Parte superior do formulário
VPN: Configurando um site para Política de VPN site usando o Modo principal (Endereço IP estático em ambos os sites) em o SonicOS Enhanced
As versões de firmware: Todas as versões de firmware aprimorada Gen5 e Gen4 SonicOS. Serviços: V PN (Site-to-Site VPN em modo principal entre dois dispositivos SonicWALL).
Visão Geral / Cenário:
Ao configurar um túnel Site-to-Site VPN em SonicOS firmware avançado usando o Modo Principal ambos os dispositivos SonicWALL (Site A e Site B) deve ter um endereço IP estático WAN roteáveis.
Configuração de Rede:
Etapas de implantação:
Passo 1: Criando objetos de endereços para sub-redes VPN.
Passo 2: Configuração de uma política de VPN no Site A SonicWALL.
Passo 3: Configuração de uma política de VPN no Site B SonicWALL
Passo 4: Como testar este cenário.
Passo 2: Configuração de uma política de VPN no Site A SonicWALL.
Passo 3: Configuração de uma política de VPN no Site B SonicWALL
Passo 4: Como testar este cenário.
Procedimento:
Para configurar manualmente uma política de VPN usando IKE com pré-compartilhada secreta, siga os passos abaixo:
1. Entre para a interface de gerenciamento SonicWALL
2. Navegue até Rede> Objetos endereço, vá até a parte inferior da página e clique no botão Adicionar.
2. Navegue até Rede> Objetos endereço, vá até a parte inferior da página e clique no botão Adicionar.
3. Configure os endereços objetos como mencionado na figura acima, clique em Adicionar e clique em Fechar quando terminar.
1. Navegue para a página de VPN> Configurações e clique no botão Adicionar. A janela Política de VPN é exibida.
2. Clique na guia Geral
- Selecione IKE usando Preshared secreto no menu Método de autenticação.
- Digite um nome para a política no campo Nome.
- Digite o endereço IP da WAN a conexão remota no IPsec primária Nome Gateway ou campo Endereço (Digite o endereço IP da WAN do Site B).
- Se o dispositivo VPN remoto suporta mais de um ponto final, você pode, opcionalmente, digite um segundo nome de host ou o endereço IP da conexão remota no IPsec gateway secundário Nome ou campo Endereço.
Nota: gateways secundários não são suportados com IKEv2.
- Digite uma senha secreta compartilhada para ser usado para configurar o Security Association o segredo compartilhado e Confirmar campos Shared Secretos. O segredo compartilhado deve ser de pelo menos 4 caracteres, e deve conter números e letras.
- Opcionalmente, você pode especificar um ID IKE Local (opcional) e Peer IKE ID (opcional) para esta Política. Por padrão, o endereço IP (ID_IPv4_ADDR) é usado para as negociações de modo principal, eo SonicWALL Identifier (ID_USER_FQDN) é usado para o modo agressivo.
- Digite um nome para a política no campo Nome.
- Digite o endereço IP da WAN a conexão remota no IPsec primária Nome Gateway ou campo Endereço (Digite o endereço IP da WAN do Site B).
- Se o dispositivo VPN remoto suporta mais de um ponto final, você pode, opcionalmente, digite um segundo nome de host ou o endereço IP da conexão remota no IPsec gateway secundário Nome ou campo Endereço.
Nota: gateways secundários não são suportados com IKEv2.
- Digite uma senha secreta compartilhada para ser usado para configurar o Security Association o segredo compartilhado e Confirmar campos Shared Secretos. O segredo compartilhado deve ser de pelo menos 4 caracteres, e deve conter números e letras.
- Opcionalmente, você pode especificar um ID IKE Local (opcional) e Peer IKE ID (opcional) para esta Política. Por padrão, o endereço IP (ID_IPv4_ADDR) é usado para as negociações de modo principal, eo SonicWALL Identifier (ID_USER_FQDN) é usado para o modo agressivo.
3. Clique na guia Rede
- Sob Redes Locais, selecione uma rede local de Escolha da rede local da lista: e selecione o endereço objeto X0 sub-rede (LAN primária de sub-rede)
Nota: DHCP sobre VPN não é suportado com IKEv2.
- Em Redes de Destino, selecione Escolher rede de destino da lista: e selecione o endereço objeto Tempe escritório(rede local B)
4. Clique na guia Propostas
Nota: DHCP sobre VPN não é suportado com IKEv2.
- Em Redes de Destino, selecione Escolher rede de destino da lista: e selecione o endereço objeto Tempe escritório(rede local B)
4. Clique na guia Propostas
- Em IKE (Fase 1) Proposta, selecione Modo principal, no menu Exchange. Modo agressivo é geralmente usado quando WAN abordar é atribuído dinamicamente. IKEv2 faz toda a negociação acontecer através de protocolos IKE v2, ao invés de usar IKE Fase 1 e Fase 2. Se você usa o IKE v2, ambas as extremidades do túnel VPN deve usar IKE v2.
- Em IKE (Fase 1) Proposta, os valores padrão para DH Group, criptografia, autenticação e Time Life são aceitáveis para a maioria das configurações de VPN. Verifique se os valores da Fase 1 no lado oposto do túnel está configurado para corresponder. Você também pode escolher AES-128, AES-192, AES-256 ou a partir do menu de autenticação em vez de 3DES para aumentar a segurança de autenticação.
Nota: O cliente L2TP Windows 2000 e Windows XP cliente L2TP só pode trabalhar com DH Grupo 2. Eles são incompatíveis com Grupos DH 1 e 5.
- De acordo com IPsec (Fase 2) Proposta, os valores padrão para protocolo, criptografia, autenticação Habilitar Perfect Forward Secrecy, DH Group, e Lifetime são aceitáveis para a maioria das configurações VPN SA. Certifique-se a fase de 2 valores no lado oposto do túnel está configurado para corresponder.
- Em IKE (Fase 1) Proposta, os valores padrão para DH Group, criptografia, autenticação e Time Life são aceitáveis para a maioria das configurações de VPN. Verifique se os valores da Fase 1 no lado oposto do túnel está configurado para corresponder. Você também pode escolher AES-128, AES-192, AES-256 ou a partir do menu de autenticação em vez de 3DES para aumentar a segurança de autenticação.
Nota: O cliente L2TP Windows 2000 e Windows XP cliente L2TP só pode trabalhar com DH Grupo 2. Eles são incompatíveis com Grupos DH 1 e 5.
- De acordo com IPsec (Fase 2) Proposta, os valores padrão para protocolo, criptografia, autenticação Habilitar Perfect Forward Secrecy, DH Group, e Lifetime são aceitáveis para a maioria das configurações VPN SA. Certifique-se a fase de 2 valores no lado oposto do túnel está configurado para corresponder.
5. Clique na guia Avançado
- Selecione Ativar Keep Alive usar mensagens de pulsação entre pares sobre este túnel VPN. Se uma extremidade do túnel falha, utilizando Keepalives permitirá a automática
renegociação do túnel, uma vez ambos os lados se tornar disponível novamente, sem ter que esperar pela proposta Time Life para expirar.
- Selecione Ativar Windows Networking (NetBIOS) Broadcast para permitir o acesso a recursos de rede remotos, navegando o ambiente de rede do Windows ®.
- Para gerenciar a SonicWALL local através do túnel VPN, selecione HTTP, HTTPS, ou ambos de Gestão através deste SA.Selecione HTTP, HTTPS, ou ambos no Login do usuário através deste SA para permitir aos usuários fazer o login usando o SA.
- Se você quiser usar um roteador na LAN para o tráfego de entrar neste túnel destinado a uma sub-rede desconhecida, por exemplo, se você configurou o outro lado para Utilize este túnel VPN como rota padrão para todo o tráfego de Internet, você deve inserir o endereço IP do seu roteador para o padrão LAN gateway campo (opcional).
- Selecione uma interface ou zona da Política de VPN obrigado a menu. A Zona de WAN é a seleção preferida se você estiver usando WAN Load Balancing e você deseja permitir que o VPN para usar interface WAN.
