Как настроить LAN-to-LAN IPSec-туннель для множества локальных подсетей, используя новый интерфейс?

Руководство по настройке
Дата последнего обновления: 08-28-2020 14:58:35 PM 109790
Эта статья подходит для: 

В данной инструкции описывается главным образом настройка LAN-to-LAN IPSec-туннеля для множества подсетей. Если ваш вопрос касается настройки самих VPN‑соединений, пройдите по ссылке.

Топология, цели и задачи рассматриваемой сети

  1. VPN-маршрутизатор 1 и VPN-маршрутизатор 2 соединены при помощи IPSec VPN‑туннеля.
  2. ПК 1 из одной подсети 192.168.10.2/24 получает доступ к ПК 2 в другой подсети 192.168.20.0/24
  3. ПК 1 из одной подсети 192.168.10.2/24 получает доступ к ПК 3 в другой подсети 192.168.30.0/24
  4. ПК 1 из одной подсети 192.168.10.2/24 получает доступ к ПК 4 в другой подсети 192.168.40.0/24

Настройки для VPN‑маршрутизатора

Помимо настройки VPN‑соединений на VPN‑маршрутизаторах также необходимо настроить статическую маршрутизацию и разделить NAT на несколько сетей, используя Multi-Nets NAT (в нашем примере это VPN‑маршрутизатор 2).

1. Настройка IPSec VPN‑туннеля на обоих VPN‑маршрутизаторах

Чтобы пакеты данных могли проходить сквозь VPN‑туннель необходимо создать IPSec VPN‑туннель для каждой подсети. В данном примере созданы три VPN‑туннеля на VPN‑маршрутизаторе 2. Раздел, в котором проводилась настройка: VPN > IPSec > IPSec Policy:

После успешной настройки VPN‑туннеля устройство будет фиксировать проходящие подключения, которые можно посмотреть в разделе VPN > IPSec > IPSec SA:

2. Настройка статического маршрута для VPN‑маршрутизатора 2

Настройте статический маршрут, чтобы VPN‑маршрутизатор отличал подсети друг от друга после L2/L3 коммутатора и мог успешно направлять пакеты по соответствию. Для этого необходимо указать IP-адрес последующего коммутатора как IP-адрес вышестоящего устройства в сети. Это нужно сделать для каждой подсети, отличной от 192.168.10.0/24. Раздел, в котором проводится данная настройка: Transmission > Routing > Static Route:

3. Разделение NAT на несколько сетей на VPN‑маршрутизаторе 2 (необязательно)

Разделение NAT осуществляется для доступа в интернет устройств, находящихся в разных подсетях. При этом VPN‑соединение не пострадает, поэтому можно настроить его в соответствовании с фактическими сетевыми требованиями. Настройка осуществляется в разделе Transmission > NAT > Multi-Nets NAT:

 

Настройки для коммутатора L2+/L3

В настройках коммутатора L2+/L3 следует также настроить статический маршрут и интерфейс, что позволит установить связь между коммутатором L2+/L3 и VPN‑маршрутизатором 2.

1. Настройка интерфейсов для разных подсетей коммутатора L2+/L3

Для каждой подсети необходимо создать свой интерфейс. Таким образом пакетные данные смогут быть направлены между самой подсетью и коммутатором L2+/L3. Настройка осуществляется в разделе L3 FEATURES > Interface > Interface Config > Edit IPv4:

2. Создание статического маршрута для коммутатора L2+/L3

Здесь в роли статического маршрута выступает шлюз по умолчанию. Он отправит все пакеты, приходящие на VPN‑маршрутизатор 2, и далее по узлам: на удалённый сайт, VPN‑туннель или запросы на доступ в интернет. Перейдите в L3 FEATURES > Static Routing > IPv4 Static Routing для настройки данной опции:

После настройки интерфейса и статического маршрута, мы, наконец, можем посмотреть таблицу маршрутизации — для этого перейдите в L3 FEATURES > Routing Tables > IPv4 Routing Table:

Полезен ли этот FAQ?

Ваши отзывы помогают улучшить этот сайт.