Как настроить LAN-to-LAN IPSec-туннель для множества локальных подсетей, используя новый интерфейс?
В данной инструкции описывается главным образом настройка LAN-to-LAN IPSec-туннеля для множества подсетей. Если ваш вопрос касается настройки самих VPN‑соединений, пройдите по ссылке.
Топология, цели и задачи рассматриваемой сети
- VPN-маршрутизатор 1 и VPN-маршрутизатор 2 соединены при помощи IPSec VPN‑туннеля.
- ПК 1 из одной подсети 192.168.10.2/24 получает доступ к ПК 2 в другой подсети 192.168.20.0/24
- ПК 1 из одной подсети 192.168.10.2/24 получает доступ к ПК 3 в другой подсети 192.168.30.0/24
- ПК 1 из одной подсети 192.168.10.2/24 получает доступ к ПК 4 в другой подсети 192.168.40.0/24
Помимо настройки VPN‑соединений на VPN‑маршрутизаторах также необходимо настроить статическую маршрутизацию и разделить NAT на несколько сетей, используя Multi-Nets NAT (в нашем примере это VPN‑маршрутизатор 2).
1. Настройка IPSec VPN‑туннеля на обоих VPN‑маршрутизаторах
Чтобы пакеты данных могли проходить сквозь VPN‑туннель необходимо создать IPSec VPN‑туннель для каждой подсети. В данном примере созданы три VPN‑туннеля на VPN‑маршрутизаторе 2. Раздел, в котором проводилась настройка: VPN > IPSec > IPSec Policy:
После успешной настройки VPN‑туннеля устройство будет фиксировать проходящие подключения, которые можно посмотреть в разделе VPN > IPSec > IPSec SA:
2. Настройка статического маршрута для VPN‑маршрутизатора 2
Настройте статический маршрут, чтобы VPN‑маршрутизатор отличал подсети друг от друга после L2/L3 коммутатора и мог успешно направлять пакеты по соответствию. Для этого необходимо указать IP-адрес последующего коммутатора как IP-адрес вышестоящего устройства в сети. Это нужно сделать для каждой подсети, отличной от 192.168.10.0/24. Раздел, в котором проводится данная настройка: Transmission > Routing > Static Route:
3. Разделение NAT на несколько сетей на VPN‑маршрутизаторе 2 (необязательно)
Разделение NAT осуществляется для доступа в интернет устройств, находящихся в разных подсетях. При этом VPN‑соединение не пострадает, поэтому можно настроить его в соответствовании с фактическими сетевыми требованиями. Настройка осуществляется в разделе Transmission > NAT > Multi-Nets NAT:
В настройках коммутатора L2+/L3 следует также настроить статический маршрут и интерфейс, что позволит установить связь между коммутатором L2+/L3 и VPN‑маршрутизатором 2.
1. Настройка интерфейсов для разных подсетей коммутатора L2+/L3
Для каждой подсети необходимо создать свой интерфейс. Таким образом пакетные данные смогут быть направлены между самой подсетью и коммутатором L2+/L3. Настройка осуществляется в разделе L3 FEATURES > Interface > Interface Config > Edit IPv4:
2. Создание статического маршрута для коммутатора L2+/L3
Здесь в роли статического маршрута выступает шлюз по умолчанию. Он отправит все пакеты, приходящие на VPN‑маршрутизатор 2, и далее по узлам: на удалённый сайт, VPN‑туннель или запросы на доступ в интернет. Перейдите в L3 FEATURES > Static Routing > IPv4 Static Routing для настройки данной опции:
После настройки интерфейса и статического маршрута, мы, наконец, можем посмотреть таблицу маршрутизации — для этого перейдите в L3 FEATURES > Routing Tables > IPv4 Routing Table:
Полезен ли этот FAQ?
Ваши отзывы помогают улучшить этот сайт.