Het doel van dit document is om u te tonen hoe u één client aan gateway Virtual Private Network (VPN) op RV32x Series VPN-routers kunt configureren.
Een VPN is een privaat netwerk dat wordt gebruikt om virtueel een externe gebruiker via een openbaar netwerk aan te sluiten. Eén type VPN is een client-naar-gateway VPN. Een client-naar-gateway VPN is een verbinding tussen een externe gebruiker en het netwerk. De client is ingesteld in het gebruikersapparaat met VPN-clientsoftware. Hiermee kunnen gebruikers zich veilig op een netwerk aansluiten.
Stap 1. Meld u aan bij het web configuratieprogramma en kies VPN > Client naar Gateway. De pagina Client to Gateway wordt geopend:
Stap 2. Klik op de radioknop van de Tunnel om één tunnel voor client aan gateway VPN toe te voegen.
Opmerking: Tunnel nr. - vertegenwoordigt het aantal tunnels. Dit nummer wordt automatisch gegenereerd.
Stap 1. Voer de naam van de tunnel in in het veld Tunnelnaam.
Stap 2. Kies de interface waarmee de externe client naar VPN toegang heeft van de vervolgkeuzelijst Interface.
Stap 3. Kies de juiste modus van het sleutelbeheer om beveiliging te garanderen in de vervolgkeuzelijst Keying Mode De standaardmodus is IKE met de PreShared key.
De opties zijn als volgt gedefinieerd:
Stap 4. Controleer het aanvinkvakje Enable om client in te schakelen om VPN-poort te openen. Deze functie is standaard ingeschakeld.
Stap 5. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Opslaan om de instellingen op te slaan.
Opmerking: Volg de onderstaande stappen als u Handmatig of IKE met de Gepubliceerde sleutel uit de vervolgkeuzelijst Toetsenmodus in Stap 3 van het gedeelte Nieuwe Tunnel toevoegen.
Stap 1. Kies de juiste router-identificatiemethode uit de vervolgkeuzelijst Local Security Gateway om een VPN-tunnel op te zetten.
De opties zijn als volgt gedefinieerd:
Stap 2. Kies de juiste lokale LAN-gebruiker of de groep gebruikers die toegang kunnen krijgen tot de VPN-tunnel in de vervolgkeuzelijst Type de lokale beveiligingsgroep. De standaardinstelling is Subnet.
Stap 3. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Omlaag en vervolgens klikt u op Opslaan om de instellingen op te slaan.
Opmerking: Volg de onderstaande stappen als u voor IKE met certificaatnummer kiest in de vervolgkeuzelijst Keying Mode in Stap 3 van het gedeelte Add a New Tunnel.
Stap 1. Kies het juiste lokale certificaat om de router te identificeren uit de vervolgkeuzelijst Lokaal certificaat. Klik op Zelfgenerator om het certificaat automatisch te genereren of klik op Importeren om een nieuw certificaat te importeren.
Opmerking: om meer te weten te komen over de manier waarop automatisch certificaten kunnen worden gegenereerd, raadpleeg Generate Certificaten op RV320 Routers, en om te weten hoe u certificaten kunt importeren om Mijn certificaat op RV320 Routers te configureren.
Stap 2. Kies het juiste type lokale LAN-gebruiker of groep gebruikers die toegang kunnen krijgen tot de VPN-tunnel uit de vervolgkeuzelijst Type Local Security Group. De standaardinstelling is Subnet.
Stap 3. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Omlaag en vervolgens klikt u op Opslaan om de instellingen op te slaan.
Opmerking: Volg de onderstaande stappen als u Handmatig of IKE met Voorgedeelde sleutel uit de vervolgkeuzelijst Keying Mode in Stap 3 van het gedeelte Add a New Tunnel hebt geselecteerd.
Stap 1. Kies de juiste client-identificatiemethode om een VPN-tunnel te maken uit de vervolgkeuzelijst Remote Security Gateway. De standaard is alleen IP.
