Een Virtual Private Network (VPN) wordt gebruikt om een beveiligde verbinding te vormen tussen twee endpoints via een openbare of gedeelde internetverbinding, via wat een VPN-tunnel wordt genoemd. Meer specifiek, staat een gateway-to-gateway VPN verbinding voor twee routers toe om veilig met elkaar en voor een cliënt op één eind te verbinden logisch om te verschijnen alsof zij een deel van het netwerk op het andere eind zijn. Hierdoor kunnen gegevens en bronnen gemakkelijker en veiliger worden gedeeld via het internet.
De configuratie moet op beide routers worden uitgevoerd om een gateway-to-gateway VPN in te schakelen. De configuraties die worden uitgevoerd in de secties Local Group Setup en Remote Group Setup moeten worden omgekeerd tussen de twee routers, zodat de lokale groep van de ene de externe groep van de andere is.
Het doel van dit document is uit te leggen hoe u Gateway-to-Gateway VPN kunt configureren op RV016, RV042, RV042G en RV082 VPN Series routers.
· RV016
•RV042
· RV042G
· RV082
· v4.2.2.08
Stap 1. Meld u aan bij het hulpprogramma Routerconfiguratie en kies VPN > Gateway om gateway te vinden. De pagina Gateway to Gateway wordt geopend:
Om gateway naar gateway VPN te configureren moeten de volgende functies worden geconfigureerd:
1. Een nieuwe tunnel toevoegen
Tunnel nr. is een lees slechts gebied dat de huidige tunnel toont die zal worden tot stand gebracht.
Stap 1. Voer een naam in voor de VPN-tunnel in het veld Tunnelnaam. Het hoeft niet overeen te komen met de naam die aan de andere kant van de tunnel wordt gebruikt.
Stap 2. Kies in de vervolgkeuzelijst Interface de WAN-poort (Wide Area Network) die u voor de tunnel wilt gebruiken.
· WAN1 — De speciale WAN-poort van de VPN-routers uit de RV0XX reeks.
· WAN2 — De WAN2/DMZ-poort van de RV0X Series VPN-routers. Toont alleen in het vervolgkeuzemenu als dit is geconfigureerd als WAN en niet als DMZ-poort (Demilitarze Zone).
Stap 3. (Optioneel) Om VPN in te schakelen, schakelt u het aankruisvakje in het veld Inschakelen in. VPN is standaard ingeschakeld.
Opmerking: de configuratie voor de installatie van de lokale groep op de ene router moet dezelfde zijn als de configuratie voor de installatie van de externe groep op de andere router.
Stap 1. Kies de juiste methode voor routeridentificatie om een VPN-tunnel te maken uit de vervolgkeuzelijst Local Security Gateway Type.
· Alleen IP — de lokale router (deze router) wordt herkend door een statisch IP-adres. U kunt deze optie alleen kiezen als de router een statisch WAN IP heeft. Het statische WAN IP-adres wordt automatisch weergegeven in het veld IP-adres.
· IP + Domeinnaam (FQDN) Verificatie — Toegang tot de tunnel is mogelijk via een statisch IP-adres en een geregistreerd domein. Als u deze optie kiest, voert u de naam van het geregistreerde domein in het veld Domeinnaam in. Het statische WAN IP-adres wordt automatisch weergegeven in het veld IP-adres.
· IP + E-mail Addr. (USER FQDN) verificatie — Toegang tot de tunnel is mogelijk via een statisch IP-adres en een e-mailadres. Als u deze optie kiest, voert u het e-mailadres in het veld E-mailadres in. Het statische WAN IP-adres wordt automatisch weergegeven in het veld IP-adres.
· Dynamische IP + Domeinnaam (FQDN) Verificatie — Toegang tot de tunnel is mogelijk via een dynamisch IP-adres en een geregistreerd domein. Als u deze optie kiest, voert u de naam van het geregistreerde domein in het veld Domeinnaam in.
· Dynamische IP + E-mail Addr. (USER FQDN) verificatie — Toegang tot de tunnel is mogelijk via een dynamisch IP-adres en een e-mailadres. Als u deze optie kiest, voert u het e-mailadres in het veld E-mailadres in.
Stap 2. Kies de juiste lokale LAN-gebruiker of groep gebruikers die toegang hebben tot de VPN-tunnel in de vervolgkeuzelijst Local Security Group. De standaardinstelling is Subnet.
