EdgeMAX - configurar el EdgeRouter para trabajar con VPN de SonicWall

Resumen


Los lectores aprenderán a configurar un EdgeRouter a trabajar con un VPN de SonicWall.

 

Ha habido muchas preguntas acerca de cómo configurar un EdgeRouter para conectar a un SonicWall, debido a la interesante aplicación de IPSec de SonicWall. El siguiente tutorial intentará quitar algunos del dolor de tal configuración. Esta configuración fue hecha con un SonicWall 2040, pero debería funcionar con cualquier configuración de SonicWall.

 

Pasos


En primer lugar, configurar la VPN en tu SonicWall como sigue:

 

 

El nombre descriptivo se utiliza, en este caso, sólo en el SonicWall y no es visto por la sala de urgencias. Poner en algo que le ayuda a recordar lo que se utiliza para esta conexión. Por la puerta principal de IPSec, poner la IP publica remota de su ER. En este ejemplo es 8.8.8.8. Deje la puerta de entrada de secundario en blanco. Rellene su secreto compartido. Este secreto se utilizará para generar la clave entre los dos lados para el cifrado. Por último, en la parte inferior, poner en la red remota. Este es el lado de la LAN de la ER. En este caso es 172.16.3.0/24.

 

 

La configuración anterior puede ser modificado para requisitos particulares a sus necesidades, pero debe ser mantenido que empareja a ambos lados del túnel VPN. Para este tutorial, mantener a la configuración de la misma en ambos lados. Una vez que el túnel está para arriba y funciona, usted puede hacer cambios si es necesario.

 

 

Ahora... la diversión parte! Configuración de la VPN en el ER.

 

Aquí es un volcado de la configuración del aspecto que tendrá cuando todos terminamos:

 

admin@Router# show vpn ipsec
disable-uniqreqids
esp-group FOO {
    compression disable
    lifetime 1800
    mode tunnel
    pfs disable
    proposal 1 {
        encryption aes128
        hash sha1
    }
}
ike-group FOO {
    lifetime 28800
    proposal 1 {
        dh-group 2
        encryption aes128
        hash sha1
    }
}
ipsec-interfaces {
    interface eth0
}
logging {
    log-modes all
    log-modes control
}
nat-traversal enable
site-to-site {
    peer 64.64.64.64 {
        authentication {
            mode pre-shared-secret
            pre-shared-secret mysecretkey
        }
        connection-type initiate
        default-esp-group FOO
        ike-group FOO
        local-ip 8.8.8.8
        tunnel 1 {
            allow-nat-networks disable
            allow-public-networks disable
            esp-group FOO
            local {
                subnet 172.16.3.0/24
            }
            remote {
                subnet 172.16.2.0/24
            }
        }
    }
}

Para crear esta configuración en el ER, escriba o pegue los siguientes comandos en la CLI del router: (Nota: no incluyen las tres secciones entre paréntesis, estas son notas para usted.)

 

configure
set vpn ipsec disable-uniqreqids
set vpn ipsec esp-group FOO
set vpn ipsec esp-group FOO compression disable
set vpn ipsec esp-group FOO lifetime 1800
set vpn ipsec esp-group FOO mode tunnel
set vpn ipsec esp-group FOO pfs disable
set vpn ipsec esp-group FOO proposal 1
set vpn ipsec esp-group FOO proposal 1 encryption aes128
set vpn ipsec esp-group FOO proposal 1 hash sha1
set vpn ipsec ike-group FOO
set vpn ipsec ike-group FOO lifetime 28800
set vpn ipsec ike-group FOO proposal 1
set vpn ipsec ike-group FOO proposal 1 dh-group 2
set vpn ipsec ike-group FOO proposal 1 encryption aes128
set vpn ipsec ike-group FOO proposal 1 hash sha1
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec logging log-modes all
set vpn ipsec logging log-modes control
set vpn ipsec nat-traversal enable
set vpn ipsec site-to-site peer 64.64.64.64 (REPLACE WITH YOUR SONICWALL PUBLIC IP)
set vpn ipsec site-to-site peer 64.64.64.64 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 64.64.64.64 authentication pre-shared-secret mysecretkey
set vpn ipsec site-to-site peer 64.64.64.64 connection-type initiate
set vpn ipsec site-to-site peer 64.64.64.64 default-esp-group FOO
set vpn ipsec site-to-site peer 64.64.64.64 ike-group FOO
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 allow-nat-networks disable
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 allow-public-networks disable
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 esp-group FOO
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 local subnet 172.16.3.0/24 (THIS IS THE LAN OF THE ER)
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 remote subnet 172.16.2.0/24 (THIS IS THE LAN OF THE SONICWALL)
commit
save
exit


En este punto, si la VPN está configurado correctamente y se intenta hacer ping a través de ella debe subir. Usted puede verificar el estado con el comando: show vpn ipsec sa

que debe mostrar a lo largo de las líneas de:

 

Peer ID / IP                            Local ID / IP               
------------                            -------------
69.64.64.64                           8.8.8.8                             
Tunnel  State  Bytes Out/In   Encrypt  Hash  NAT-T  A-Time  L-Time  Proto
------  -----  -------------  -------  ----  -----  ------  ------  -----
1       up     0.0/0.0        3des     md5   no     977     3600    all

Si el túnel es para arriba. Si el túnel no es el estado mostrará "hacia abajo".

También puede emitir el comando: Mostrar estado de ipsec vpn para asegurarse de que los túneles están configurados y funcionando:

 

IPSec Process Running PID: 1168
2 Active IPsec Tunnels
IPsec Interfaces :
eth0    (8.8.8.8)

 

Ubiquiti Employee