VPN LAN-to-LAN IPSec Vigor 1000, 2130 en 2750 serie
VPN LAN-to-LAN IPSec De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server in het netwerk vereist is. VPN biedt een beveiligde verbinding over het internet naar uw eigen netwerk. Er zijn verschillende vormen van VPN. DrayTek ondersteunt L2TP, IPSec en PPTP. Van deze protocollen is PPTP de snelste, doch de minst beveiligde vorm van VPN. IPSec biedt een betere beveiliging door een encryptie die continu veranderd. L2TP is, in combinatie met IPSec, de meest veilige vorm van VPN. Helaas is dit ook de reden dat het protocol moeilijk in gebruik is. Momenteel is IPSec de meest gebruikte vorm van VPN. Beveiliging van de VPN tunnel gebeurt door de verschillende encryptie protocollen. DrayTek ondersteunt DES, 3DES, AES en MPPE. Van deze protocollen is MPPE de meest eenvoudige vorm van encryptie. Deze wordt toegepast bij een PPTP verbinding. DES biedt aanzienlijk meer veiligheid ten opzichte van MPPE. Dit door het verbeterde algoritme dat wordt gebruikt. 3DES is een 3-voudige DES encryptie. Dit verbetert de beveiliging aanzienlijk. De laatst ontwikkelde encryptie standaard is AES. Dit is de meest veilige vorm van encryptie. Helaas ondersteunen vooral de oudere producten deze standaard niet. Met de DrayTek routers is het mogelijk twee netwerken transparant te koppelen. Dit kan door gebruik te maken van de LAN-to-LAN VPN. Met deze VPN tunnel wordt de verbinding opgezet tussen twee routers. Om vanaf een PC verbinding te kunnen maken met het netwerk, kan gebruik gemaakt worden van een telewerker profiel. DrayTek stelt een gratis programma beschikbaar om ook een veilige telewerker verbinding op te kunnen zetten. In deze handleiding zullen we ingaan op het opzetten van een LAN-to-LAN VPN verbinding tussen twee DrayTek Vigor 2130/2750 producten middels het IPSec protocol. Deze handleiding kan ook voor de Vigor 1000 gebruikt worden.
2|
Situatie U hebt twee locaties welke u met elkaar wilt verbinden, zodat men op elkaars netwerk kan komen. U moet hiervoor een VPN verbinding opzetten zodat ze probleemloos met elkaar kunnen communiceren. Om een VPN verbinding op te zetten heeft u onderstaande gegevens nodig:
Apparaat LAN IP-subnet LAN subnetmask Router IP-adres Publiek IP-adres evt. gebruikersnaam evt. wachtwoord Protocol Pre-Shared Key Encryptie
Locatie 1 DrayTek Vigor 2130 192.168.1.0 255.255.255.0 192.168.1.1 172.16.1.11 nvt nvt IPSec draytek123 Automatic / 3DES
Locatie 2 DrayTek Vigor 2130 10.0.1.0 255.255.255.0 10.0.1.1 172.16.1.12 nvt nvt IPSec
3|
Locatie 1 In eerste instantie gaat u controleren of de IPSec service op de DrayTek wel is ingeschakeld, dit kunt u doen in het menu Remote Access Control.
Controleer hier of de IPSec VPN Service ingeschakeld is, zo niet dan kunt u deze hier inschakelen.
In het hoofdmenu van de DrayTek gaat u vervolgens naar ‘VPN and Remote Access’ hier klikt u vervolgens op ‘LAN to LAN’.
U krijgt een VPN menu te zien waarin u Site-to-Site (LAN-to-LAN) tunnels aan kunt maken, dit kan middels het IPSec protocol en het PPTP protocol. U klikt onder VPN Site-to Site Tunnels (IPSec) op de knop Add Tunnel.
4|
Op onderstaande afbeelding ziet u een default VPN LAN-to-LAN PPTP profiel, hierbij zijn onderstaande instellingen belangrijk: Enable Always On Name Remote IP /Hostname IKE phase 1 mode Pre-Shared Key Confirm Pre-Shared Key Remote Identity Local Identity Local Network / Mask Remote Network / Mask
: Om het VPN profiel te activeren klikt u Enable aan. : Aanvinken indien VPN tunnel altijd online moet zijn. : Naam van de VPN tunnel. : Public IP-adres(WAN IP) andere kant. : Wilt u Main Mode of Aggresive Mode gebruiken? : Authenticatie wachtwoord, in dit geval draytek123. : Authenticatie wachtwoord, in dit geval draytek123. : Bij Aggresive mode kunt u hier gebruik van maken. : Bij Aggresive mode kunt u hier gebruik van maken. : Lokaal netwerk segment DrayTek. : Remote netwerk segment DrayTek Locatie 2.
