IPSec site-to-site между D-Link DFL-860e и Windows Server 2012
Ожидает приглашения
Приветствую хабропользователей!
Так получилось, что для испытания новой софтины нам было предоставлено несколько виртуальных серверов в удаленном ЦОДе, физический доступ к которому отсутствовал, но зато был белый IP адрес у одного из серверов. Для простоты тестирования, было решено соединить офис и сервера ЦОД, стоит заметить, что филиалы организации соединены между собой по IPSec на D-link DFL-860e, но поскольку оборудование в ЦОД ставить не позволили бы, то решили соединить Windows Server 2012 и DFL-860e.
Итак у нас было в наличие (адреса изменены):
внутренняя сеть ЦОДа 192.168.255.0/24,
внутренняя сеть офиса 192.168.1.0/24,
сервер ЦОД внутренний адрес 192.168.255.1
DFL внутренний адрес офиса 192.168.1.1
сервер ЦОД внешний адрес А.А.А.А
DFL внешний адрес офиса B.B.B.B
Начнем с D-Link.
В первую очередь создадим необходимые элементы конфигурации
В адресной книге:
Сеть:
Внешний IP адрес:
Далее в «Authentication Objects» создадим «Pre-Shared Key»
Затем в «VPN Objects» создаем «IKE Algorithms» и «IPSec Algorithms» (в моем случае идентичные)
(в выборе нам поможет статья, где указаны методы и алгоритмы поддерживаемые в Windows Server technet.microsoft.com/ru-ru/library/dd125380(v=ws.10).aspx)
Создаем сам туннель
Указываем ключ в «Authentication»
На последок разрешим весь трафик внутри туннеля, для этого надо создать два правила.
Первое разрешает трафик из ЦОД в офис
Второе – наоборот.
На этом настройка DFL окончена, перейдем к Windows Server.
Прежде всего нам надо поставить службу «Удаленный доступ». Единственное, что надо поменять от стандартных значений – выбрать «маршрутизация».
После установки роли, запускаем мастер «маршрутизация и удаленный доступ»
Жмем «настроить и включить»
Особая конфигурация
Маршрутизация локальной сети
После этого, в «Брандмауер Windows в режиме повышенной безопасности» мы должны создать само IPSec подключение.
Для этого создадим правило в «правила безопасности подключения»
Выбираем туннель
Оставляем «тип туннеля» и «требования» без изменений.
Указываем конечные точки
Здесь важно понимать, что «точка 1» — это локальная сеть, «точка 2» — удаленная.
Выбираем «проверка подлинности» — «дополнительно» — «настроить»
Указываем способ проверки подлинности (здесь пишем ключ, идентичный DFL)
Выбираем профили сети (я оставил публичный, так как машинка у меня не в домене)
Задаем имя и жмем готово.
Вот собственно и все. Туннель готов. Можно пользоваться.
Так получилось, что для испытания новой софтины нам было предоставлено несколько виртуальных серверов в удаленном ЦОДе, физический доступ к которому отсутствовал, но зато был белый IP адрес у одного из серверов. Для простоты тестирования, было решено соединить офис и сервера ЦОД, стоит заметить, что филиалы организации соединены между собой по IPSec на D-link DFL-860e, но поскольку оборудование в ЦОД ставить не позволили бы, то решили соединить Windows Server 2012 и DFL-860e.
Итак у нас было в наличие (адреса изменены):
внутренняя сеть ЦОДа 192.168.255.0/24,
внутренняя сеть офиса 192.168.1.0/24,
сервер ЦОД внутренний адрес 192.168.255.1
DFL внутренний адрес офиса 192.168.1.1
сервер ЦОД внешний адрес А.А.А.А
DFL внешний адрес офиса B.B.B.B
Начнем с D-Link.
В первую очередь создадим необходимые элементы конфигурации
В адресной книге:
Сеть:
Внешний IP адрес:
Далее в «Authentication Objects» создадим «Pre-Shared Key»
Затем в «VPN Objects» создаем «IKE Algorithms» и «IPSec Algorithms» (в моем случае идентичные)
(в выборе нам поможет статья, где указаны методы и алгоритмы поддерживаемые в Windows Server technet.microsoft.com/ru-ru/library/dd125380(v=ws.10).aspx)
Создаем сам туннель
Указываем ключ в «Authentication»
На последок разрешим весь трафик внутри туннеля, для этого надо создать два правила.
Первое разрешает трафик из ЦОД в офис
Второе – наоборот.
На этом настройка DFL окончена, перейдем к Windows Server.
Прежде всего нам надо поставить службу «Удаленный доступ». Единственное, что надо поменять от стандартных значений – выбрать «маршрутизация».
После установки роли, запускаем мастер «маршрутизация и удаленный доступ»
Жмем «настроить и включить»
Особая конфигурация
Маршрутизация локальной сети
После этого, в «Брандмауер Windows в режиме повышенной безопасности» мы должны создать само IPSec подключение.
Для этого создадим правило в «правила безопасности подключения»
Выбираем туннель
Оставляем «тип туннеля» и «требования» без изменений.
Указываем конечные точки
Здесь важно понимать, что «точка 1» — это локальная сеть, «точка 2» — удаленная.
Выбираем «проверка подлинности» — «дополнительно» — «настроить»
Указываем способ проверки подлинности (здесь пишем ключ, идентичный DFL)
Выбираем профили сети (я оставил публичный, так как машинка у меня не в домене)
Задаем имя и жмем готово.
Вот собственно и все. Туннель готов. Можно пользоваться.