· IP — Slechts één LAN-apparaat kan toegang krijgen tot de VPN-tunnel. Als u deze optie kiest, voert u het IP-adres van het LAN-apparaat in het veld IP-adres in.
· Subnet — Alle LAN-apparaten op een specifieke subnetverbinding kunnen toegang krijgen tot de tunnel. Als u deze optie kiest, voert u het IP-adres en het subnetmasker van de LAN-apparaten in het veld IP-adres en subnetmasker in. Het standaardmasker is 25.255.255.0.
· IP-bereik — Een bereik van LAN-apparaten kan toegang tot de tunnel krijgen. Als u deze optie kiest, voert u het begin- en eindadres van het IP-adres in in de velden Begin IP en Einde IP in.
Stap 3. Klik op Opslaan om de instellingen op te slaan.
Opmerking: de configuratie voor de installatie van de externe groep op de ene router moet dezelfde zijn als de configuratie voor de installatie van de lokale groep op de andere router.
Stap 1. Kies in de vervolgkeuzelijst Remote Security Gateway Type de methode om de externe router te identificeren om de VPN-tunnel tot stand te brengen.
· Alleen IP — toegang tot de tunnel is mogelijk via een statisch WAN-IP. Als u het IP-adres van de externe router kent, kiest u IP-adres in de vervolgkeuzelijst direct onder het veld Remote Security Gateway Type en voert u het IP-adres in. Kies IP by DNS Opgelost als u het IP-adres niet kent, maar wel de domeinnaam kent, en voer in het veld IP by DNS Resolved de domeinnaam van de router in.
· IP + Domeinnaam (FQDN) Verificatie — Toegang tot de tunnel is mogelijk via een statisch IP-adres en een geregistreerd domein voor de router. Als u het IP-adres van de externe router kent, kiest u IP-adres in de vervolgkeuzelijst direct onder het veld Remote Security Gateway Type en voert u het adres in. Kies IP by DNS Opgelost als u het IP-adres niet kent, maar wel de domeinnaam kent, en voer in het veld IP by DNS Resolved de domeinnaam van de router in. Voer in het veld Domeinnaam de domeinnaam van de router in, ongeacht de methode waarmee u deze wilt identificeren.
· IP + e-mail Addr. (USER FQDN) verificatie — Toegang tot de tunnel is mogelijk via een statisch IP-adres en een e-mailadres. Als u het IP-adres van de externe router kent, kiest u IP-adres in de vervolgkeuzelijst direct onder het veld Remote Security Gateway en voert u het adres in. Kies IP by DNS Opgelost als u het IP-adres niet kent, maar wel de domeinnaam kent, en voer in het veld IP by DNS Resolved de domeinnaam van de router in. Voer het e-mailadres in het veld E-mailadres in.
· Dynamische IP + Domeinnaam (FQDN) Verificatie — Toegang tot de tunnel is mogelijk via een dynamisch IP-adres en een geregistreerd domein. Als u deze optie kiest, voert u de naam van het geregistreerde domein in het veld Domeinnaam in.
· Dynamische IP + E-mail Addr. (USER FQDN) verificatie — Toegang tot de tunnel is mogelijk via een dynamisch IP-adres en een e-mailadres. Als u deze optie kiest, voert u het e-mailadres in het veld E-mailadres in.
Stap 2. Kies de gewenste externe LAN-gebruiker of groep gebruikers die toegang hebben tot de VPN-tunnel uit de vervolgkeuzelijst Type beveiligingsgroep.
· IP — Slechts één specifiek LAN-apparaat kan toegang krijgen tot de tunnel. Als u deze optie kiest, voert u het IP-adres van het LAN-apparaat in het veld IP-adres in.
· Subnet — Alle LAN-apparaten op een specifieke subnetverbinding kunnen toegang krijgen tot de tunnel. Als u deze optie kiest, voert u het IP-adres en het subnetmasker van de LAN-apparaten in het veld IP-adres en subnetmasker in.
· IP-bereik: een reeks LAN-apparaten kan toegang tot de tunnel krijgen. Als u deze optie kiest, voert u het begin- en eindadres van het IP-adres in in de velden Begin IP en Einde IP in.
Opmerking: de twee routers aan de uiteinden van de tunnel kunnen niet op dezelfde subnetverbinding staan.
