VPN-tunnelinstelling op de RV016, RV042, RV042G en RV082 VPN-routers

Downloadopties

  • PDF     (715.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (640.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (221.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 december 2018
Document-id:SMB304

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

VPN-tunnelinstelling op de RV016, RV042, RV042G en RV082 VPN-routers

Doel

Een Virtual Private Network (VPN) is een beveiligde verbinding tussen twee endpoints. Een privé-netwerk, dat gegevens veilig tussen deze twee locaties of netwerken verzendt, wordt opgezet door een VPN-tunnel. Een VPN-tunnel verbindt twee PC's of netwerken en maakt het mogelijk om gegevens via het internet te verzenden alsof de eindpunten zich in een netwerk bevinden. VPN is een goede oplossing voor bedrijven die werknemers hebben die vaak buiten het LAN moeten reizen of zijn. Met VPN kunnen deze medewerkers toegang hebben tot LAN en de beschikbare bronnen gebruiken om hun werk te doen. Ook kan VPN twee of meer sites verbinden, zodat bedrijven met verschillende vestigingen met elkaar kunnen communiceren.

Opmerking: de RV Wired Routers Series biedt twee typen VPN, Gateway to Gateway en Client to Gateway. Om de VPN-verbinding goed te laten werken, moeten de IPSec-waarden aan beide zijden van de verbinding hetzelfde zijn. Bovendien moeten beide zijden van de verbinding tot verschillende LAN’s behoren. De volgende stappen verklaren hoe u VPN kunt configureren op de RV Wired Routers Series.

Voor de toepassing van dit artikel wordt de VPN-configuratie Gateway to Gateway.

In dit artikel wordt uitgelegd hoe u een VPN-tunnel kunt instellen op RV016 RV042, RV042G en RV082 VPN-routers.

Toepasselijke apparaten

· RV016
•RV042
· RV042G
· RV082

Softwareversie

· v4.2.1.02

VPN-instellingen

Stap 1. Log in op de pagina van het hulpprogramma Web Configuration en kies VPN > Gateway om te gateways. De pagina Gateway to Gateway wordt geopend:

Opmerking: Als u een client wilt configureren voor de VPN-tunnel van de gateway, kiest u VPN > client naar gateway.

Stap 2. Voer in het veld Tunnelnaam de naam van de VPN-tunnel in.

Stap 3. Kies een van de beschikbare WAN-interfaces in de vervolgkeuzelijst Interface. Dit is de interface die de VPN-tunnel met de andere kant zal opzetten.

Stap 4. Kies onder Local Group Setup in de vervolgkeuzelijst Local Security Gateway Type een van de genoemde opties:

· Alleen IP — kies deze optie als uw router is geconfigureerd met een statisch IP-adres voor internetverbinding.

· IP + Domain Name (FQDN) Verificatie — Kies deze optie als uw router is geconfigureerd met een statisch IP-adres en een geregistreerde domeinnaam voor internetverbinding.

· IP + E-mail adres (gebruiker FQDN) verificatie — Kies deze optie als uw router is geconfigureerd met een statisch IP-adres voor internetverbinding en een e-mailadres wordt gebruikt voor verificatie.

· Dynamische IP + Domain Name (FQDN) verificatie — Kies deze optie als uw router is geconfigureerd met een dynamisch IP-adres en een dynamische domeinnaam zal worden gebruikt voor verificatie.

· Dynamische IP + E-mail adres (gebruiker FQDN) verificatie — Kies deze optie als uw router een dynamisch IP-adres voor internetverbinding heeft, maar geen dynamische domeinnaam voor verificatie heeft en in plaats daarvan een e-mailadres wordt gebruikt voor verificatie.

Stap 5. Kies onder Local Group Setup in de vervolgkeuzelijst Local Security Group Type een van de opties:

· IP-adres — met deze optie kunt u één apparaat opgeven dat deze VPN-tunnel kan gebruiken. U hoeft alleen het IP-adres van het apparaat in te voeren.

· Subnet — Kies deze optie om alle apparaten die tot hetzelfde subnet behoren toe te staan om de VPN-tunnel te gebruiken. U moet het IP-adres van het netwerk en het bijbehorende subnetmasker invoeren.

· IP-bereik — Kies deze optie om een bereik van apparaten te specificeren die de VPN-tunnel kunnen gebruiken. U moet het eerste IP-adres en het laatste IP-adres van het bereik van apparaten invoeren.

Stap 6. Kies onder Remote Group Setup in de vervolgkeuzelijst Remote Local Security Gateway Type een van de volgende opties:

· Alleen IP — kies deze optie als uw router is geconfigureerd met een statisch IP-adres voor internetverbinding.

· IP + Domain Name (FQDN) Verificatie — Kies deze optie als uw router is geconfigureerd met een statisch IP-adres en een geregistreerde domeinnaam voor internetverbinding.

· IP + E-mail adres (gebruiker FQDN) verificatie — Kies deze optie als uw router is geconfigureerd met een statisch IP-adres voor internetverbinding en een e-mailadres wordt gebruikt voor verificatie.

· Dynamische IP + Domain Name (FQDN) verificatie — Kies deze optie als uw router is geconfigureerd met een dynamisch IP-adres en een dynamische domeinnaam zal worden gebruikt voor verificatie.

· Dynamische IP + E-mail adres (gebruiker FQDN) verificatie — Kies deze optie als uw router een dynamisch IP-adres voor internetverbinding heeft, maar geen dynamische domeinnaam voor verificatie heeft en in plaats daarvan een e-mailadres wordt gebruikt voor verificatie.

Stap 7. Als u IP Only kiest als het type externe lokale beveiligingsgateway, kiest u een van deze opties uit de vervolgkeuzelijst hieronder:

· IP — Kies deze optie om het IP-adres in het aangrenzende veld in te voeren.

· IP door DNS Opgelost - kies deze optie als u niet het IP adres van de verre gateway kent, dan ga de naam van de andere router in het aangrenzende gebied in.

Stap 8. Kies onder Remote Group Setup in de vervolgkeuzelijst Remote Security Group Type een van de volgende opties:

· IP-adres — met deze optie kunt u één apparaat opgeven dat deze VPN-tunnel kan gebruiken. U hoeft alleen het IP-adres van het apparaat in te voeren.

· Subnet — Kies deze optie om alle apparaten die tot hetzelfde subnet behoren toe te staan om de VPN-tunnel te gebruiken. U moet het IP-adres van het netwerk en het bijbehorende subnetmasker invoeren.

· IP-bereik — Kies deze optie om een bereik van apparaten te specificeren die de VPN-tunnel kunnen gebruiken. U moet het eerste IP-adres en het laatste IP-adres van het bereik van apparaten invoeren.

Stap 9. Kies onder IPSec Setup in de vervolgkeuzelijst Sleutelmodus een van de opties:

· Handmatig — Met deze optie kunt u de sleutel handmatig configureren in plaats van met de andere router te onderhandelen in de VPN-verbinding.

· IKE met Preshared Key — Kies deze optie om het Internet Key Exchange Protocol (IKE) in te schakelen, dat een beveiligingsassociatie in de VPN-tunnel instelt. IKE gebruikt een vooraf gedeelde sleutel om een externe peer te verifiëren.

Stap 10. DH (Diffie - Hellman) is een sleuteluitwisselingsprotocol waarmee beide uiteinden van de VPN-tunnel een versleutelde sleutel kunnen delen. Kies een van de volgende opties in de vervolgkeuzelijsten Fase 1 DH-groep en Fase 2 DH-groep:

· Groep 1 - 768 bit — Biedt snellere wisselsnelheid, maar minder beveiliging. Als je de VPN sessie snel nodig hebt en de beveiliging is geen probleem, kies dan deze optie.

· Groep 2 - 1024 bit — Biedt meer beveiliging dan groep 1, maar het heeft meer verwerkingstijd. Dit is een evenwichtiger optie als het gaat om veiligheid en snelheid.

· Groep 3 - 1536 bit — Biedt minder snelheid maar meer veiligheid. Als u de VPN-sessie veilig wilt maken en snelheid geen probleem is, kies dan deze optie.

Stap 11. Kies in de vervolgkeuzelijsten Fase 1 Encryptie en Fase 2 Encryptie een van de volgende opties voor encryptie en decryptie van de sleutel:

· DES — Data Encryption Standard, dit is een basisalgoritme voor de versleuteling van gegevens die de sleutel versleutelt in een 56-bits pakket.

· 3DES — Triple Data Encryption Standard, dit algoritme versleutelt de sleutel in drie 64-bits pakketten. Het is veiliger dan DES.

· AES-128 — Advanced Encryption Standard, dit algoritme gebruikt dezelfde sleutel voor encryptie en decryptie. Het biedt meer veiligheid dan DES. De sleutelgrootte is 128 bits

· AES-192 — Gelijkaardig aan AES-128, maar zijn belangrijkste grootte is 192 beetjes.

· AES-256 — Gelijkaardig aan AES-128, maar zijn zeer belangrijke grootte is 256 beetjes. Dit is het best beveiligde encryptie algoritme beschikbaar.

Stap 12. Kies een van de volgende opties in de vervolgkeuzelijsten voor fase 1-verificatie en fase 2-verificatie:

· SHA1 — Dit algoritme produceert een hashwaarde van 160 bits. Met deze waarde controleert het algoritme op integriteit in de uitgewisselde gegevens, en het zorgt ervoor dat de gegevens niet zijn veranderd.

