- Настройка L2TP Over IPsec на маршрутизаторах QTECH QSR-1920/2920/3920
- Объединение филиалов через VPN на оборудовании QTECH
- Пошаговая настройка объединения филиалов через VPN, с помощью оборудования QTECH
- Настройка подключения L2TP и PPTP на примере QBR-1041v2s
- Настройка подключения L2TP и PPTP на примере QBR-1041v2s
Настройка L2TP Over IPsec на маршрутизаторах QTECH QSR-1920/2920/3920
Настройка L2TP на корпоративных маршрутизаторах QTECH позволяет сэкономить организациям с точки зрения цены решения.
Большую часть настроек будем выполнять в консоли.
1. Начнем с установки белого статического IP-адреса.
ip address 100.1.1.1 255.255.255.252
2. Определяем диапазон адресов для удалённых L2TP-пользователей.
Первым делом задаем диапазон IP-адресов. Адреса из данного диапазона будут присваиваться удалённым клиентам.
QSR(config)#ip local pool L2TP_POOL 10.10.10.20 10.10.10.80
3. Создаем виртуальные интерфейсы.
Создаём интерфейс Loopback, который будет выступать шлюзом для удалённых клиентов.
QSR(config)#ip address 10.10.10.10 255.255.255.255
Создаём интерфейс Virtual-Template – это шаблон для подключения L2TP-клиентов.
QSR(config)#ppp authentication ms-chap-v2
QSR(config)#peer default ip address pool L2TP_POOL
QSR(config)#ip unnumbered loopback0
4. Задаем параметры шифрования
На данном этапе требуется задать параметры шифрования для траффика и задать общий ключ для удалённых клиентов.
Общий ключ для клиентов « QTECH »
QSR(config)#crypto ike key QTECH any
QSR(config)#crypto ike proposal ike_l2tp
QSR(config)#crypto ipsec proposal ipsec_l2tp
QSR(config-ipsec-prop)#esp 3des sha1
QSR(config)#crypto tunnel TUN_L2TP
QSR(config-tunnel)#local address 100.1.1.1
QSR(config-tunnel)#set authentication preshared
QSR(config-tunnel)#set ike proposal ike_l2tp
QSR(config-tunnel)#set ipsec proposal ipsec_l2tp
5. Настраиваем криптополитику.
QSR(config)#crypto policy L2TP_POLICY
QSR(config-policy)#flow host 100.1.1.1 any udp 1701 any ipv4-tunnel TUN_L2TP
6. Настраиваем авторизацию удалённых L2TP-клиентов.
Здесь возможны разные варианты, возможна авторизация локальная или через сервер авторизации Radius.
Для локальной авторизации:
Создаём пользователя на маршрутизаторе для локальной авторизации.
local-user client class network
QSR(config-user-network-client)#password 0 client
Далее создаём домен для авторизации и аутентификации.
Присваиваем имя « LOCAL_L2TP »
QSR(config-isp-LOCAL_L2TP)#aaa authentication ppp local
QSR(config-isp-LOCAL_L2TP)#aaa authorization ppp local
Для авторизации через Radius-server:
Назначаем имя группы серверов « RadiusServer »
IP-адрес Radius сервера 172.16.1.1
Ключ от сервера QtechServer
QSR(config)#aaa server group radius RadiusServer
QSR(config-sg-radius-RadiusServer)#server 172.16.1.1 acct-port 1813 auth-port 1812 key 0 QtechServer
Создаём домен для авторизации через Radius, задаём имя домена « Radius_L2TP »
QSR(config-isp-Radius_L2TP)#aaa authentication ppp radius-group RadiusServer
QSR(config-isp-Radius_L2TP)#aaa authorization ppp radius-group RadiusServer
QSR(config-isp-Radius_L2TP)#aaa accounting ppp start-stop radius-group RadiusServer
Для авторизации удалённых клиентов через Radius, дополнительно укажите название домена в шаблоне virtual-template.
QSR(config)#ppp authentication ms-chap-v2 RADIUS_L2TP
7. Запуск сервера L2TP.
Требуется запустить VPDN и активировать все настройки:
QSR(config-vpdn)#local name QSR
QSR(config-vpdn)#no l2tp tunnel authentication
QSR(config-vpdn)#lcp renegotiation always
8. Подключение удалённого клиента с операционной системой windows к L2TP-серверу.
Разбираемся на ОС Windows 10.
Нажмите кнопку Пуск и выберите Параметры> Сеть и Интернет> VPN> Добавить VPN-подключение.
