banner_nika_hozyaike      banner_pos_bekker     banner_specpredl_roznica_2

Главная Новости

VPN

Опубликовано: 16.07.2022

VPN

Cisco RV260 — конфигурация VPN

Технологии развиваются, и во время COVID-19 бизнес часто ведется за пределами офиса. Устройства более мобильны, а сотрудники часто работают из дома или в пути, подробнее ознакомиться https://ecco.ru/men/shoes/all/. Это может вызвать некоторые уязвимости в системе безопасности. Виртуальная частная сеть (VPN) — отличный способ подключить удаленных сотрудников к защищенной сети. VPN позволяет удаленному хосту действовать так, как если бы он был подключен к локальной защищенной сети .

Например, если наш клиент открыл новый филиал своей компании в другом городе, но основные информационные серверы остались в головном офисе, то нам на помощь приходит Виртуальная частная сеть . Мы установили проверенный маршрутизатор Cisco RV260 в каждом из наших офисов, который специально разработан для таких целей, как VPN-подключение и коммутация сети.

Как работает VPN?

VPN устанавливает зашифрованное соединение в менее защищенной сети, такой как Интернет. Это обеспечивает соответствующий уровень безопасности подключенных систем. Туннель создан как частная сеть, которая может безопасно передавать данные, используя стандартное шифрование и аутентификацию. Соединение VPN обычно использует Интернет-протокол ( IPsec ) или уровень защищенных сокетов ( SSL ) для защиты соединения.

Топология сети

VPN-маршрутизатор — Cisco RV260

Первое, что нам нужно, это статический публичный IP-адрес от нашего провайдера. И только после этого можно перейти к настройкам оборудования.

Маршрутизатор Cisco RV260 идеально подходит для нашей задачи, поскольку имеет:
  • 8 гигабитных портов Ethernet, к которым можно напрямую подключить до 8 коммутаторов;
  • Порт WAN для подключения к интернету от провайдера. Порт WAN позволяет подключить кабель LAN RJ-45 или модуль SFP с оптическим кабелем от нашего поставщика;
  • USB-порт для подключения USB-модема 3g/4g. Так же будет полезно для подключения резервной линии связи к интернету (резервной).
  • Лучше всего то, что Cisco RV260 может поддерживать до 20 VPN-подключений!

    Настройка VPN на маршрутизаторах Cisco

    Перейдем к настройке наших маршрутизаторов. После распаковки установил в стойку и выполнил базовая конфигурация,мы готовы настроить VPN-подключения .

    Настраивать будем через веб-интерфейс.

    И сразу перейдите на вкладку VPN -> Мастер настройки VPN

    .

    Вводим название нашего подключения ( HomeBatna24 ) и выбираем интерфейс WAN. Так же можем сразу настроить резервный доступ в интернет через модем 3G/4G, затем выбрать интерфейс USB. После установки всех данных перейдите в следующее меню, нажав « Далее ».

    Следующее, что нам нужно сделать, это выбрать тип удаленного подключения: по статическому IP-адресу или доменному имени (FQDN) . В нашем случае выбираем статический IP-адрес, а в соседнее поле вводим IP-адрес удаленного роутера в формате IPv4 (145.x.x.x). Переходим в следующее меню, нажимая кнопку «Далее».

    В разделе Локальные и удаленные сети выберите, какой локальный трафик будет доступен для удаленных офисных устройств. В нашем случае весь локальный трафик ( Любой ). Также задаем подсеть, для которой будет доступен наш локальный трафик в удаленной сети.

    В разделе Профиль мы можем выбрать существующий профиль для IPSec, но в этом случае мы создадим свой собственный.

    Что такое IKE?

