База знаний
2021-12-08 18:22 База знаний VPN

Трехсторонняя связь через VPN для роутеров DrayTek

Обычно у компании есть штаб-квартира и несколько филиалов расположены в разных местах. Сетевой администратор может установить VPN-туннель между штаб квартирой и каждым филиалом, чтобы сотрудники на сайте филиала могли получить доступ к услугам и ресурсам в штаб-квартире. Сетевой администратор также может установить VPN-туннель между сайтами филиалов, чтобы сотрудники могли получать доступ друг к другу в разных филиалах. Однако это легкая задача для сетевого администратора только при наличии всего нескольких филиалов.

Давайте посчитаем, сколько туннелей VPN должен построить сетевой администратор, чтобы сотрудники могли получить доступ к сервису и ресурсу каждого сайта? Если есть три сайта, сетевому администратору потребуется построить три туннеля; если есть четыре участка, им понадобится шесть туннелей. Пять площадок, десять тоннелей. Если у нас n сайтов, то нам понадобится Ʃ (n-1) туннелей. Управлять таким количеством туннелей VPN станет непростой задачей для сетевого администратора.

Чтобы упростить задачу, сетевой администратор может построить туннели VPN между каждым филиалом и головным офисом, а затем позволить головному офису пересылать трафик из одного филиала в другой. Таким образом, сетевому администратору нужно будет построить и поддерживать меньшие VPN-туннели, количество которых будет таким же, как и в филиалах.

В этой статье рассказывается, как создать из LAN в LAN несколько клиентов VPN с помощью IPSec, а также позволить филиалам связываться друг с другом с помощью определенного сценария.

Маршрутизатор Vigor в штаб-квартире будет VPN-сервером (удаленный хост), оба маршрутизатора Vigor в филиале будут VPN-клиентами (исходящие узлы).



Конфигурация VPN на Vigor Router в штаб-квартире


Перейдите в раздел VPN and Remote Access >> IPsec General Setup и введите PSK (PreShared Key).



Конфигурация на HQ VPN-сервере для Branch_2960


Перейдите в раздел VPN and Remote Access >> LAN to LAN и щелкните доступный индекс.
В общих настройках:
  1. Установите флажок Enable этот профиль.
  2. Выберите « Call Direction» как « Dial-In ».


В настройках дозвона:
   3. Выберите службу IPSec tunnel .


В сетевых настройках TCP / IP:
   4. Введите LAN IP и Subnet Mask удаленной стороны в Remote Network IP и mask.



Конфигурация на HQ VPN-сервере для Branch_2860

Аналогично конфигурации для branch_2960, нужно только изменить удаленную сеть на LAN Vigor2860.



Конфигурация VPN на Branch_2960

Перейдите в VPN and Remote Access >> VPN Profiles.
  1. Щелкните Add, чтобы создать новый профиль IPsec VPN.
  2. Enableпрофиль и установите имя
  3. Введите IP-адрес LAN IP и Subnet mask Vigor2960 как Local IP / Subnet mask .
  4. Введите WAN IP / домен VPN-сервера в качестве Remote Host. .
  5. Введите LAN IP и Subnet Mask VPN-сервера в качестве Remote IP/Subnet Mask.
  6. Введите LAN IP и Subnet Mask Branch_2860 в More Remote Subnet.
  7. Введите Pre Shared Key .



Конфигурация VPN на Branch_2860


Перейдите в раздел VPN and Remote Access >> LAN to LAN и щелкните доступный индекс.
В общих настройках:
  1. Установите флажок Enable this profile 
  2. Выберите «Call Direction» как « Dial out ».

В настройках исходящего вызова:
  1. Выберите службу  IPSec tunnel.
  2. Установите WAN IP / domain сервера удаленной стороны.
  3. Щелкните « IKE Pre-Shared Key » и введите preshared key .
 
В сетевых настройках TCP / IP:
  1. Введите IP -адрес удаленной сети в поле Remote IP
  2. Функция «More Route» позволяет больше подключаться к другим филиалам через сервер VPN в головном офисе. Чтобы активировать его, нажмите « Еще » и следуйте приведенным ниже настройкам.
  3. Задайте LAN IP address и Subnet mask другого филиала.
  4. Нажмите « Add», чтобы добавить его в удаленную сеть.


После того, как туннель IPSec установлен между всеми тремя устройствами, вы можете проверить состояние туннеля в разделе Connection Management каждого устройства. Вы также можете использовать Ping Tool в разделе Diagnostics, чтобы проверить, можете ли вы проверить связь с удаленным сайтом.


Теперь филиалы должны иметь возможность взаимодействовать друг с другом через маршрутизатор Vigor в головном офисе.

Пинг от Branch_2960 к Branch_2860

Пинг от Branch_2860 к Branch_2960: