Как да добавя IPsec връзка за отдалечен достъп?

Owned by Vasilena Minkova (Unlicensed)
Last updated: Apr 07, 2020 by Desislava Zlaticheva
3 min read

Тази статия описва стъпките за добавяне на IPsec връзка за отдалечен достъп.

Инструкции

  1. Отидете в Configure VPN IPsec Connections и кликнете върху Add в секцията IPsec Connections.

  2. Попълнете информацията в General Settings.

Поле

Стойност

Поле

Стойност

Name

Въведете име на IPsec връзката.

Description

Въведете описание на IPsec VPN връзката.

Connection Type

Изберете отдалечен достъп.

Policy

Изберете политиката, която ще се използва за връзката.

Action on VPN Restart

Изберете действие, което ще извършите, ако VPN услугите/ устройството се рестартират.

Опции:

  • Respond Only - поддържа връзката да отговаря на входящи заявки.

  • Disable - връзката ще остане деактивирана, докато потребителя не я активира.

3. Попълнете информацията в Authentication Details.

Authentication Type

Изберете вида на удостоверяване. Удостоверяването зависи от вида на връзката.

Опции:

  • Preshared Key - Удостоверяване, при което се използва един ключ за криптиране и декриптиране. И двамата потребители трябва да притежават този ключ. Отдалечения потребител използва ключа, за да декриптира информацията. При избора на тази опция потребителя трябва да предостави:

    • Preshared Key - посочва се preshared key, който ще се използва. Той трябва да съдържа минимум 5 символа.

    • Confirm Preshared Key - въвежда се един и същ предварително зададен ключ, за да се потвърди.

Този предварително зададен ключ трябва да бъде споделен с отдалечения потребител. Ключа ще бъде поискан от тоззи потребител за удостоверяване. Ако има несъответсвие в ключа, връзката няма да бъде осъществена.

  • Digital Certificate - Удостоверяване, при което подателя и получателя използват цифров сертификат, който е издаден от сертифициран орган. И двамата потребителя трябва да имат правомощия за сертифициране.

    • Local Certificate - изберете локалния сертификат, който трябва да се използва за автентикация на устройството.

    • Remote Certificate - изберете отдалечения сертификат, който трябва да се изпозва за автентикация на отдалечения потребител.

 

4. Попълнете информацията в Endpoint Details.

Local

Изберете локалния WAN порт от списъка.

Remote

Посочете IP адрес или име на домейн на отдалечения потребител.

 

5. Попълнете информацията в Network Details.

IP Family

IP family ще бъде активиран автоматично в зависимост от избрания IP адрес в локалния WAN порт.

Local Subnet

Изберете локален LAN адрес.

Добавете и премахнете LAN адреса чрез бутоните Add и Remove.

Local ID (тази опция е достъпна само ако за Authentication Type е избран Preshared Key)

Изберете типа ID от наличните опции и посочете стойността му.

Опции:

  • DNS

  • IP Address

  • Email Address

  • DER ASN1 DN(X.509)

В случай на:

Local Certificate - ID-то и неговата стойност се покават автоматично, както е посочено в сертификата.

Allow NAT Traversal

Активирайте NAT traversal, ако NAT устройствотое локализирано между VPN крайните станции т.е. когато отдалечение потребител има private/non-routable IP адрес.

В някои моменти може да се установи само една връзка зад една NAT кутия.

Remote LAN Network

Изберете IP хостове от списъка с наличните IP хостове.

Нов IP хост може да бъде създаден с кликване върху Add New Item или  System Hosts and Services IP Host страница.

Remote ID (тази опция е достъпна само ако за Authentication Type е избран Preshared Key)

За Preshared Key изберете типа ID от наличните и задайте неговата стойност.

Опции:

▪DNS

▪IP Address

▪Email Address

▪DER ASN1 DN(X.509)

В случай на:

Local Certificate - ID-то и неговата стойност се покават автоматично, както е посочено в сертификата.

 

6. Попълнете информацията в User Authentication.

User Authentication Mode

Изберете дали по време на свързване да се изисква удостоверяване или не.

Възможни опции:

Disabled – Изберете тази опция, ако не желаете удостоверяване от потребителя.

Enable as Client – Ако е активиран като потребител, посочете потребителско име и парола.

Enable as Server – Ако е активиран като сървър, въведете всички потребители, които трябва да имат достъп.

 

7. Попълнете информацията в Quick Mode Selectors.

Protocol

Изберете всички протоколи, които ще бъдат разрешени за преговори.

Тунелът ще предава тези данни, които използват посочения протокол.

Възможни опции:

▪All

▪ICMP

▪UDP

▪'TCP

Local Port (тази опция е достъпна само ако за Protocol е избран UDP или TCP)

Посочете локален номер на порт, който VPN потребителя използва за транспортиране на трафика, свързан с TCP или UDP протокол.

Допустим диапазон: 1 – 65535

За да посочите всеки локален порт, въведете *.

Remote Port (тази опция е достъпна само ако за Protocol е избран UDP или TCP)

Посочете номера на отдалечения порт, който отдалечения VPN потребител използва за транспортиране на трафика, свързан с TCP или UDP протокол.

Допустим диапазон: 1 – 65535

За да посочите всеки локален порт, въведете *.

 

8. Попълнете информацията в Advanced Settings.

Disconnect when tunnel is idle

Изберете тази опция, за да позволите на устройството да изтрива наработеща/ празна VPN сесия, ако тя надвишава определения интервал от време на празната сесия.

Тази настройка по подразбиране е излючена.

Idle session time interval (тази опция е налична само ако е активиран Disconnect when tunnel is idle)

Посочете времето, след което устройството ще изтрие празната VPN сесия.

Допустим диапазон: 120 до 999

9. Кликнете върху Save, за да запазите връзката.

 

Видео: How to setup a Site to Site IPsec VPN (V17)

Ръководството на английски език: Add IPsec Remote Access Connection

Свързани материали