Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek VPN

IPsec VPN между Cisco ASA и Vigor3900/2960

В этой статье  рассказывается, как настроить туннель IPsec между CiscoASA и Vigor3900/2960. Сценарий состоит в том, что Vigor2960 имеет два интерфейса WAN и будет звонить Cisco через WAN2, когда WAN1 не работает.

В этом примере WAN1 устройства Vigor2960 имеет общедоступный IP-адрес 1.1.1.1, WAN2 — 2.2.2.2, а IP-адрес локальной подсети — 192.168.0.0/2. Cisco ASA 5515 имеет общедоступный IP-адрес глобальной сети 4.4.4.4 и IP-адрес локальной подсети 10.1.0.0/24.

Настройка Cisco в качестве VPN-сервера (Dial-In)

1. Используйте мастера VPN для создания профиля Site-to-site VPN для Vigor2960 Dial-In.

скриншот CiscoASA

2. Укажите IP-адрес WAN1 Vigor2960 «1.1.1.1» в качестве IP-адреса узла.

скриншот CiscoASA

3. Укажите локальную сеть и удаленную сеть.

скриншот CiscoASA

4. Введите Pre-Shared Key

скриншот CiscoASA

5. Снимите галочку с опции Exempt ASA side host/network from address translation.

скриншот CiscoASA

6. Сводка этого профиля VPN будет отображаться следующим образом, включая принятый протокол IKE, политику IKE и предложение IPsec.

скриншот CiscoASA

7. Перейдите в Crypto Maps и отредактируйте указанную Crypto Map, добавив (разрешив) второй одноранговый IP-адрес (это общедоступный IP-адрес WAN2 2.2.2.2 Vigor2960).

скриншот CiscoASA

8. Теперь добавьте второе VPN-соединение с помощью мастера VPN. Используйте те же настройки, за исключением Peer Public IP. Теперь используйте 2.2.2.2 вместо 1.1.1.1.

скриншот CiscoASA

9. После этого конфиг должен выглядеть примерно так, как показано ниже.

скриншот CiscoASA

Настройка Vigor2960 в качестве VPN-клиента (Dial-Out)

10. Перейдите в  раздел « VPN and Remote Access >> VPN Profile >> IPsec» и нажмите «  Add»  , чтобы создать новый профиль:

  1. На вкладке «Основные» введите Profile name и Enable this profile .
  2. Выберите «Always Dial-Out» для  Auto Dial-Out 
  3. Выберите wan1 для Dial-Out VPN Through .
  4. Выберите wan2 для Failover to
  5. Введите Local IP /Subnet Mask в качестве сети LAN на маршрутизаторе Vigor.
  6. Введите IP-адрес Cisco WAN в Remote Host
  7. Введите Remote IP/ Subnet Mask  в качестве локальной сети Cisco.
  8. Выберите  IKEv1
  9. Введите Pre-Shared Key.

Скриншот Vigor2960

11. На вкладке «Дополнительно» измените  «Phase1 Key Lifetime» с 28800 с на 3600 с. (Поскольку в конфигурации Cisco VPN время жизни ключа фазы 1 составляет 3600 секунд.)

Скриншот Vigor2960

12. На вкладке «Proposal » выберите точное предложение, которое соответствует настройке предложения на Cisco. Нажмите Apply , чтобы сохранить профиль.

Скриншот Vigor2960

После завершения вышеуказанных конфигураций Vigor2960 будет автоматически подключаться к туннелю IPsec к Cisco через WAN1 и подключать его к Cisco через WAN2 в качестве аварийного переключения, когда WAN1 не работает.

Оборудование

  • VPN-маршрутизаторы

    VPN-роутер DrayTek Vigor2960, SN193003834711

    Код:  
    VPN-роутер DrayTek Vigor2960, SN193003834711 - фото
    43 472 ₽
    Без НДС
    Оптовая цена по запросу
    VPN шлюз и центральный межсетевой экран для обеспечения безопасности распределенных сетей и удаленных пользователей, 200 одновременных VPN туннелей.
  • VPN-маршрутизаторы

    VPN-роутер DrayTek Vigor2960, SN196003914600

    Код:  
    VPN-роутер DrayTek Vigor2960, SN196003914600 - фото
    43 472 ₽
    Без НДС
    Оптовая цена по запросу
    VPN шлюз и центральный межсетевой экран для обеспечения безопасности распределенных сетей и удаленных пользователей, 200 одновременных VPN туннелей.

Сравнение товаров {{compareItems.length}}

Например termit irz модем rl21 atm21 антенна 906 sma 45791
Например termit irz модем rl21 atm21 антенна 906 sma 45791
Мы используем cookie-файлы