EdgeMAX - Configure o EdgeRouter para trabalhar com SonicWall VPN

Visão geral


Os leitores aprenderão como configurar um EdgeRouter para trabalhar com um SonicWall VPN.

 

Há muitas perguntas sobre como configurar um EdgeRouter para se conectar a um SonicWall, devido a implementação de IPSec do SonicWall interessante. O seguinte tutorial tentará remover a dor de tal uma configuração. Esta configuração foi feita com um SonicWall 2040, mas deve funcionar com qualquer configuração de SonicWall.

 

Passos


Primeiro, configure a VPN na sua SonicWall como segue:

 

 

O nome é usado, neste caso, apenas sobre a SonicWall e não é visto pelo ER. Colocar em algo que ajuda a lembrar o que essa conexão é usado para. Para o Gateway principal de IPSec, colocou o remoto IP público do seu ER. Neste exemplo é 8.8.8.8. O Gateway de Seconday deixe em branco. Preencha seu segredo compartilhado. Este segredo será usado para gerar a chave entre os dois lados para criptografia. Finalmente, na parte inferior, colocar em rede remota. Este é o lado de LAN do seu ER. Neste caso é 172.16.3.0/24.

 

 

As configurações acima pode ser personalizadas para suas necessidades, mas deve ser mantido correspondência de ambos os lados do túnel VPN. Para este tutorial, mantenha as configurações da mesma em ambos os lados. Uma vez que o túnel está acima e operacional, você pode fazer alterações, se for necessário.

 

 

Agora... a diversão parte! Configurando a VPN no pronto-socorro.

 

Aqui é um lixo do que a configuração será como quando estamos todos a fazer:

 

admin@Router# show vpn ipsec
disable-uniqreqids
esp-group FOO {
    compression disable
    lifetime 1800
    mode tunnel
    pfs disable
    proposal 1 {
        encryption aes128
        hash sha1
    }
}
ike-group FOO {
    lifetime 28800
    proposal 1 {
        dh-group 2
        encryption aes128
        hash sha1
    }
}
ipsec-interfaces {
    interface eth0
}
logging {
    log-modes all
    log-modes control
}
nat-traversal enable
site-to-site {
    peer 64.64.64.64 {
        authentication {
            mode pre-shared-secret
            pre-shared-secret mysecretkey
        }
        connection-type initiate
        default-esp-group FOO
        ike-group FOO
        local-ip 8.8.8.8
        tunnel 1 {
            allow-nat-networks disable
            allow-public-networks disable
            esp-group FOO
            local {
                subnet 172.16.3.0/24
            }
            remote {
                subnet 172.16.2.0/24
            }
        }
    }
}

Para criar esta configuração o ER, digite ou cole os seguintes comandos CLI do seu roteador: (Nota: não inclui as três seções entre parênteses, estas são notas para você.)

 

configure
set vpn ipsec disable-uniqreqids
set vpn ipsec esp-group FOO
set vpn ipsec esp-group FOO compression disable
set vpn ipsec esp-group FOO lifetime 1800
set vpn ipsec esp-group FOO mode tunnel
set vpn ipsec esp-group FOO pfs disable
set vpn ipsec esp-group FOO proposal 1
set vpn ipsec esp-group FOO proposal 1 encryption aes128
set vpn ipsec esp-group FOO proposal 1 hash sha1
set vpn ipsec ike-group FOO
set vpn ipsec ike-group FOO lifetime 28800
set vpn ipsec ike-group FOO proposal 1
set vpn ipsec ike-group FOO proposal 1 dh-group 2
set vpn ipsec ike-group FOO proposal 1 encryption aes128
set vpn ipsec ike-group FOO proposal 1 hash sha1
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec logging log-modes all
set vpn ipsec logging log-modes control
set vpn ipsec nat-traversal enable
set vpn ipsec site-to-site peer 64.64.64.64 (REPLACE WITH YOUR SONICWALL PUBLIC IP)
set vpn ipsec site-to-site peer 64.64.64.64 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 64.64.64.64 authentication pre-shared-secret mysecretkey
set vpn ipsec site-to-site peer 64.64.64.64 connection-type initiate
set vpn ipsec site-to-site peer 64.64.64.64 default-esp-group FOO
set vpn ipsec site-to-site peer 64.64.64.64 ike-group FOO
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 allow-nat-networks disable
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 allow-public-networks disable
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 esp-group FOO
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 local subnet 172.16.3.0/24 (THIS IS THE LAN OF THE ER)
set vpn ipsec site-to-site peer 64.64.64.64 tunnel 1 remote subnet 172.16.2.0/24 (THIS IS THE LAN OF THE SONICWALL)
commit
save
exit


Neste ponto, se o VPN está configurado corretamente e você tentar ping através dele deve no assunto. Você pode verificar o status com o comando: mostrar vpn ipsec sa

que deve mostrar algo ao longo das linhas de:

 

Peer ID / IP                            Local ID / IP               
------------                            -------------
69.64.64.64                           8.8.8.8                             
Tunnel  State  Bytes Out/In   Encrypt  Hash  NAT-T  A-Time  L-Time  Proto
------  -----  -------------  -------  ----  -----  ------  ------  -----
1       up     0.0/0.0        3des     md5   no     977     3600    all

Se o túnel está acima. Se o túnel não é o estado irá mostrar "para baixo".

Você também pode executar o comando: mostrar status de ipsec vpn para certificar-se de que os túneis são configurados e operando:

 

IPSec Process Running PID: 1168
2 Active IPsec Tunnels
IPsec Interfaces :
eth0    (8.8.8.8)

 

Ubiquiti Employee

Powered by Zendesk