Ранее созданный на маршрутизаторе общий ключ
Вводим данные пользователя.
Логин и пароль от локальной учетной записи
При успешном подключении видим, что соединение выполнено.
Проверить введенные данные можно в сведениях о сетевом подключении.
После выполнения перечиленных действий, работа по настройке корпоративного маршрутизатора QTECH завершена.
Маршрутизатор, 8 портов 10/100/1000BASE-T (LAN), 1 порт 100/1000BASE-X SFP (WAN), 1 порт USB 2.0, 2 слота, встроенный БП, 100-240В
Маршрутизатор, 24 порта 10/100/1000BASE-T (LAN), 4 порта комбо 1000BASE-T\SFP (WAN), 1 порт USB 2.0 (на передней панели), 1 порт RS-232 (RJ45), 1 порт Micro USB (на передней панели) (консоль), 4 слота MX9, 2 встроенных БП, 100-240В AC
Маршрутизатор, 1 порт Micro-USB, 1 порт USB 2.0, 1 порт RS-232 (RJ45) (консоль), 1 слот для карт 3ESP, 6 слотов для карт 3RMB, 2 сменных БП (поставляются отдельно), 100-240В AC
Объединение филиалов через VPN на оборудовании QTECH
В данной статье мы рассмотрим подключение site-to-site, используемое для объединения локальных сетей офисов и удаленных филиалов. При этом применяется технология виртуальных частных сетей VPN (Virtual Private Network), которая обеспечивает построение логической сети поверх другой (в том числе и интернет). Основное ее предназначение – криптографическая защита данных, передаваемых по компьютерным сетям. Виртуальная частная сеть, в таком случае, станет совокупностью сетевых соединений между несколькими VPN-шлюзами, на которых и будет производиться шифрование сетевого трафика.
VPN-соединение типа site-to-site чаще всего используется в крупных организациях и компаниях для объединения сетей головного и удаленного офисов. При таком межсетевом взаимодействии два одноранговых узла соединяются напрямую, обеспечивая прозрачную связь между сетями. Организация защищенного туннеля по типу site-to-site дает возможность устанавливать безопасные соединения между несколькими сетями удалённых филиалов. При этом для аутентификации и шифрования трафика между двумя одноранговыми узлами используется набор протоколов IPSec, среди которых наиболее часто используются Internet Key Exchange (IKE), Encapsulation Security Payload (ESP) и Authentication Header (AH).
IKE является стандартным протоколом набора IPsec, основными функциями которого являются подключение, обслуживание (обеспечения безопасности взаимодействия в VPN) и отключение туннеля. Чтобы протоколы в составе IPSec могли выполнять свои функции по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение — безопасную ассоциацию (Security Association или SA), которая определяет аутентификацию, ключи и настройки, используемые для шифрования и дешифрования пакетов.
Согласование IKE состоит из двух фаз. Во время первой фазы создается вспомогательный туннель для защиты последующих сообщений согласования IKE. В время второй фазы создается туннель, который предназначен для защиты данных. После этого активизируется набор протоколов IPsec, отвечающий за шифрование данных с использованием специальных алгоритмов, то есть обеспечивающий аутентификацию, шифрование и защиту от повторного воспроизведения. По окончании второй фазы устанавливается VPN-подключение.
Для объединения филиалов через VPN компания QTECH предлагает линейку маршрутизаторов серий QSR-1920, QSR-2920, QSR-3920, которые являются многофункциональными интеллектуальными платформами высокой производительности. Обладая широкими возможностями маршрутизации и коммуникации, такое оборудование, помимо предоставления VPN, обеспечит надлежащую безопасность сети, для чего предназначен широкий функционал программного обеспечения и аппаратные модули ускорения обработки трафика. Благодаря продуманным решениям, маршрутизаторы этой серии с успехом применяются для построения сетей среднего и малого масштаба государственных и коммерческих предприятий, а также операторов связи.
Пошаговая настройка объединения филиалов через VPN, с помощью оборудования QTECH
В рамках данной статьи будет показано, как настроить два маршрутизатора QTECH для создания постоянного безопасного туннеля VPN типа «site-to-site» через Интернет с использованием протокола IP Security (IPSec). Представленные настройки могут быть использованы для маршрутизаторов серий QSR-1920, QSR-2920, QSR-3920.
Все настройки производятся в терминале, с использованием подключения по telnet, ssh или консольным кабелем.
В данном случае мы предполагаем, что оба маршрутизатора Qtech имеют статический публичный IP-адрес.
