VPN между Zyxel USG 50 и DLink DIR-140L

Главный офис:

  1. внешний IP шлюза (постоянный) - 10.10.10.10
  2. внутренний IP шлюза - 192.168.0.249
  3. локальная сеть - 192.168.0.0/24

Удаленный офис:

  1. внешний IP шлюза - динамический
  2. внутренний IP шлюза - 192.168.20.1
  3. локальная сеть - 192.168.20.0/24

Задача: связать два офиса в едуную сеть с минимальными затратами. В главном офисе - Zyxel USG 50 уже был, в удаленный офис покупал Dlink DIR-140L (стоимость на момент покупки была 3500).

И так приступим.

Начнем с настройки Zyxel USG 50. 

Создаем объект удаленной сети.

Локальная сеть удаленного офиса

Создаем VPN Gateway.

  1. Открываем дополнительные настройки (Show Advanced Settings).
  2. Ставим галку Enable.
  3. Указываем имя VPN Gateway (VPN Gateway Name).
  4. В My Adress указываем Interface на котором будет работать VPN подключение (выбираем подключение к Интернету).
  5. В Peer Gateway Address выбираем Dynamic Address.
  6. В Authentication выбираем Pre-Shared Key и указываем ключ шифрования соединения. В Local ID Type и Peer ID Type выбираем IP, указываем в Content  IP адрес (в dlink можно указать только 1 IP адрес, необходимо указывать одинаковые, я сделал 0.0.0.0).
  7. В Phase 1 Settings поле SA Life Time оставляем по умолчанию. В поле Negotiation Mode выбираем Main. В Proposal указываем 2 параметра Des/MD5, DES/SHA1.
  8. В Key Group выбираем DH2.
  9. Включаем NAT Traversal и Dead Peer Detection (DPD)

VPN Gateway 1

VPN Gateway 2

Создаем VPN Connection:

  1. Открываем дополнительные настройки (Show Advanced Settings).
  2. Ставим галку Enable. Указываем имя Connection Name.
  3. В VPN Gateway указываем Site-to-site with Dynamic Peer и выбираем ранее созданное VPN Gateway подключение.
  4. В Local policy указываем интерфейс внутренней локальной сети.
  5. В Remote policy указываем ранее созданную удаленную сеть.
  6. В Phase 2 Setting выбираем в поле Active Protocol - ESP.
  7. В Encapsulation выбираем Tunnel.
  8. В Proposal указываем 2 параметра Des/MD5DES/SHA1.
  9. В Perfect Forward Secrecy (PFS) выбираем none.
  10. В Related Settings Zone выбираем TUNNEL.
  11. Сохраняем.

VPN Connection 2

VPN Connection 1

Переходим к настройке DLink DIR-140L. С начало надо обновил DLink DIR-140L на русскую прошивку (на английской (китайской) не смог настроить, VPN не поднимался). Все прошивки есть на сайте Dlink.

Заходим в панель управления DLink. Создаем новое подключение Ipsec. 

  1. Убираем галку Динамический Ipsec.
  2. Удаленный адрес - указываем внешний постоянный IP адрес главного офиса.
  3. Индификатор - выбираем Адрес.
  4. Значение индификатора - указываем IP адреса указанные в Zyxel USG 50.
  5. Интерфейс - выбираем интерфейс для подключения к интернету.
  6. NAT Traversal - выбираем Enable или Force.
  7. Режим обмена - выбираем Main.
  8. Ставим галку - Разрешить DPD.
  9. TCP MSS и Значение TCP MSS - не изменяем.
  10. Разрешить трафик между сетями - ставим галку.
  11. Первая фаза - Алгоритм шифрования первой фазы, Алгоритм хэширования, Тип DHGroup, IKE-SA lifetime не изменяем.
  12. Вторая фазаАлгоритм шифрования второй фазы, Алгоритм аутенсификации, IPsec lifetime не изменяем. Включить PFS - снимаем галку.
  13. В Туннелированные подсети указываем Локальная подсеть (подсеть удаленного офиса), Удаленная подсеть (подсеть главного офиса).
  14. Сохраняем.

DLink DIR-140L 1

 DLink DIR-140L 2

Коментарии (7)