VPN - detašované pracoviště na routrech MAIPU

3.12.2012
Častým důvodem pořízení routeru MAIPU je potřeba zajištění konektivity firemní sítě do internetu a zároveň bezpečným rychlým a cenově efektivním způsobem připojení vzdálené pobočky bez nutnosti pronájmu VPN sítě s přepínáním paketů (či okruhů) či vyhrazené linky. Společnost INTELEK nyní nabízí otestování takové konfigurace ve virtuálním testlabu s přístupem přes telnet či SSH - bez nutnosti fyzického zapůjčení či zakoupení testovacího zařízení!
Scénář VPN(Virtual Private Network) přibližuje Obr. 1. Na tomto schématu si ukážeme konfiguraci síťových prvků Maipu. Pro jednoduchost předpokládejme, že zákazník používá na ústředí 2 ISP – jeden primání a druhý záložní. Jako primární připojení slouží FTTx (Fiber To The x) s jednou pevnou pronajatou IP adresou. Jako záložní slouží např. linka xDSL či 3G s dynamicky přidělovanou IP. Podobně je na tom pobočka, která má připojení od jednoho ISP s pevnou IP adresou. Použitými routery jsou MAIPU RM1800-23-AC s 1x WAN a 1xLAN na straně pobočky a MAIPU RM1800-35-AC (2x WAN, 1x 4 portový switch) na straně ústředí. Samozřejmě pro skutečnou síť zvolíme adekvátně nižší či vyšší modely dle počtu uživatelů a požadavku na služby.

Obr. 1.: Schéma připojení firemní pobočky přes VPN

V „reálném životě“ by bylo potřeba propojit počítač s routerem pomocí sériového konzolového kabelu, pro připojení do virtuálního testlabu postačí PC s připojením k internetu a libovolný terminál.
Aby bylo možné „schovat“ lokální síť za jednu IP adresu, je na obou routerech konfigurována technologie NAT, respektive NAT overload (označovaný též masquerade či PAT):

Router ústředí:
interface fastethernet0 //primární ISP
description wan_primary
ip address 100.100.1.2 255.255.255.252
ip nat outside
exit
!
interface fastethernet1 //záložní ISP
description wan_secondary
ip address dhcp //DHCP client
ip nat outside
exit
!
interface vlan1 //vnitřní síť LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
exit
!
ip route 0.0.0.0 0.0.0.0 100.100.1.1 //výchozí routování
!
ip access-list extended 1001 //access list pro výběr
10 permit ip 10.10.10.0 0.0.0.255 any //„zajímavých“ IP adres pro NAT
exit
!
ip nat inside source list 1001 interface fastethernet1 overload //NAT

Podobným způsobem bude konfigurován i router na pobočce. VPN tunel může být realizovaný celou řadou způsobů. V našem modelu je použita základní konfigurace ipsec následovně:

crypto ike key 2ef404f2520c1a720493eccc6224c3a2 address 200.200.1.2
! //konfigurace pre-shared key
!
crypto tunnel tun1 //nakonfigurujeme rozhraní VPN tunelu
local address 100.100.1.2
peer address 200.200.1.2
set authentication preshared //typ autentizace
set ike proposal ike1
set ipsec proposal ips1
set auto-up //automatické vyjednávání
exit
!
crypto policy p1 // specifikace omezení LAN segmentů
flow 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 ip tunnel tun1
exit
!
crypto ike proposal ike1 //typ a parametry šifrování a zvolená metoda hashe
encryption 3des
integrity md5
group group2
exit
!
crypto ipsec proposal ips1 //algoritmus návrhu
esp 3des //můžeme zvolit libovolnou šifru, zde „starší“ bloková šifra 3des
exit

Analogickým způsobem nakonfigurujeme protistranu MP1800-23 AC. Uvedená konfigurace je skutečně základní. Zkušený správce sítě si ji doladí podle svých představ. V případě potřeby s konfigurací nejen tohoto schématu rádi poradíme. Pokud byste si chtěli nejen konfiguraci routerů MAIPU vzdáleně „osahat“, není nic jednoduššího, než založit požadavek na našem helpdesku.