IKE Phase 1 proposal IKE Phase 2 proposal
: Geef hier aan welke IKE phase1 u wilt gebruiken. : Geef hier aan welke IKE phase2 u wilt gebruiken.
In onze handleiding gebruiken wij Main Mode voor het opzetten van een VPN LAN-to-LAN IPSec tunnel.
U klikt op OK om de instellingen in dit VPN profiel op te slaan.
5|
Locatie 2 In eerste instantie gaat u controleren of de IPSec service op de DrayTek wel is ingeschakeld, dit kunt u doen in het menu Remote Access Control.
Controleer hier of de IPSec VPN Service ingeschakeld is, zo niet dan kunt u deze hier inschakelen.
In het hoofdmenu van de DrayTek gaat u vervolgens naar ‘VPN and Remote Access’ hier klikt u vervolgens op ‘LAN to LAN’.
U krijgt een VPN menu te zien waarin u Site-to-Site (LAN-to-LAN) tunnels aan kunt maken, dit kan middels het IPSec protocol en het PPTP protocol. U klikt onder VPN Site-to Site Tunnels (IPSec) op de knop Add Tunnel.
6|
Dit VPN profiel configureren wij als volgt: Enable Always On Name Remote IP /Hostname IKE phase 1 mode Pre-Shared Key Confirm Pre-Shared Key Remote Identity Local Identity Local Network / Mask Remote Network / Mask
: Om het VPN profiel te activeren klikt u Enable aan. : Aanvinken indien VPN tunnel altijd online moet zijn. : Naam van de VPN tunnel. : Public IP-adres(WAN IP) andere kant. : Wilt u Main Mode of Aggresive Mode gebruiken? : Authenticatie wachtwoord, in dit geval draytek123. : Authenticatie wachtwoord, in dit geval draytek123. : Bij Aggresive mode kunt u hier gebruik van maken. : Bij Aggresive mode kunt u hier gebruik van maken. : Lokaal netwerk segment DrayTek. : Remote netwerk segment DrayTek Locatie 2.
IKE Phase 1 proposal IKE Phase 2 proposal
: Geef hier aan welke IKE phase1 u wilt gebruiken. : Geef hier aan welke IKE phase2 u wilt gebruiken.
Aangezien wij op locatie 1 voor Main Mode kiezen doen wij dit tevens op locatie 2.
U klikt op OK om de instellingen in dit VPN profiel op te slaan.
7|
VPN Controle Wanneer u succesvol beide profielen hebt aangemaakt dient u onderstaande informatie te zien in het menu VPN and Remote Access >> LAN to LAN.
8|
Vervolgens kunt u ter test nog een ping commando uitvoeren van locatie 1 of 2, het moet mogelijk zijn om beide IP-adressen te pingen zoals in onderstaande afbeeldingen.
Indien het pingen naar beide netwerk segmenten goed gaat betekent dit dat u succesvol een VPN tunnel hebt opgebouwd. Het kan dan nog voorkomen dat u bepaalde werkstations niet kunt benaderen, dit probleem ligt vaak bij de Firewall van het desbetreffende werkstation.
9|
Voorbehoud We behouden ons het recht voor om deze en andere documentatie te wijzigen zonder de verplichting gebruikers hiervan op de hoogte te stellen. Afbeeldingen en screenshots kunnen afwijken. Copyright verklaring © 2011 DrayTek. Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande toestemming van de uitgever. Voor zover het maken van kopieën uit deze uitgave is toegestaan op grond van artikel 16B Auteurswet 1912 j° het Besluit van 20 juni 1974, St.b. 351, zoals gewijzigd bij Besluit van 23 augustus 1985, St.b. 471 en artikel 17 Auteurswet 1912, dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht. Voor het opnemen van gedeelte(n) uit deze uitgave in bloemlezingen, readers of andere compilatie- of andere werken (artikel 16 Auteurswet 1912), in welke vorm dan ook, dient men zich tot de uitgever te wenden. Ondanks alle aan de samenstelling van deze handleiding bestede zorg kan noch de fabrikant, noch de auteur, noch de distributeur aansprakelijkheid aanvaarden voor schade die het gevolg is van enige fout uit deze uitgave. Registreren U kunt via www.draytek.nl/registratie uw product registreren. Geregistreerde gebruikers worden per e-mail op de hoogte gehouden van nieuwe firmware versies en ontwikkelingen. Trademarks Alle merken en geregistreerde merken zijn eigendom van hun respectievelijke eigenaren.
10 |