Схема сети будет выглядеть следующим образом:
В первую очередь необходимо назначить ip адреса на интерфейсы маршрутизаторов и настроить ip связанность.
Далее настраиваем шифрование и туннель.
Вторая часть – это те IP данные, которые необходимо зашифровать и аутентифицировать.
То же самое делаем на Device2:
Далее мы настраиваем Pre-Shared ключ для аутентификации:
На первой фазе согласования VPN-точки аутентифицируют друг друга на основе общего ключа (Pre-Shared Key)
Также вместо команды any можно задать ip адрес пира для согласования ключей.
Настраиваем Ipsec туннель:
Далее создаём политику безопасности, чтобы создать защищённое соединение между сетями 100.0.0.1/24 to и 101.0.0.1/24 и связываем ее с созданным ранее туннелем:
Тоже самое делаем на Device2:
Для проверки информации о работе туннеля используем следующие команды:
На основе выводов видно, что туннели в работе.
Маршрутизатор, 8 портов 10/100/1000BASE-T (LAN), 1 порт 100/1000BASE-X SFP (WAN), 1 порт USB 2.0, 2 слота, встроенный БП, 100-240В
Маршрутизатор, 24 порта 10/100/1000BASE-T (LAN), 4 порта комбо 1000BASE-T\SFP (WAN), 1 порт USB 2.0 (на передней панели), 1 порт RS-232 (RJ45), 1 порт Micro USB (на передней панели) (консоль), 4 слота MX9, 2 встроенных БП, 100-240В AC
Маршрутизатор, 1 порт Micro-USB, 1 порт USB 2.0, 1 порт RS-232 (RJ45) (консоль), 1 слот для карт 3ESP, 6 слотов для карт MX9, 2 слота для карт LX9, 2 сменных БП (поставляются отдельно), блок вентиляторов (поставляется отдельно), 100-240В AC
Настройка подключения L2TP и PPTP на примере QBR-1041v2s
Для настройки необходимо открыть Интернет браузер и в строке адреса набрать http://192.168.1.1 или http://192.168.0.1Прописываем в поле Имя пользователя, пароль – admin (при условии, что роутер имеет заводские настройки, и его IP не менялся) и нажимаем OK. Выберите пункт меню «Настройки интернет -> «WAN» -> в пункте Тип подключения выбираете PPTP или L2TP Прописываем следующие параметры:
- Ставим точку на Получить адрес динамически
- Адрес сервера доменного имени – IP-адрес или наименование домена VPN-сервера (PPTP или L2TP).
- Имя пользователя — логин/имя пользователя из договора
- Пароль — пароль из договора
- Ставим точку на Автоматическое получение DNS адресов
- остальные поля без изменений
_______________________________________________
Технология MultiWan позволяет пользователям одновременно устанавливать несколько различных интернет соединений. Например, возможна ситуация, при которой основной интернет трафик будет проходить через PPPoE соединение, а VoIP трафик через DCHP. Рассмотрим ре.
Настройка приоритизации трафика на коммутаторах доступа через vlan. Допустим, стоит задача настроить приоритет c помощью qos для различного типа трафика (IPTV, VOIP и др.). Известно, что трафик передается через следующие vlan`ы: 10 vlan – IPTV (должен иметь наивысший приоритет) 20 vlan – VOIP .
Настройка подключения L2TP и PPTP на примере QBR-1041v2s
Для настройки необходимо открыть Интернет браузер и в строке адреса набрать http://192.168.1.1 или http://192.168.0.1Прописываем в поле Имя пользователя, пароль – admin (при условии, что роутер имеет заводские настройки, и его IP не менялся) и нажимаем OK. Выберите пункт меню «Настройки интернет -> «WAN» -> в пункте Тип подключения выбираете PPTP или L2TP Прописываем следующие параметры:
- Ставим точку на Получить адрес динамически
- Адрес сервера доменного имени – IP-адрес или наименование домена VPN-сервера (PPTP или L2TP).
- Имя пользователя — логин/имя пользователя из договора
- Пароль — пароль из договора
- Ставим точку на Автоматическое получение DNS адресов
- остальные поля без изменений
_______________________________________________
Процесс обновления коммутаторов QTECH данных моделей производится по следующему алгоритму: 1) Настройка mgmt порта для управления стеком коммутаторов. 2) Проверка доступности TFTP сервера. 3) Введение команды инициирующей загрузку и установку новой версии ПО. 4) Перезагрузка устройств. .
Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор.
Vlan-translation VLAN-translation — это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж.