dvs. acceptă oricare dintre acestea (sau un alt mecanism de tunelare L2).

dunxd

Trebuie să aflați care sunt funcțiile echipamentului dvs. de capăt de HQ (DrayTec) și apoi ce hardware este compatibil pentru a acționa ca celălalt capăt al unei legături.

Nu pot vorbi direct despre DrayTec-ul dumneavoastră, dar eu folosesc Cisco ASA, care are opțiunea de a face legături tradiționale de la un site la altul, unde aveți nevoie de o adresă IP statică și de o configurație specifică la fiecare capăt.

Are, de asemenea, un mod de tip Client numit EasyVPN în care nu aveți nevoie de o adresă IP statică la capătul de la distanță – configurați dispozitivul de la distanță cu adresa IP a dispozitivului central și apoi introduceți acreditările. Dispozitivul de la distanță se poate apoi conecta de la orice conexiune la internet și poate oferi acces la VPN la o rețea locală din spatele său. Acest lucru funcționează foarte bine pentru noi.

Poate că DrayTec are o opțiune similară.

Tags:,