Stap 3. Klik op Opslaan om de instellingen op te slaan.
Internet Protocol Security (IPSec) is een beveiligingsprotocol op de internetlaag dat end-to-end beveiliging biedt via verificatie en encryptie tijdens elke communicatiesessie.
Opmerking: beide uiteinden van VPN moeten dezelfde methoden van encryptie, decryptie en verificatie hebben om goed te werken. Voer voor beide routers dezelfde instellingen voor IPSec Setup in.
Stap 1. Kies de juiste modus voor sleutelbeheer om de beveiliging te garanderen uit de vervolgkeuzelijst Sleutelmodus. De standaardmodus is IKE met Preshared-toets.
· Handmatig — Een aangepaste beveiligingsmodus om zelf een nieuwe beveiligingssleutel te genereren en geen onderhandeling met de sleutel. Het is het beste te gebruiken tijdens probleemoplossing en in een kleine statische omgeving.
· IKE met Preshared sleutel — Internet Key Exchange (IKE) protocol wordt gebruikt om automatisch een preshared sleutel te genereren en te ruilen om communicatie voor de tunnel te verifiëren.
Stap 1. Voer in het veld Inkomende SPI de unieke hexadecimale waarde in voor inkomende security parameter index (SPI). SPI wordt meegeleverd in de ESP-header (Encapsulating Security Payload Protocol) en bepaalt de beveiliging van het inkomende pakket. U kunt een waarde van 100 naar ffffffff invoeren. De inkomende SPI van de lokale router moet overeenkomen met de uitgaande SPI van de externe router.
Stap 2. Voer in het veld Uitgaande SPI de unieke hexadecimale waarde in voor uitgaande Security Parameter Index (SPI). U kunt een waarde van 100 naar ffffffff invoeren. De uitgaande SPI van de externe router moet overeenkomen met de inkomende SPI van de lokale router.
Opmerking: geen twee tunnels kunnen dezelfde SPI hebben.
Stap 3. Kies de juiste coderingsmethode voor de gegevens in de vervolgkeuzelijst Encryptie. De aanbevolen codering is 3DES. De VPN-tunnel moet aan beide uiteinden dezelfde coderingsmethode gebruiken.
· DES — Data Encryption Standard (DES) gebruikt een 56-bits sleutelgrootte voor gegevenscodering. DES is verouderd en zou slechts moeten worden gebruikt als één eindpunt slechts DES steunt.
· 3DES — Triple Data Encryption Standard (3DES) is een 168-bits, eenvoudige coderingsmethode. 3DES versleutelt de gegevens drie keer, wat meer beveiliging biedt dan DES.
Stap 4. Kies de juiste verificatiemethode voor de gegevens in de vervolgkeuzelijst Verificatie. De aanbevolen verificatie is SHA1 omdat deze veiliger is dan MD5. De VPN-tunnel moet voor beide doeleinden dezelfde verificatiemethode gebruiken.
· MD5 — Message Digest Algorithm-5 (MD5) is een 128-bits hashfunctie die de gegevens tegen kwaadaardige aanvallen beschermt door middel van een berekening van de controlesom.
· SHA1 — Secure Hash Algorithm versie 1 (SHA1) is een 160-bits hashfunctie die veiliger is dan MD5, maar het kost meer tijd om te berekenen.
Stap 5. Voer de sleutel in om gegevens te versleutelen en te decrypteren in het veld Encryption Key. Als u in Stap 3 voor DES als coderingsmethode kiest, voert u een hexadecimale waarde van 16 cijfers in. Als u in Stap 3 3DES als coderingsmethode kiest, voert u een hexadecimale waarde van 40 cijfers in.
Stap 6. Voer een vooraf gedeelde sleutel in om het verkeer te verifiëren in het veld Verificatiesleutel. Als u in stap 4 MD5 als verificatiemethode kiest, voert u een hexadecimale waarde van 32 cijfers in. Als u SHA1 als verificatiemethode in stap 4 kiest, voert u een hexadecimale waarde van 40 cijfers in. Als u niet genoeg cijfers toevoegt, worden er nullen toegevoegd aan het einde totdat er genoeg cijfers zijn. De VPN-tunnel moet voor beide doeleinden dezelfde vooraf gedeelde sleutel gebruiken.
Stap 7. Klik op Opslaan om de instellingen op te slaan.