Opmerking: Als u Handmatig kiest uit de vervolgkeuzelijst Toetsenmodus in Stap 3 in het vak Toevoegen van een nieuwe tunnelleiding door Tunnel of groep VPN, is dit de enige beschikbare optie.
Stap 2. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Omlaag en vervolgens klikt u op Opslaan om de instellingen op te slaan.
Opmerking: Volg de onderstaande stappen als u voor IKE met Certificaat hebt gekozen uit de vervolgkeuzelijst Keying Mode in Stap 3 van het gedeelte Add a New Tunnel.
Stap 1. Kies IP-adres of IP met DNS-oplossing in de vervolgkeuzelijst.
Stap 2. Kies het juiste externe certificaat in de vervolgkeuzelijst Remote certificaataanvraag. Klik op Afstandscertificaat importeren om een nieuw certificaat te importeren of klik op CSR autoriseren om certificaat te identificeren met een digitale tekenaanvraag.
Opmerking: Als u meer wilt weten over het importeren van een nieuw certificaat, raadpleeg Beeld/Toevoegen Trusted SSL-certificaat op RV320-routers en om meer te weten te komen over geautoriseerd CSR raadpleeg CSR-certificaataanvraag (CSR) op RV320-routers.
Stap 3. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Omlaag en vervolgens klikt u op Opslaan om de instellingen op te slaan.
Opmerking: Volg de onderstaande stappen als u Handmatig kiest uit de vervolgkeuzelijst Keying Mode in Stap 3 van het gedeelte Add a New Tunnel.
Stap 1. Voer de unieke hexadecimale waarde in voor de inkomende Security Parameter Index (SPI) in het veld Inkomende SPI. De SPI wordt in de Encapsulating Security Payload Protocol (ESP)-header gedragen, die samen de security associatie (SA) voor het inkomende pakket bepaalt. Het bereik is 100 in het veld, standaard 100.
Stap 2. Voer de unieke hexadecimale waarde in voor de uitgaande Security Parameter Index (SPI) in het uitgaande SPI-veld. De SPI wordt opgeslagen in Encapsulation Security Payload Protocol (ESP)-header, die samen de Security Association (SA) bepaalt voor het uitgaande pakket. Het bereik is 100 in het veld, standaard 100.
Opmerking: De inkomende SPI van het aangesloten apparaat en de uitgaande SPI van het andere uiteinde van de tunnel moeten elkaar koppelen om een tunnel tot stand te brengen.
Stap 3. Kies de juiste encryptie-methode in de vervolgkeuzelijst Encryption. De aanbevolen codering is 3DES. De VPN-tunnel moet dezelfde coderingsmethode gebruiken voor beide eindpunten.
Stap 4. Kies de juiste authenticatiemethode in de vervolgkeuzelijst Verificatie. De aanbevolen authenticatie is SHA1. De VPN-tunnel moet dezelfde authenticatiemethode gebruiken voor beide uiteinden.
Stap 5. Voer de sleutel in om gegevens te versleutelen en te decrypteren in het veld Encryption Key. Als u DES als encryptiemethode in stap 3 hebt gekozen, moet u een 16-cijferige hexadecimale waarde invoeren. Als u 3DES als encryptiemethode in Stap 3 hebt gekozen, moet u een 40-cijferige hexadecimale waarde invoeren.
Stap 6. Voer een vooraf gedeelde sleutel in om het verkeer in het veld Verificatiesleutel te authentiseren. Als u MD5 als authenticatiemethode in stap 4 kiest, moet u een hexadecimale waarde van 32 cijfers invoeren. Als u in Stap 4 SHA als authenticatiemethode kiest, moet u een hexadecimale waarde van 40 cijfers invoeren. De VPN-tunnel moet dezelfde vooraf gedeelde toets gebruiken voor beide eindpunten.
Stap 7. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Opslaan om de instellingen op te slaan.