    IKE — это гибридный протокол, реализующий обмен ключами Oakley и обмен ключами Skeme как часть Internet Security Association and Key Management Protocol (ISAKMP). Чтобы лучше понять механизм IKE, вот некоторые из основных преимуществ:
  • обеспечивает аутентификацию одноранговых узлов IPsec
  • согласовывает ключи IPsec и согласовывает сопоставления безопасности IPsec
  • Также стоит добавить, что IKEv2 более эффективен, поскольку для обмена ключами требуется меньше пакетов и поддерживается больше вариантов проверки подлинности. Напротив, IKEv1 выполняет аутентификацию только на основе открытого ключа и сертификата.

    В нашем примере мы выберем IKEv1 в качестве версии IKE. Однако если устройство поддерживает IKEv2, мы рекомендуем использовать IKEv2 . Что важно! Оба маршрутизатора (локальный и удаленный) должны использовать одинаковую версию IKE и параметры безопасности.

    Конфигурация IKEv1

    В разделе Параметры этапа I выберите группу DH (Diffie-Hellman) "Group2 — 1024 бит" . DH — это протокол обмена ключами с двумя группами ключей разной длины: группа 2 — до 1024 бит, а группа 5 — до 1536 бит. Группа 2 быстрее, чем группа 5, но группа 5 безопаснее .

    Затем выберите вариант шифрования (3DES, AES-128, AES-192 или AES-256) . Этот метод определяет алгоритм, который используется для шифрования или расшифровки пакетов Инкапсуляция полезной нагрузки безопасности (ESP) / Internet Security Association and Key Management Protocol (ISAKMP) .

    Стандарт тройного шифрования данных (3DES) использует шифрование DES трижды, но теперь это более старый алгоритм. Это означает, что вы должны использовать его только тогда, когда нет лучшей альтернативы, поскольку он по-прежнему обеспечивает маргинальный, но приемлемый уровень безопасности. Пользователям следует использовать его только в случае необходимости для обеспечения обратной совместимости, поскольку он уязвим для некоторых атак.

    Усовершенствованный стандарт шифрования (AES) — это криптографический алгоритм, более безопасный, чем DES. AES использует ключ большего размера, что гарантирует, что единственный известный подход к расшифровке сообщения — попытка злоумышленника использовать все возможные ключи. Рекомендуется использовать AES вместо 3DES. В этом примере мы будем использовать AES-192 в качестве варианта шифрования.

    Метод аутентификации определяет, как проверяются пакеты заголовков Encapsulating Security Payload Protocol (ESP) . MD5 — это алгоритм одностороннего хеширования, который генерирует 128-битную сводку. SHA1 — это алгоритм одностороннего хеширования, который генерирует 160-битный хэш, а SHA2-256 — 256-битный хэш. SHA2-256 рекомендуется, потому что он безопаснее. Используйте один и тот же метод аутентификации на обоих концах VPN-туннеля.

    Время жизни SA (сек) — указывает количество времени в секундах, в течение которого IKE SA активен на этом этапе. Новый SA согласовывается до истечения срока его действия, чтобы гарантировать, что новый SA будет готов к использованию после истечения срока действия старого SA. Значение по умолчанию — 28800 ,диапазон — от 120 до 86400. В качестве времени жизни SA для этапа I мы будем использовать значение по умолчанию 28800 секунд.

    Общий ключ — открытый ключ, который будет использоваться для аутентификации удаленного партнера IKE. Можно ввести до 30 символов, причем желательно, чтобы это были прописные и строчные буквы + цифры + символы. Оба конца туннеля должны иметь одинаковые ключи .

    Настройка IKE — этап II

    В разделе Параметры фазы II выберите соответствующий протокол из списка. В нашем случае это ESP , поскольку он более безопасен и шифрует данные.

    Для параметра Шифрование мы выбираем AES-192. Этот метод определяет алгоритм, который используется для шифрования или расшифровки пакетов Инкапсуляция полезной нагрузки безопасности (ESP) / Internet Security Association and Key Management Protocol (ISAKMP) .

    Метод аутентификации указывает, как проверяются пакеты заголовков протокола полезной нагрузки инкапсуляции (ESP) . Один и тот же метод аутентификации должен использоваться на обоих концах туннеля VPN. Мы выбираем SHA2-256 , потому что это более безопасно.

    Время жизни SA (сек.) для второй фазы должно быть меньше значения для первой фазы. Значение по умолчанию — 3600 секунд, и мы выбираем именно его.

    Когда Perfect Forward Secrecy (PFS) включен. Согласование фазы 2 IKE генерирует новый ключевой материал для шифрования и аутентификации трафика IPsec. Perfect Forward Secrecy используется для повышения безопасности сообщений, отправляемых через Интернет с использованием криптографии с открытым ключом. При включении этой функции нам также необходимо указать DH. В данном случае это «Группа 2 — 1024 бита» .

    Осталось только ввести имя профиля и нажать «Далее».

    Проверьте правильность нашей конфигурации и нажмите " Отправить ".

    Настройка удаленного маршрутизатора Cisco RV260

    Мы уже закончили настройку нашего локального маршрутизатора , теперь пришло время настроить наш удаленный маршрутизатор . Конечно, настройка аналогична локальному маршрутизатору, но мы также представим ее пошагово.

    Задаем имя и тип подключения.

    В настройках Настройки удаленного маршрутизатора выберите тип удаленного подключения (Статический IP) и введите IP-адрес WAN маршрутизатора в главном офисе. Переходим в следующее меню, нажимая кнопку Next.

    В разделе Локальные и удаленные сети задаем параметры, необходимые для нашей сети.

    Профиль заполняется так же, как мы настроили коммутатор local с тем же ключи. Мы делаем то же самое для Этапа II .

    На странице Резюме убедитесь, что все заполнено правильно, и подтвердите, нажав кнопку Отправить :

    Сохранение и проверка конфигурации VPN

    Готово! Мы успешно установили VPN-соединение между двумя точками. Осталось всего 2 мелочи, но нам еще нужно их сделать:
  • Сохраните конфигурацию оборудования. Если мы этого не сделаем, то потеряем все настройки иначе после перезагрузки устройства.
  • Чтобы убедиться, что наше VPN-подключение работает правильно
  • Чтобы сохранить конфигурацию устройства, перейдите на вкладку Администрирование> Управление конфигурацией . Задайте параметры: Источник: Текущая конфигурация и Назначение: Конфигурация запуска . После настройки всех параметров нажмите Применить .

    Как уже упоминалось, мы смогли успешно настроить соединение VPN Site-to-Site с помощью мастера настройки VPN. Так что самое время проверить, все ли работает исправно. Перейдите на вкладку VPN> IPSec VPN> Site-to-Site . Если все работает нормально, вы должны увидеть статус Подключено

    Наконец, перейдите на вкладку Статус и статистика> Статус VPN . Он показывает статус VPN-подключения. В нашем случае мы видим, что наш туннель Site-to-Site находится в состоянии Enable and UP .

    avatar
    Бражина Корона Ивановна
    Бражина Корона Ивановна
    Опубликовано: 16.07.2022 | Исправлено: 16.07.2022



    Lysan Borec Filippovich
    16.07.2022 в 12:20
    - Я опустошен и очень разочарован решением судьи после нескольких недель судебных баталий. Я хочу быть у постели моего маленького мальчика. Я в ярости, что больница и судья не учли то, что хотела его семья. Не могу поверить, что у Арчи было достаточно времени. С самого начала я думал, к чему спешка. Его сердце все еще бьется, однажды он схватил меня за руку, и мой материнский инстинкт подсказывает, что мой сын все еще там, — комментирует обезумевшая Холли.

    Все комментарии

    Наш магазин

    Сезонные товары

    Icon    Доставка в течение дня
    Icon    Работаем с 09:00 до 18:00 кроме выходных
    Icon    Возврат в течении 14 дней
    Icon    Гарантия на все товары
    rss