Немного лирики. Когда возникла необходимость подключить представительства (4-5 компьютеров) к общей сети, было предложена схема с использованием бюджетного маршрутизатора Draytek Vigor2110. Взяли 4 таких маршрутизатора на пробу поставщиков и попытались настроить VPN с центральным офисом. Настраивал сначала опытных товарищ, спец по продуктам Microsoft, сумел настроить VPN с корпоративным ISA-сервером, однако доступ к другим подсетям (см. схему ниже) за центральной циской никак не получалось настроить - ISA просто не видела пакеты, отправляемые Vigor на адреса 172.16.0.0/12. Данное решение проработало месяц, пока не удалось организовать отдельный канал, проброшенный на корпоративную циску c3800. Но ситуация повторилась - от Vigor2110 не приходили пакеты для подсетей 172.16.0.0/12. Общение со службой техподдержки не дало особых плодов - у них схема подключения Vigor2Vigor работала нормально по их словам. В общем конце концов решили на представительства ставить циски c871. А данная заметка исключительно как память. Настройки ISA не привожу так как они не сохранились.
Схема подключения:
Параметры по умолчанию (если настройки были сброшены или устройство только что куплено).
Стартовый IP-адрес 192.168.1.1
Логин/пароль — admin/admin
1. Internet Access -> Static or Dynamic IP
1. Static or Dynamic IP
1. Разрешить Broadband Access — enable
2. Установить WAN physical type — Auto negotiation
3. Установить WAN Connection Detection — ARP Detect
4. Убрать галочку с пункта RIP Protocol
5. WAN Backup setup
1. Разрешить использование резервного канала через 3G modem — Dial Backup mode — enable
2. 3G USB Modem
1. Разрешить PPP Client Mode enable
2. Ввести SIM PIN Code (если есть)
3. Ввести Modem Initial String
4. Ввести APN Name
5. Ввести Modem dial String — ATDT^99#
6. Ввести PPP Username — пусто
7. Ввести PPP Password — пусто
6. WAN IP Network Settings
1. Установить Router Name — Vigor-Имя_филиала.
2. Установить Domain Name — Имя_филиала.Office.com
3. Назначить Specify an IP Address — внешний адрес маршрутизатора, предоставляется провайдером см. в конце файла.
4. Назначить Subnet Mask, предоставляется провайдером.
5. Назначить Gateway IP Address, предоставляется провайдером.
2. LAN -> General Setup
1. LAN IP Network Configuration
1. Задать 1st IP Address внутренний адрес маршрутизатора 192.168.100.xxx, где xxx — см. в конце файла, первый в скобках, например, 192.168.100.1.
2. 1st Subnet Mask 255.255.255.240,
2. DHCP Server Configuration
1. Разрешить Enable Server
2. Назначить Start IP Address — 192.168.100.xxx+1, например, 192.168.100.2
3. Установить IP Pool Counts — 12
4. Установить шлюз по умолчанию Gateway IP Address — 192.168.100.xxx, заданный в настройках 1st IP Address
3. VPN and Remote Access
1. Remote Access Control Setup — оставить разрешённой только IPSec VPN Service
2. IPSec General Setup — задать дважды парольную фразу и выделить 3DES, AES в списке методов безопасности IPSec Security Method
3. LAN to LAN — создать новый профиль или отредактировать уже созданный, щёлкнув на на индексе этого профиля
1. Profile 1
1. Common settings
1. Задать имя профиля, например, Apt2FIRMA
2. Поставить галочку Enable this profile
2. Dial-Out settings
1. Type Server оставить IPSec
2. Server IP/Host name for VPN поставить
3. В IKE Authentication Method щёлкнуть на кнопке IKE Pre-Shared Key и дважды задать парольную фразу, введённую ранее.
4. В IPSec Security Method выбрать High(ESP) 3DES with Authentication
5. Щёлкнуть на кнопке Advanced
1. IKE phase 1 mode — Main
2. IKE phase 1 proposal — 3DES_SHA1_g2
3. IKE phase 2 proposal — 3DES_SHA1/3DES_MD5
4. IKE phase 1 key lifetime — 28800
5. IKE phase 2 key lifetime — 3600
6. Perfect Forward Secret — Disable
3. Dial-In settings
1. Allowed dial-in type Server оставить IPSec
2. Определить адрес Remote VPN Gateway
3. В IKE Authentication Method щёлкнуть на кнопке IKE Pre-Shared Key и дважды задать парольную фразу, введённую ранее.
4. В IKE Authentication Method поставить галочки рядом с 3DES, AES
4. TCP/IP network settings
1. My WAN IP — 0.0.0.0
2. Remote gateway mask — 0.0.0.0
3. Remote network — 10.0.0.0
4. Remote network mask — 255.0.0.0
5. Щёлкнуть на кнопке More
1. В поле Network IP задать адрес сети филиала, например, 172.16.0.0
2. В поле Netmask выбрать подходящую сетевую маску, например, 255.240.0.0
3. Нажать кнопку Add
4. Нажать кнопку Close
6. From first subnet to remote network... выбрать из выпадающего списка Route
4. System maintenance
1. На вкладке Administrator password задать новый пароль
2. Сделать резервную копию конфигурации на вкладке Configuration backup
3. Management
1. Management Access Control
1. На вкладке Allow management from the Internet поставить галочки рядом с HTTP, HTTPS, SSH
2. Firmware Upgrade
1. Скачать с сайта draytek.com новую прошивку для Vigor2110.
2. Выбрать скачанный файл с новой прошивкой
3. Нажать на кнопку Upgrade (питание НЕ ДОЛЖНО прерываться при обновлении прошивки)
5. Diagnostics
1. Ping diagnostics
1. Ввести IP-адрес хоста для диагностики.
Схема подключения:
Параметры по умолчанию (если настройки были сброшены или устройство только что куплено).
Стартовый IP-адрес 192.168.1.1
Логин/пароль — admin/admin
1. Internet Access -> Static or Dynamic IP
1. Static or Dynamic IP
1. Разрешить Broadband Access — enable
2. Установить WAN physical type — Auto negotiation
3. Установить WAN Connection Detection — ARP Detect
4. Убрать галочку с пункта RIP Protocol
5. WAN Backup setup
1. Разрешить использование резервного канала через 3G modem — Dial Backup mode — enable
2. 3G USB Modem
1. Разрешить PPP Client Mode enable
2. Ввести SIM PIN Code (если есть)
3. Ввести Modem Initial String
4. Ввести APN Name
5. Ввести Modem dial String — ATDT^99#
6. Ввести PPP Username — пусто
7. Ввести PPP Password — пусто
6. WAN IP Network Settings
1. Установить Router Name — Vigor-Имя_филиала.
2. Установить Domain Name — Имя_филиала.Office.com
3. Назначить Specify an IP Address — внешний адрес маршрутизатора, предоставляется провайдером см. в конце файла.
4. Назначить Subnet Mask, предоставляется провайдером.
5. Назначить Gateway IP Address, предоставляется провайдером.
2. LAN -> General Setup
1. LAN IP Network Configuration
1. Задать 1st IP Address внутренний адрес маршрутизатора 192.168.100.xxx, где xxx — см. в конце файла, первый в скобках, например, 192.168.100.1.
2. 1st Subnet Mask 255.255.255.240,
2. DHCP Server Configuration
1. Разрешить Enable Server
2. Назначить Start IP Address — 192.168.100.xxx+1, например, 192.168.100.2
3. Установить IP Pool Counts — 12
4. Установить шлюз по умолчанию Gateway IP Address — 192.168.100.xxx, заданный в настройках 1st IP Address
3. VPN and Remote Access
1. Remote Access Control Setup — оставить разрешённой только IPSec VPN Service
2. IPSec General Setup — задать дважды парольную фразу и выделить 3DES, AES в списке методов безопасности IPSec Security Method
3. LAN to LAN — создать новый профиль или отредактировать уже созданный, щёлкнув на на индексе этого профиля
1. Profile 1
1. Common settings
1. Задать имя профиля, например, Apt2FIRMA
2. Поставить галочку Enable this profile
2. Dial-Out settings
1. Type Server оставить IPSec
2. Server IP/Host name for VPN поставить
3. В IKE Authentication Method щёлкнуть на кнопке IKE Pre-Shared Key и дважды задать парольную фразу, введённую ранее.
4. В IPSec Security Method выбрать High(ESP) 3DES with Authentication
5. Щёлкнуть на кнопке Advanced
1. IKE phase 1 mode — Main
2. IKE phase 1 proposal — 3DES_SHA1_g2
3. IKE phase 2 proposal — 3DES_SHA1/3DES_MD5
4. IKE phase 1 key lifetime — 28800
5. IKE phase 2 key lifetime — 3600
6. Perfect Forward Secret — Disable
3. Dial-In settings
1. Allowed dial-in type Server оставить IPSec
2. Определить адрес Remote VPN Gateway
3. В IKE Authentication Method щёлкнуть на кнопке IKE Pre-Shared Key и дважды задать парольную фразу, введённую ранее.
4. В IKE Authentication Method поставить галочки рядом с 3DES, AES
4. TCP/IP network settings
1. My WAN IP — 0.0.0.0
2. Remote gateway mask — 0.0.0.0
3. Remote network — 10.0.0.0
4. Remote network mask — 255.0.0.0
5. Щёлкнуть на кнопке More
1. В поле Network IP задать адрес сети филиала, например, 172.16.0.0
2. В поле Netmask выбрать подходящую сетевую маску, например, 255.240.0.0
3. Нажать кнопку Add
4. Нажать кнопку Close
6. From first subnet to remote network... выбрать из выпадающего списка Route
4. System maintenance
1. На вкладке Administrator password задать новый пароль
2. Сделать резервную копию конфигурации на вкладке Configuration backup
3. Management
1. Management Access Control
1. На вкладке Allow management from the Internet поставить галочки рядом с HTTP, HTTPS, SSH
2. Firmware Upgrade
1. Скачать с сайта draytek.com новую прошивку для Vigor2110.
2. Выбрать скачанный файл с новой прошивкой
3. Нажать на кнопку Upgrade (питание НЕ ДОЛЖНО прерываться при обновлении прошивки)
5. Diagnostics
1. Ping diagnostics
1. Ввести IP-адрес хоста для диагностики.
Комментариев нет:
Отправить комментарий