Opmerking: Volg de onderstaande stappen als u voor IKE hebt gekozen met Voorgedeelde sleutel of IKE met Certificaat van de vervolgkeuzelijst Keying Mode in Stap 3 van het gedeelte Add a New Tunnel.
Stap 1. Kies de juiste Fase 1 DH-groep uit de vervolgkeuzelijst Fase 1 DH Group. Fase 1 wordt gebruikt om de simplex, logical security association (SA) tussen de twee uiteinden van de tunnel op te richten ter ondersteuning van veilige authentieke communicatie. Diffie-Hellman (DH) is een cryptografisch zeer belangrijk uitwisselingsprotocol dat tijdens Fase 1 verbinding wordt gebruikt om geheime sleutel te delen om communicatie te authentiseren.
Stap 2. Kies de juiste fase 1-encryptie om de sleutel te versleutelen uit de vervolgkeuzelijst Fase 1 Encryption. AES-256 wordt aanbevolen, omdat dit de best beveiligde coderingsmethode is. De VPN-tunnel moet dezelfde coderingsmethode gebruiken voor beide eindpunten.
Stap 3. Kies de juiste authenticatiemethode in de vervolgkeuzelijst Fase 1-verificatie. De VPN-tunnel moet dezelfde verificatiemethode toepassen voor beide uiteinden.
Stap 4. Voer de hoeveelheid tijd in in seconden, in fase 1, blijft de VPN-tunnel actief in het veld Fase 1 SA Live. De standaardtijd is 2800 seconden.
Stap 5. Controleer het vakje Perfect Forward Security om meer bescherming aan de toetsen te bieden. Met deze optie kunt u een nieuwe toets genereren indien er een toets wordt gecompromitteerd. De versleutelde gegevens worden alleen via de gecompromitteerde toets gecompromitteerd. Het zorgt voor meer veiligheid en authenticiteit van communicatie, omdat het andere sleutels veilig stelt, door een sleutel in gevaar te brengen. Dit is een aanbevolen actie omdat deze meer beveiliging biedt.
Stap 6. Kies de juiste fase 2 DH-groep uit de vervolgkeuzelijst Fase 2 DH Group. Fase 1 wordt gebruikt om de simplex, logical security association (SA) tussen de twee uiteinden van de tunnel aan te leggen ter ondersteuning van beveiligde communicatie. Diffie-Hellman (DH) is een cryptografisch zeer belangrijk uitwisselingsprotocol dat tijdens Fase 1 verbinding wordt gebruikt om geheime sleutel te delen om communicatie te authentiseren.
Stap 7. Kies de juiste fase 2-encryptie om de sleutel te versleutelen van de vervolgkeuzelijst Fase 2 met Encryptie. AES-256 wordt aanbevolen, omdat dit de best beveiligde coderingsmethode is. De VPN-tunnel moet dezelfde coderingsmethode gebruiken voor beide eindpunten.
Stap 8. Kies de juiste authenticatiemethode in de vervolgkeuzelijst Fase 2-verificatie. De VPN-tunnel moet dezelfde verificatiemethode toepassen voor beide uiteinden.
Stap 9. Voer de hoeveelheid tijd in in seconden, in fase 2, blijft de VPN-tunnel actief in het veld Fase 2 SA Livetime. De standaardtijd is 3600 seconden.
Stap 10. Controleer het aanvinkvakje Minimale gedeelde sleutel Complexity als u krachtmeter voor de voorgedeelde toets wilt inschakelen.
Stap 1. Voer een toets in die eerder door de IKE-peers wordt gedeeld in het veld PreShared Key. Tot 30 alfanumerieke tekens kunnen als voorgedeelde toets worden gebruikt. De VPN-tunnel moet dezelfde vooraf gedeelde toets gebruiken voor beide eindpunten.
Opmerking: Het is sterk aanbevolen om regelmatig de gedeelde sleutel tussen de IKE-peers te veranderen zodat VPN veilig blijft.
Opmerking: Als u voor IKE met PreShared Key kiest uit de vervolgkeuzelijst Keying Mode in Stap 3 voor Add een sectie New Tunnel, kunt u alleen de optie hebben om Stap 10, Stap 11 te configureren en de Gepubliceerde toetsuitbreidingsmeter te bekijken.
Stap 12. Als u de instellingen wilt opslaan die u tot nu toe hebt, klikt u op Opslaan om de instellingen op te slaan.
Geavanceerde instellingen zijn alleen mogelijk voor IKE met PreShared Key en IKE met certificeringssleutel. De handmatig ingestelde instellingen hebben geen geavanceerde instellingen.
Stap 1. Klik op Advanced om de geavanceerde instellingen voor IKE te verkrijgen met de PreShared-toets.
Stap 2. Controleer het vakje Aggressive Mode als uw netwerksnelheid laag is. Het wisselt de ID's van de eindpunten van de tunnel in duidelijke tekst uit tijdens SA-aansluiting, hetgeen minder tijd vergt om te wisselen maar minder veilig is.
Stap 3. Controleer het vakje Compressed (Support IP payload Compression Protocol (IPComp) als u de grootte van IP-datagram wilt comprimeren. IPComp is een IP-compressieverhouding die wordt gebruikt om de grootte van IP-datagram te comprimeren als de netwerksnelheid laag is en de gebruiker de gegevens snel zonder verlies door het trage netwerk wil verzenden.
Stap 4.Controleer het aanvinkvakje Houd-bewegend vast als u altijd wilt dat de verbinding met de VPN-tunnel actief blijft. Het helpt om de verbindingen onmiddellijk te herstellen als een verbinding inactief wordt.
Stap 5. Controleer het aankruisvakje AH Hash Algorithm als u de Verificate Header (AH) wilt controleren. AH biedt verificatie aan gegevensoorsprong, gegevensintegriteit door middel van een checksum en de beveiliging wordt uitgebreid naar de IP-header. De tunnel zou hetzelfde algoritme moeten hebben voor beide kanten.
Stap 6. Controleer Netoverheid Broadcast als u niet-routeerbaar verkeer via de VPN-tunnel wilt toestaan. Dit is een ongecontroleerd standaard. Netoverheid wordt gebruikt om netwerkbronnen zoals printers, computers etc. in het netwerk te detecteren door middel van bepaalde softwaretoepassingen en Windows-functies zoals de netwerkbuurt.
Stap 7. Controleer het vakje NAT Traversal als u via uw openbare IP-adres het internet wilt bereiken via uw privénetwerk. NAT-verplaatsing wordt gebruikt om de privé IP-adressen van de interne systemen als openbare IP-adressen te verschijnen om de privé IP-adressen te beschermen tegen elke kwaadaardige aanval of ontdekking.
Stap 8. Controleer het Dead Peer Detection Interval om de levendigheid van de VPN-tunnel door hallo of ACK periodiek te controleren. Als u dit aanvinkvakje aankruist, specificeert u de duur of het interval van de gedag berichten die u wilt.
Stap 9. Controleer Uitgebreide verificatie om meer beveiliging en verificatie van de VPN-verbinding te bieden. Klik op het gewenste keuzerondje om de verificatie van de VPN-verbinding uit te breiden.
Opmerking: Om meer te weten te komen over het toevoegen of bewerken van de lokale database, raadpleegt u Gebruiker- en Domain Management Configuration op RV320-router.
Stap 10. Controleer Mode Configuration om IP-adres te geven voor de inkomende tunnelaanvrager.
Opmerking: Stap 9 tot Stap 11 is beschikbaar voor de IKE PreShared Keying Mode voor Tunnel VPN.
Stap 1. Klik op Opslaan om de instellingen op te slaan.
U hebt nu de stappen geleerd om één client te configureren naar gateway-VPN op RV32x Series VPN-routers