Stap 1. Kies de gewenste fase 1 DH-groep uit de vervolgkeuzelijst fase 1 DH-groep. Fase 1 wordt gebruikt om de simplex, logical security associatie (SA) tussen de twee uiteinden van de tunnel tot stand te brengen om veilige communicatie te ondersteunen. Diffie-Hellman (DH) is een cryptografisch sleuteluitwisselingsprotocol dat wordt gebruikt om de sterkte van de sleutel tijdens fase 1 te bepalen en het deelt ook de geheime sleutel om de communicatie te authenticeren.
· Groep 1 - 768 bit —De laagste sterktesleutel en de meest onveilige authentificatiegroep maar vergt de minste hoeveelheid tijd om de sleutels IKE te berekenen. Deze optie heeft de voorkeur als de netwerksnelheid laag is.
· Groep 2 - 1024 bit — Een hogere sterkte sleutel en veiliger authenticatie groep dan groep 1, maar het kost meer tijd om de IKE-sleutels te berekenen.
· Groep 5 - 1536 bit — De hoogste sterktesleutel en de veiligste verificatiegroep. Het heeft meer tijd nodig om de IKE-sleutels te berekenen. De voorkeur gaat uit naar een netwerk met een hoge snelheid.
Stap 2. Kies de gewenste fase 1-encryptie om de sleutel uit de vervolgkeuzelijst fase 1-encryptie te versleutelen. AES-128, AES-192 of AES-256 worden aanbevolen. De VPN-tunnel moet voor beide doeleinden dezelfde coderingsmethode gebruiken.
· DES — Data Encryption Standard (DES) gebruikt een 56-bits sleutelgrootte voor gegevenscodering. DES is verouderd en zou slechts moeten worden gebruikt als één eindpunt slechts DES steunt.
· 3DES — Triple Data Encryption Standard (3DES) is een 168-bits, eenvoudige coderingsmethode. 3DES versleutelt de gegevens drie keer, wat meer beveiliging biedt dan DES.
· AES-128 — Advanced Encryption Standard (AES) is een 128-bits coderingsmethode die de onbewerkte tekst door 10 cycli en herhalingen omzet in coderingstekst.
· AES-192 — Advanced Encryption Standard (AES) is een 192-bits coderingsmethode die de onbewerkte tekst door 12 cycli en herhalingen omzet in coderingstekst. AES-192 is veiliger dan AES-128.
· AES-256 — Advanced Encryption Standard (AES) is een 256-bits coderingsmethode die de onbewerkte tekst met 14 cycli en herhalingen omzet in coderingstekst. AES-256 is de best beveiligde coderingsmethode.
Stap 3. Kies de juiste verificatiemethode voor fase 1 uit de vervolgkeuzelijst Fase 1-verificatie. De VPN-tunnel moet voor beide doeleinden dezelfde verificatiemethode gebruiken. SHA1 wordt aanbevolen.
· MD5 — Message Digest Algorithm-5 (MD5) is een 128-bits hashfunctie die de gegevens tegen kwaadaardige aanvallen beschermt door middel van een checksum berekening.
· SHA1 — Secure Hash Algorithm versie 1 (SHA1) is een 160-bits hashfunctie die veiliger is dan MD5, maar het kost meer tijd om te berekenen.
Stap 4. Voer de hoeveelheid tijd in in seconden dat de sleutels van fase 1 geldig zijn en dat de VPN-tunnel actief blijft in het veld Fase 1 SA-levenstijd.
Stap 5. Controleer het aanvinkvakje Perfect Forward Secrecy om de toetsen beter te beschermen. Deze optie staat de router toe om een nieuwe sleutel te produceren als om het even welke sleutel wordt gecompromitteerd. De versleutelde gegevens worden alleen gecompromitteerd via de gecompromitteerde sleutel. Dit is een aanbevolen actie omdat deze meer beveiliging biedt.
Stap 6. Kies de juiste fase 2-DH-groep uit de vervolgkeuzelijst Fase 2-DH-groep. Fase 2 maakt gebruik van security associaties en wordt gebruikt om de beveiliging van het gegevenspakket te bepalen wanneer het door de twee eindpunten gaat.
· Groep 1 - 768 bit —De laagste sterkte sleutel en de meest onveilige authenticatie groep, maar neemt de minste tijd om de IKE sleutels te berekenen. Deze optie heeft de voorkeur als de netwerksnelheid laag is.
