Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek

Как использовать цифровую подпись X.509 для аутентификации LAN-to-LAN IPsec VPN между маршрутизаторами DrayTek Vigor

Маршрутизаторы Vigor поддерживают RSA (X.509) для аутентификации IPsec, что повышает безопасность туннелей VPN. В этой статье мы возьмем XCA в качестве поставщика сертификатов для создания сертификатов для VPN-маршрутизаторов для создания туннеля IPsec с RSA.

Настройка VPN-сервера

1. Перейдите в раздел «System Maintenance >> Time and Date » и убедитесь, что время установлено правильно.

снимок экрана с настройками времени и даты DrayOS

2. Перейдите в раздел «Certificate Management >> Local Certificate» и нажмите «Generate».

3. Введите сведения о сертификате и нажмите «Generate».

сгенерировать сертификат сервера

4. Нажмите «View» и скопируйте содержимое формата PEM.

копировать сертификат сервера

5. Запустите XCA, нажмите «New Certificate» и выберите [default]CA template на вкладке сертификата.

построить rootCA

6. На вкладке «subject » введите данные RootCA и сгенерируйте новый ключ, затем нажмите «Create », чтобы создать RootCA для подписи сертификатов для маршрутизаторов VPN.

построить ключ rootCA

7. Экспортируйте RootCA в формате PEM (*. Crt) и импортируйте его в маршрутизатор в разделе Certificate Management >> Trusted CA Certificate

импортировать rootCA

8. Вернитесь в XCA, щелкните правой кнопкой мыши ЗCertificate signing requests и Вставьте данные PEM, затем Import All.

вставить сертификат сервера

9. Щелкните сертификат правой кнопкой мыши и подпишите его только что созданным RootCA.

подписать сертификат сервера

10. Экспортируйте сертификат в формате PEM (*. Crt) на вкладке «Certificate » и импортируйте его в маршрутизатор в разделе «Certificate Management >> Local Certificate».

сертификат сервера импорта

11. Перейдите в раздел VPN Remote Access >> IPsec General Setupи выберите только что созданный локальный сертификат в IKE Authentication Method >> Certificate

выберите сертификат vpn

12. Перейдите в раздел VPN and Remote Access >> IPsec Peer Identity  и щелкните Index .

  • Enable this account
  • Выберите метод проверки, здесь мы используем Accept Subject Alternative Name для проверки сертификата узла VPN.

создать однорангового узла ipsec

13. Перейдите в раздел VVPN and Remote Access >> LAN to LAN, и нажмите Index

  • Включите этот профиль и выберите Dial-In в качестве направления
  • Разрешить туннель IPsec и цифровую подпись (X.509), затем выбрать идентификатор узла IPsec.
  • Введите LAN-сеть однорангового VPN-маршрутизатора в поле Remote Network IP / Mask.

сервер ipsec

Настройка VPN-клиента

14. Повторите шаги 1 ~ 4 и 7 ~ 10, чтобы создать сертификат для другого маршрутизатора VPN.

сертификат клиента

15. Перейдите в разделVPN and Remote Access >> IPsec Peer Identity и щелкните Index.

  • Включить эту учетную запись
  • Выберите метод проверки, здесь мы используем Accept Subject Alternative Name для проверки сертификата узла VPN.

клиентский партнер

16. Перейдите в раздел VPN and Remote Access >> LAN to LAN и щелкните Index.

  • Включите этот профиль и выберите Dial-Out в качестве направления
  • Выберите туннель IPsec для набора и введите адрес VPN-сервера.
  • Выберите цифровую подпись (X.509), затем выберите IPsec Peer Identity в Peer ID, выберите локальный сертификат в Local ID.
  • Введите LAN-сеть однорангового VPN-маршрутизатора в поле Remote Network IP / Mask.

VPN-клиент

17. Перейдите в раздел  VPN and Remote Access >> Connection Management, выберите профиль VPN для набора номера.

подключить VPN

Мы увидим статус VPN-подключения ниже, когда VPN будет работать.

VPN вверх


Поиск по каталогу
Например Termit iRZ модем Rl21 Atm21 Антенна 906 sma 47270
Поиск по базе знаний
Например ATM control iRZ collector iRZ bridge Termit Настройка ALFA
Мы используем cookie-файлы