IPSec site-to-site между D-Link DFL-860e и Windows Server 2012

Приветствую хабропользователей!

Так получилось, что для испытания новой софтины нам было предоставлено несколько виртуальных серверов в удаленном ЦОДе, физический доступ к которому отсутствовал, но зато был белый IP адрес у одного из серверов. Для простоты тестирования, было решено соединить офис и сервера ЦОД, стоит заметить, что филиалы организации соединены между собой по IPSec на D-link DFL-860e, но поскольку оборудование в ЦОД ставить не позволили бы, то решили соединить Windows Server 2012 и DFL-860e.

Итак у нас было в наличие (адреса изменены):

внутренняя сеть ЦОДа 192.168.255.0/24,
внутренняя сеть офиса 192.168.1.0/24,
сервер ЦОД внутренний адрес 192.168.255.1
DFL внутренний адрес офиса 192.168.1.1
сервер ЦОД внешний адрес А.А.А.А
DFL внешний адрес офиса B.B.B.B

Начнем с D-Link.
В первую очередь создадим необходимые элементы конфигурации
В адресной книге:

Сеть:
image

Внешний IP адрес:
image

Далее в «Authentication Objects» создадим «Pre-Shared Key»
image

Затем в «VPN Objects» создаем «IKE Algorithms» и «IPSec Algorithms» (в моем случае идентичные)
(в выборе нам поможет статья, где указаны методы и алгоритмы поддерживаемые в Windows Server technet.microsoft.com/ru-ru/library/dd125380(v=ws.10).aspx)
image

Создаем сам туннель
image

Указываем ключ в «Authentication»
image

На последок разрешим весь трафик внутри туннеля, для этого надо создать два правила.
Первое разрешает трафик из ЦОД в офис
image

Второе – наоборот.
image

На этом настройка DFL окончена, перейдем к Windows Server.

Прежде всего нам надо поставить службу «Удаленный доступ». Единственное, что надо поменять от стандартных значений – выбрать «маршрутизация».
image

После установки роли, запускаем мастер «маршрутизация и удаленный доступ»
Жмем «настроить и включить»
image

Особая конфигурация
image

Маршрутизация локальной сети
image

После этого, в «Брандмауер Windows в режиме повышенной безопасности» мы должны создать само IPSec подключение.
Для этого создадим правило в «правила безопасности подключения»
image

Выбираем туннель
image

Оставляем «тип туннеля» и «требования» без изменений.
Указываем конечные точки
image
Здесь важно понимать, что «точка 1» — это локальная сеть, «точка 2» — удаленная.

Выбираем «проверка подлинности» — «дополнительно» — «настроить»
image

Указываем способ проверки подлинности (здесь пишем ключ, идентичный DFL)
image
image


Выбираем профили сети (я оставил публичный, так как машинка у меня не в домене)
image

Задаем имя и жмем готово.
Вот собственно и все. Туннель готов. Можно пользоваться.
Теги:
dfl-860, windows server, ipsec

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.