- Clique em OK para aplicar as configurações.
renegociação do túnel, uma vez ambos os lados se tornar disponível novamente, sem ter que esperar pela proposta Time Life para expirar.
- Selecione Ativar Windows Networking (NetBIOS) Broadcast para permitir o acesso a recursos de rede remotos, navegando o ambiente de rede do Windows ®.
- Para gerenciar a SonicWALL local através do túnel VPN, selecione HTTP, HTTPS, ou ambos de Gestão através deste SA.Selecione HTTP, HTTPS, ou ambos no Login do usuário através deste SA para permitir aos usuários fazer o login usando o SA.
- Se você quiser usar um roteador na LAN para o tráfego de entrar neste túnel destinado a uma sub-rede desconhecida, por exemplo, se você configurou o outro lado para Utilize este túnel VPN como rota padrão para todo o tráfego de Internet, você deve inserir o endereço IP do seu roteador para o padrão LAN gateway campo (opcional).
- Selecione uma interface ou zona da Política de VPN obrigado a menu. A Zona de WAN é a seleção preferida se você estiver usando WAN Load Balancing e você deseja permitir que o VPN para usar interface WAN.
- Clique em OK para aplicar as configurações.
1. Acesso ao site appliance B SonicWALL e navegar para a página de VPN> Configurações e clique no botão Adicionar. A janela Política de VPN é exibida.
2. Clique na guia Geral.
- Selecione IKE usando Preshared secreto no menu Método de autenticação.
- Digite um nome para a política no campo Nome.
- Digite o endereço IP da WAN a conexão remota no IPsec primária Nome Gateway ou campo Endereço (Digite o endereço WAN IP do site A).
- Se o dispositivo VPN remoto suporta mais de um ponto final, você pode, opcionalmente, digite um segundo nome de host ou o endereço IP da conexão remota no IPsec gateway secundário Nome ou campo Endereço.
Nota: gateways secundários não são suportados com IKEv2.
- Digite uma senha secreta compartilhada para ser usado para configurar o Security Association o segredo compartilhado e Confirmar campos Shared Secretos. O segredo compartilhado deve ser de pelo menos 4 caracteres, e deve conter números e letras.
- Opcionalmente, você pode especificar um ID IKE Local (opcional) e Peer IKE ID (opcional) para esta Política. Por padrão, o endereço IP (ID_IPv4_ADDR) é usado para as negociações de modo principal, eo SonicWALL Identifier (ID_USER_FQDN) é usado para o modo agressivo.
- Digite um nome para a política no campo Nome.
- Digite o endereço IP da WAN a conexão remota no IPsec primária Nome Gateway ou campo Endereço (Digite o endereço WAN IP do site A).
- Se o dispositivo VPN remoto suporta mais de um ponto final, você pode, opcionalmente, digite um segundo nome de host ou o endereço IP da conexão remota no IPsec gateway secundário Nome ou campo Endereço.
Nota: gateways secundários não são suportados com IKEv2.
- Digite uma senha secreta compartilhada para ser usado para configurar o Security Association o segredo compartilhado e Confirmar campos Shared Secretos. O segredo compartilhado deve ser de pelo menos 4 caracteres, e deve conter números e letras.
- Opcionalmente, você pode especificar um ID IKE Local (opcional) e Peer IKE ID (opcional) para esta Política. Por padrão, o endereço IP (ID_IPv4_ADDR) é usado para as negociações de modo principal, eo SonicWALL Identifier (ID_USER_FQDN) é usado para o modo agressivo.
3. Clique na guia Rede.
- Sob Redes Locais, selecione uma rede local de Escolha da rede local da lista: e selecione o endereço objeto X0 sub-rede (LAN primária de sub-rede)
Nota: DHCP sobre VPN não é suportado com IKEv2.
- Em Redes de Destino, selecione Escolher rede de destino da lista: e selecione o endereço objetoSeattle Escritório (Site A rede)
Nota: DHCP sobre VPN não é suportado com IKEv2.