· Groep 2 - 1024 bit — Een hogere sterkte sleutel en veiligere authenticatiegroep dan groep 1, maar duurt langer om de IKE-sleutels te berekenen.
· Groep 5 - 1536 bit — De hoogste sterktesleutel en de veiligste verificatiegroep. Het heeft meer tijd nodig om de IKE-sleutels te berekenen. De voorkeur gaat uit naar een netwerk met een hoge snelheid.
Stap 7. Kies de juiste fase 2-encryptie om de sleutel te versleutelen uit de vervolgkeuzelijst fase 2-encryptie. AES-128, AES-192 of AES-256 worden aanbevolen. De VPN-tunnel moet voor beide doeleinden dezelfde coderingsmethode gebruiken.
· NULL - Er wordt geen encryptie gebruikt.
· DES — Data Encryption Standard (DES) gebruikt een 56-bits sleutelgrootte voor gegevenscodering. DES is verouderd en zou slechts moeten worden gebruikt als één eindpunt slechts DES steunt.
· 3DES — Triple Data Encryption Standard (3DES) is een 168-bits, eenvoudige coderingsmethode. 3DES versleutelt de gegevens drie keer, wat meer beveiliging biedt dan DES.
· AES-128 — Advanced Encryption Standard (AES) is een 128-bits coderingsmethode die de onbewerkte tekst door 10 cyclusherhalingen omzet in gecodeerde tekst.
· AES-192 — Advanced Encryption Standard (AES) is een 192-bits coderingsmethode die de onbewerkte tekst door 12 cyclusherhalingen omzet in gecodeerde tekst. AES-192 is beter beveiligd dan AES-128.
· AES-256 — Advanced Encryption Standard (AES) is een 256-bits coderingsmethode die de onbewerkte tekst door 14 cyclusherhalingen omzet in gecodeerde tekst. AES-256 is de best beveiligde coderingsmethode.
Stap 8. Kies de juiste verificatiemethode uit de vervolgkeuzelijst Fase 2-verificatie. De VPN-tunnel moet voor beide doeleinden dezelfde verificatiemethode gebruiken. SHA1 wordt aanbevolen.
· MD5 — Message Digest Algorithm-5 (MD5) is een 128-bits hexadecimale hashfunctie die de gegevens tegen kwaadaardige aanvallen beschermt door middel van een checksum.
· SHA1 — Secure Hash Algorithm versie 1 (SHA1) is een 160-bits hashfunctie die veiliger is dan MD5, maar het kost meer tijd om te berekenen.
· Ongeldig — er wordt geen verificatiemethode gebruikt.
Stap 9. Geef de hoeveelheid tijd in seconden op dat de toetsen van fase 2 geldig zijn en dat de VPN-tunnel actief blijft in het veld Fase 2 SA Life Time.
Stap 10. Voer een sleutel in die eerder wordt gedeeld tussen de IKE-peers om de peers in het veld Preshared Key te verifiëren. Tot 30 hexadecimale tekens en tekens kunnen worden gebruikt als de vooraf gedeelde sleutel. De VPN-tunnel moet dezelfde vooraf gedeelde sleutel voor beide doeleinden gebruiken.
Opmerking: het is sterk aanbevolen om de vooraf gedeelde sleutel tussen de IKE-peers vaak te wijzigen, zodat de VPN beveiligd blijft.
Stap 11. (Optioneel) Als u de sterktemeter voor de vooraf gedeelde sleutel wilt inschakelen, schakelt u het aanvinkvakje Minimale vooraf gedeelde sleutelcomplexiteit in. Het wordt gebruikt voor het bepalen van de sterkte van de pre-gedeelde sleutel door kleurenbars.
· Preshared Key Strength Meter — Dit toont de kracht van de preshared sleutel door gekleurde balken. Rood geeft zwakke sterkte aan, geel geeft aanvaardbare sterkte aan en groen geeft sterke sterkte aan.
Stap 12. Klik op Opslaan om de instellingen op te slaan.
N.B.: Als u de opties wilt configureren die beschikbaar zijn in het gedeelte Advanced voor Gateway to Gateway VPN, raadpleegt u het artikel Geavanceerde instellingen voor Gateway to Gateway VPN op RV016, RV042, RV042G en RV082 VPN-routers.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
11-Dec-2018 |
Eerste vrijgave |