· MD5 — Dit is een algoritmeontwerp voor verificatiedoeleinden. Dit algoritme controleert de integriteit van de gedeelde informatie tussen de twee einden van de tunnel van VPN. Het produceert een hashwaarde die wordt gedeeld om de sleutel aan beide uiteinden van de VPN-tunnel te verifiëren.

Stap 13. In de velden Leven van fase 1 SA en Fase 2 SA Leven, voer de tijd (in seconden) in dat de VPN-tunnel in een fase actief is. De standaardwaarde voor fase 1 is 28800 seconden. De standaardwaarde voor fase 2 is 3600 seconden.

Opmerking: de configuratie van fase 1 en fase 2 moet op beide routers hetzelfde zijn.

Stap 14. (Optioneel) Schakel het aanvinkvakje Perfect Forward Secrecy in om Perfect Forward Secrecy (PFS) in te schakelen. Met PFS, IKE fase 2 onderhandeling zal nieuwe gegevens voor encryptie en authentificatie produceren, die meer veiligheid afdwingt.

Stap 15. Voer in de sleutel Preshared de sleutel in die beide routers delen voor de verificatie.

Stap 16. (Optioneel) Schakel het aanvinkvakje Minimale Preshared Key Complexity in om de Preshared Key Strength Meter in te schakelen, die u de kracht vertelt van de sleutel die u maakt.

Stap 17. (Optioneel) Klik op Advanced+ om geavanceerde coderingsopties te configureren.

Stap 18. Klik op Opslaan om uw configuraties op te slaan.

Geavanceerde VPN-opties

Als u meer functies wilt toevoegen aan uw VPN-instellingen, biedt de RV Wired Routers Series geavanceerde opties. Deze opties verbeteren de beveiligingsfuncties van uw VPN-tunnel. Deze opties zijn facultatief, maar als u geavanceerde opties op één router plaatst, zorg ervoor om de zelfde opties op de andere router te plaatsen. In het volgende gedeelte worden deze opties toegelicht.

Stap 1. Klik in het veld IPSec op de knop Advanced+. De pagina Geavanceerd wordt geopend:

Opmerking: Als u de geavanceerde opties van een client voor de gateway voor VPN-tunnels wilt configureren, kiest u VPN > client voor gateway. Klik vervolgens op Geavanceerd+.

 

Het bovenstaande beeld geeft een voorbeeld van een configuratie van de geavanceerde opties.

Stap 2. Controleer onder Advanced de opties die u aan uw VPN-instellingen wilt toevoegen:

· Agressieve modus — met deze optie is de onderhandeling over de sleutel sneller, wat de veiligheid vermindert. Schakel het aanvinkvakje Aggressive Mode in als u de snelheid van de VPN-tunnel wilt verbeteren.

· Comprimeer (Support IP payload Compression Protocol (IP Comp)) — Met deze optie verlaagt het IP Comp protocol de omvang van de IP-datagrammen.  Schakel het aanvinkvakje Compress (Support IP payload Compression Protocol) in om deze optie in te schakelen

· Keep Alive — deze optie probeert de VPN-sessie opnieuw te starten als deze wordt verbroken. Schakel het selectievakje Levend behouden in om deze optie in te schakelen.

· AH Hash Algorithm — Deze optie breidt de bescherming uit naar de IP-header om de integriteit van het hele pakket te controleren. MD5 of SHA1 kunnen voor dit doel worden gebruikt. Selecteer het aanvinkvakje AH Hash Algorithm en kies MD5 of SHA1 in de vervolgkeuzelijst om de verificatie van het gehele pakket in te schakelen.

· NetBIOS Broadcast — Dit is een Windows-protocol dat informatie geeft over de verschillende apparaten die in een LAN zijn aangesloten, zoals printers, computers en bestandsservers. Normaal gesproken verzendt VPN deze informatie niet. Schakel het aanvinkvakje NetBIOS Broadcast in om deze informatie via de VPN-tunnel te verzenden.

· NAT Trauniversal — Network Address Translation maakt het voor gebruikers in een privaat LAN mogelijk om internetbronnen te gebruiken met behulp van een openbaar IP-adres als bronadres. Als uw router zich achter een NAT-gateway bevindt, schakelt u het aankruisvakje NAT Traverse in.

· Dead Peer Detection Interval — Controleer het aanvinkvakje Dead Peer Detection Interval en voer (in seconden) het interval in voordat de router een ander pakket verstuurt om de connectiviteit van de VPN-tunnel te controleren.

Stap 3. Klik op Opslaan om de configuraties op te slaan. 

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Dec-2018
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco