Пример использования «D-Link VPN Assistant» для настройки туннелей IPSec.

В качестве примера рассмотрим процесс настройки туннелей IPSec между четырьмя маршрутизаторами серии DSR в следующей тестовой сети (см. Рис. 1).

Рисунок 1. Общая схема тестовой сети

В этой сети маршрутизатор R1 выполняет роль центрального маршрутизатора. На нём работает «классическая» маршрутизация между пятью сетями: 192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24, 192.168.5.0/24 и 192.168.10.0/24. Соответствующие IP-адреса интерфейсов маршрутизатора R1 в этих сетях показаны на схеме (см. Рис. 1).

Туннели IPSec будем настраивать между маршрутизаторами DSR-1000N, DSR-500N, DSR-250 и DSR-500, которые включены в четыре разных IP-сети, маршрутизируемых на R1.

В нашем примере на маршрутизаторах серии DSR используются следующие версии прошивок:

·  DSR-1000N – версия 1.08B23;

·  DSR-500N – версия 1.08B23;

·  DSR-500 – версия 1.08B23;

·  DSR-250 – версии 1.05B53.

Следует иметь в виду, что процесс настройки маршрутизаторов с другими версиями прошивок может незначительно отличаться от описанного ниже.

Программное обеспечение «D-Link VPN Assistant» будем использовать  на компьютере Notebook. Поскольку сетевой адаптер этого компьютера имеет IP-адрес 192.168.10.101/24 с адресом шлюза по умолчанию 192.168.10.10, то для доступа к сетям 192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24 и 192.168.5.0/24 на компьютере Notebook следует явным образом прописать маршруты на эти сети через IP-интерфейс 192.168.10.109 маршрутизатора R1 (см. Рис. 2). Заметим, что такое добавление маршрутов требуется только для нашей тестовой сети, и в нём нет необходимости в случае наличия доступа к этим маршрутизаторам через Интернет.

Рисунок 2. Добавление маршрутов на компьютере Notebook

До начала использования программного обеспечения «D-Link VPN Assistant» необходимо выполнить базовую настройку маршрутизаторов DSR-1000N, DSR-500N, DSR-250 и DSR-500. Эта настройка выполняется из внутренней (LAN) сети каждого из маршрутизаторов. IP-адресация интерфейсов всех этих маршрутизаторов в нашей тестовой сети показана на схеме (см. Рис. 1).

Рассмотрим базовые настройки на примере маршрутизатора DSR-1000N.

Сначала в меню Setup --> Network Settings --> LAN Setup Configuration следует настроить его интерфейс LAN (см. Рис. 3).

Рисунок 3. Меню настройки интерфейса LAN на маршрутизаторе DSR-1000N

Не забываем, что в целях безопасности необходимо изменить пароль на административный доступ к устройству. Сделать это можно в меню Setup --> Internal Users Data --> Users (см. Рис. 4и Рис. 5).

Рисунок 4. Меню редактирования учётных записей на маршрутизаторе DSR-1000N

Рисунок 5. Изменение учётной записи администратора на маршрутизаторе DSR-1000N

После этого в меню Setup --> Internet Settings --> WAN1 Settings --> WAN1 Setup следует настроить интерфейс WAN маршрутизатора (см. Рис. 6).

Рисунок 6. Меню настройки интерфейса WAN на маршрутизаторе DSR-1000N

Информацию о текущем состоянии интерфейсов маршрутизатора можно проверить в меню Status --> Device Info --> Device Status (см. Рис. 7).

Рисунок 7. Информация о состоянии интерфейсов маршрутизатора DSR-1000N

Теперь необходимо настроить удалённое (со стороны WAN) управление маршрутизатором. Выполняется это в меню Tools --> Admin --> Remote Management (см. Рис. 8).

Следует иметь в виду, что для работы программного обеспечения «D-Link VPN Assistant» достаточно разрешить удалённое управление маршрутизатором только по SSH, однако в нашем примере для удобства разрешим удалённое управление маршрутизатором также по HTTPS.

Рисунок 8. Меню настройки удалённого управления маршрутизатором DSR-1000N

Также – только для удобства– разрешим в нашем примере на интерфейсе WAN маршрутизатора  эхо-ответ на утилиту ping. Сделать это можно в меню Advanced --> Advanced Network --> WAN Port Setup (см. Рис. 9).

Рисунок 9. Меню расширенных настроек интерфейса WAN на маршрутизаторе DSR-1000N

На этом базовую настройку маршрутизатора DSR-1000N в нашей тестовой сети можно считать завершённой (см. Рис. 1):

·  этот маршрутизатор включён и правильно настроена IP-адресация его интерфейсов LAN и WAN;

·  к этому маршрутизатору есть доступ на удалённое управление по SSH с компьютера Notebook.

Подобным же образом настраиваются и остальные три маршрутизатора (DSR-500N, DSR-250 и DSR-500) в нашей тестовой сети (см. Рис. 1).

После этого можно приступать к использованию «D-Link VPN Assistant». Выполнять это программное обеспечение будем на компьютере Notebook (см. Рис. 1).

Напомним, что это программное обеспечение не требует каких-либо процессов инсталляции на компьютер, но для его работы на компьютере должно быть предварительно установлено JRE (Java Runtime Environment) версии 1.5 или выше. Более подробное описание ПО «D-Link VPN Assistant» можно найти по следующей ссылке:

общее описание «D-Link VPN Assistant» (DVPNA).

Для запуска на компьютере программного обеспечения «D-Link VPN Assistant» следует запустить пакетный файл startup.bat из той папки, в которую было разархивировано это ПО. После запуска появится окно «VPN Assistant Logon», в котором необходимо ввести пароль для доступа к этому ПО (см. Рис. 10). По умолчанию пароль – admin

Рисунок 10. Окно аутентификации «VPN Assistant Logon»,

После запуска «D-Link VPN Assistant» выведет главное окно пользовательского интерфейса, в котором открыта вкладка топологии сети – «Topology» (см. Рис. 11). Пока в «D-Link VPN Assistant» не было добавлено ни одного устройства, это окно – пустое.

Рисунок 11. Вкладка «Topology» в главном окне «D-Link VPN Assistant»

Для добавления устройства следует нажать кнопку «Add Device» на панели инструментов сверху. В появившемся окне «Add Device» необходимо ввести параметры удалённого управления маршрутизатором по SSH (см. Рис. 12):

·  IP-адрес маршрутизатора (или его доменное имя);

·  номер порта SSH (по умолчанию – 22);

·  имя и пароль административной учётной записи.

Рисунок 12. Окно «Add Device» программного обеспечения «D-Link VPN Assistant»

После нажатия в окне «Add Device» кнопки «OK», программное обеспечение по SSH опросит заданный маршрутизатор и отобразит информацию о нём в топологии сети (см. Рис. 13).

Рисунок 13. Информация о DSR-1000N в «D-Link VPN Assistant» (вкладка «Topology»)

Подобным же образом в «D-Link VPN Assistant» добавляем и остальные три маршрутизатора (DSR-500N, DSR-250 и DSR-500) нашей тестовой сети (см. Рис. 14).

Рисунок 14. Информация о четырёх маршрутизаторах в «D-Link VPN Assistant» (вкладка «Topology»)

Более подробную информацию о маршрутизаторах, добавленных в «D-Link VPN Assistant», можно получить на вкладке «Device List» (см. Рис. 15).

Рисунок 15. Информация о четырёх маршрутизаторах в «D-Link VPN Assistant» (вкладка «Device List»)

Теперь приступим непосредственно к процессу создания туннелей IPSec с помощью программного обеспечения «D-Link VPN Assistant». На панели инструментов сверху нажимаем кнопку «Create VPN». В появившемся окне мастера «Create VPN Wizard» сначала следует выбрать тип создаваемого туннеля (см. Рис. 16):

·  «Site to Site» («Сайт на Сайт») – соединение двух сетей по топологии «точка-точка»;

·  «Hub And Spokes» («Ступица и Спицы») – соединение нескольких сетей по топологии «звезда».

В нашем примере выберем тип туннеля «Hub And Spokes», как более сложный.

Рисунок 16. Окно «Create VPN Wizard» программного обеспечения «D-Link VPN Assistant»

В следующем окне мастера «Create VPN Wizard» следует выполнить основную настройку туннелей IPSec (см. Рис. 17). Сначала нажмём кнопку «Select», чтобы задать «Hub» («ступицу») – центральную точку нашей VPN-«звезды».

Рисунок 17. Окно основных настроек VPN в «D-Link VPN Assistant»

В открывшемся окне «Device Select» выберем маршрутизатор DSR-1000N в качестве «ступицы» нашей VPN-сети (см. Рис. 18).

Рисунок 18. Окно выбора устройства для добавления к VPN в «D-Link VPN Assistant»

В окне мастера «Create VPN Wizard» увидим, что IP-адрес маршрутизатора DSR-1000N успешно добавлен (см. Рис. 19).

Далее в этом окне:

·   зададим ключ (Pre-shared Key), который будет использоваться при установлении туннеля (вполне разумно использовать и случайно сгенерированный ключ, предлагаемый мастером);

·  с помощью кнопки «Allow Spoke-to-spoke communication» разрешим (при необходимости) не только связь между «спицами» и «ступицей», но и между самими «спицами»;

·  нажмём кнопку «Add», чтобы добавить «Spokes» («спицы») к нашей VPN-«звезде».

Рисунок 19. Окно основных настроек VPN в «D-Link VPN Assistant»

В открывшемся окне «Device Select» выберем маршрутизатор DSR-500N в качестве одной из «спиц» нашей тестовой VPN-сети (см. Рис. 20).

Рисунок 20. Окно выбора устройства для добавления к VPN в «D-Link VPN Assistant»

В окне мастера «Create VPN Wizard» видим, что IP-адрес маршрутизатора DSR-500N успешно добавлен в список «спиц» (см. Рис. 21):

 

Рисунок 21. Окно основных настроек VPN в «D-Link VPN Assistant»

Подобным же образом в мастере «Create VPN Wizard» добавим и маршрутизатор DSR-250 в качестве второй «спицы» нашей тестовой VPN-сети (см. Рис. 22). Ещё один маршрутизатор (DSR-500) пока добавлять не будем, и оставим его для наших дальнейших «экспериментов».

Кнопка «Advanced Configure» в мастере «Create VPN Wizard» предназначена для изменения расширенных настроек IPSec, но в рамках данного примера мы не будем рассматривать эти настройки.

После задания всех требуемых настроек в мастере «Create VPN Wizard» следует нажать кнопку «Finish» (см. Рис. 22).

 

Рисунок 22. Окно основных настроек VPN в «D-Link VPN Assistant»

Стартует процесс создания туннелей IPSec, который займёт всего несколько минут (см. Рис. 23и Рис. 24).

Рисунок 23. Индикатор прогресса создания VPN в «D-Link VPN Assistant»

Рисунок 24. Успешное завершение процесса создания VPN в «D-Link VPN Assistant»

После этого во вкладке «Topology» в главном окне пользовательского интерфейса «D-Link VPN Assistant» можно увидеть созданные нами туннели IPSec и их состояние (см. Рис. 25).

 

Рисунок 25. Информация о туннелях IPSec в «D-Link VPN Assistant» (вкладка «Topology»)

Более подробную информацию об этих туннелях IPSec можно получить  на вкладке «VPN-List» (см. Рис. 26).

Здесь же можно изменить настройку этих туннелей. К примеру, добавим оставшийся маршрутизатор (DSR-500) в качестве ещё одной «спицы» нашей тестовой VPN-сети.

Для этого на вкладке «VPN-List» нажмём кнопку «Add» (см. Рис. 26).

Рисунок 26. Подробная информация о туннелях IPSec в «D-Link VPN Assistant» (вкладка «VPN List»)

В открывшемся окне «Device Select» выберем маршрутизатор DSR-500 в качестве ещё одной «спицы» нашей VPN-сети (см. Рис. 27).

Рисунок 27. Окно выбора устройства для добавления к VPN в «D-Link VPN Assistant»

После этого в мастере «Create VPN Wizard» следует нажать кнопку «Modify» (см. Рис. 28).

Рисунок 28. Применение новой конфигурации туннелей IPSec в «D-Link VPN Assistant» (вкладка «VPN List»)

Стартует процесс изменения настроек туннелей IPSec, который займёт всего несколько минут (см. Рис. 29и Рис. 30).

Рисунок 29. Индикатор прогресса изменения настроек VPN в «D-Link VPN Assistant»

Рисунок 30. Успешное завершение изменения настроек VPN в «D-Link VPN Assistant»

На вкладке «VPN-List» главного окна пользовательского интерфейса «D-Link VPN Assistant» видим подробную информацию об изменённых туннелях IPSec (см. Рис. 31).

Рисунок 31. Подробная информация о туннелях IPSec в «D-Link VPN Assistant» (вкладка «VPN List»)

На вкладке «Topology» также видим соответствующие изменения (см. Рис. 32).

Рисунок 32. Информация о туннелях IPSec в «D-Link VPN Assistant» (вкладка «Topology»)

На этом в нашем примере процесс создания и изменения туннелей IPSec посредством «D-Link VPN Assistant» завершён.

Давайте также посмотрим информацию о созданных VPN через веб-интерфейс управления маршрутизатором DSR-1000N (см. Рис. 33и Рис. 34).

Рисунок 33. Информация о состоянии туннелей VPN на маршрутизаторе DSR-1000N

Рисунок 34. Настройки IPSec VPN policies на маршрутизаторе DSR-1000N

Подобные настройки можно наблюдать и на маршрутизаторах DSR-500N, DSR-250 и DSR-500.

Давайте подведём итоги.

Бесплатное программное обеспечение «D-Link VPN Assistant» (DVPNA) является удобным инструментом, который призван облегчить процесс настройки туннелей IPSec между маршрутизаторами серии DSR.

С помощью этого программного обеспечения процедура настройки туннелей VPN на нескольких маршрутизаторах одновременно занимает в среднем от 3-х до 5-ти минут.

Использование программного обеспечения «D-Link VPN Assistant» позволяет:

·  существенно сократить затраты времени на конфигурирование туннелей VPN на маршрутизаторах;

·  избежать случайных ошибок в процессе настройки VPN на нескольких маршрутизаторах (несовпадающие параметры, пароли и т.п.);

·  упростить работу системных администраторов, у которых нет достаточного опыта настройки туннелей VPN;

·  централизованно мониторить состояние маршрутизаторов и туннелей IPSec;

·  представлять топологию созданных туннелей VPN в удобном графическом виде.

Таким образом, программное обеспечение «D-Link VPN Assistant» позволяет существенно повысить эффективность работы инженерного персонала при развертывании туннелей IPSec.