- Em Redes de Destino, selecione Escolher rede de destino da lista: e selecione o endereço objetoSeattle Escritório (Site A rede)
4. Clique na guia Propostas:
Nota: As configurações devem ser o mesmo do site A.
5. Clique na guia Avançado
- Selecione Ativar Keep Alive usar mensagens de pulsação entre pares sobre este túnel VPN. Se uma extremidade do túnel falha, utilizando Keepalives permitirá a automática
renegociação do túnel, uma vez ambos os lados se tornar disponível novamente, sem ter que esperar pela proposta Time Life para expirar.
- Selecione Ativar Windows Networking (NetBIOS) Broadcast para permitir o acesso a recursos de rede remotos, navegando o ambiente de rede do Windows ®.
- Para gerenciar a SonicWALL local através do túnel VPN, selecione HTTP, HTTPS, ou ambos de Gestão através deste SA.Selecione HTTP, HTTPS, ou ambos no Login do usuário através deste SA para permitir aos usuários fazer o login usando o SA.
- Se você quiser usar um roteador na LAN para o tráfego de entrar neste túnel destinado a uma sub-rede desconhecida, por exemplo, se você configurou o outro lado para Utilize este túnel VPN como rota padrão para todo o tráfego de Internet, você deve inserir o endereço IP do seu roteador para o padrão LAN gateway campo (opcional).
- Selecione uma interface ou zona da Política de VPN obrigado a menu. A Zona de WAN é a seleção preferida se você estiver usando WAN Load Balancing e você deseja permitir que o VPN para usar interface WAN.
- Clique em OK para aplicar as configurações.
renegociação do túnel, uma vez ambos os lados se tornar disponível novamente, sem ter que esperar pela proposta Time Life para expirar.
- Selecione Ativar Windows Networking (NetBIOS) Broadcast para permitir o acesso a recursos de rede remotos, navegando o ambiente de rede do Windows ®.
- Para gerenciar a SonicWALL local através do túnel VPN, selecione HTTP, HTTPS, ou ambos de Gestão através deste SA.Selecione HTTP, HTTPS, ou ambos no Login do usuário através deste SA para permitir aos usuários fazer o login usando o SA.
- Se você quiser usar um roteador na LAN para o tráfego de entrar neste túnel destinado a uma sub-rede desconhecida, por exemplo, se você configurou o outro lado para Utilize este túnel VPN como rota padrão para todo o tráfego de Internet, você deve inserir o endereço IP do seu roteador para o padrão LAN gateway campo (opcional).
- Selecione uma interface ou zona da Política de VPN obrigado a menu. A Zona de WAN é a seleção preferida se você estiver usando WAN Load Balancing e você deseja permitir que o VPN para usar interface WAN.
- Clique em OK para aplicar as configurações.
Tente pingar um endereço IP do site A para o Site B ou vice-versa.
Nota: Antes de receber respostas bem-sucedidas, que você pode ver algumas "Solicitação expirada" mensagens enquanto o túnel VPN ainda está se estabelecendo.
Para solução de problemas artigos, por favor, consulte a seção itens relacionados abaixo:
Os artigos relacionados
<![if !supportLists]>· <![endif]>UTM - VPN site-to-site VPN Solução de problemas em dispositivos SonicWALL Segurança (PDF)
<![if !supportLists]>· <![endif]>UTM - VPN: Configurando o site para site VPN quando um site tem o endereço IP WAN dinâmico em SonicOS Enhanced (Modo Agressivo)
<![if !supportLists]>· <![endif]>UTM - VPN: Solução de problemas - Túnel VPN site-to-site é para cima, mas não a passagem do tráfego
<![if !supportLists]>· <![endif]>UTM - VPN: Configurando o modo principal site para site VPN entre SonicOS Standard e SonicOS Enhanced (estáticos WAN IPs em ambos os lados)
<![if !supportLists]>· <![endif]>UTM - VPN: Configurar Modo Agressivo site para site VPN entre SonicOS Standard e SonicOS Enhanced (WAN IP dinâmico de um lado)
Parte inferior do formulário
Nenhum comentário:
Postar um comentário