Будем настраивать IPsec Site-to-Site...
Заходим на DFL - 870 через web интерфэс. И перовое что делаем это создаём объёкты (рис.1)
udal_LAN: Локальная под сеть удалённой точки в битовом формате (N.N.N.N/M)
udal_WAN: внешний IPv4 адрес удалённой точки.
LAN: Локальная под сеть DFL-870 в битовом формате.
Далее создаём секретный ключ (пароль) для IPSEC авторизации. Пройдя по следующему пути Objects -> Key Ring. Далее Add -> Pre-Shared Key. (Рис.2).
Name: Имя ключа (любое на Ваш вкус).
Type: Принимает два значения (Passphrase, Hexadecimal key) в нашем случае выбираем Passphrase.
Shared Secret: Пароль или секретный ключ (любой на Ваш вкус)
Shared Secret: Повторить пароль или секретный ключ.
Comments: Любой понятный комментарий на Ваше усмотрения для индентификации данного ключа.
После создания нужно создать сам туннель IPSEC по пути Network -> разворачиваем (VPN and Tunnels) -> IPsec. Далее Add -> IPsec Tunnel.
На в кладке General(рис.3) Нужно внести значения созданные ранее в объектах.
Name: Имя IPSEC туннеля (любое)
IKE Version: Принимает значения (IKEv1, IKEv2 и Auto). Выбираем нужную версию IKE, в зависимости от поддержки удалённого оборудования в нашем случаи выбираем IKEv1.
Encapsulation Mode: Принимает значения (Tunnel, Transport) в нашем случае мы создаём туннель а не Transport, выбираем Tunnel.
Local Network: Выбираем наш ранее созданный объект отвечающий за локальную под сеть DFL-870.
Remote Network: Выбираем наш ранее созданный объект отвечающий за удалённую под сеть.
Remote Endpoint: Выбираем объект отвечающий за внешний IP адрес удалённой точки.
Comments: Не обязательный параметр для обеспечения понятного администрирования. В нашем случае мы его не заполняем.
Далее переходим на вкладку Authentication и заполняем все поля согласно (рис.4).
Authentication Method: Принимает значения (Pre-shared Key, Certificate) так как мы ранее создали Pre-shared Key, то выбираем Pre-shared Key.
Pre-shared key: Ранее созданный секретный ключ (пароль) заносится с помощью выбора созданного объекта ключа.
Local ID: В нашем случае оставляем пустым. (по умолчанию пустое поле)
Remote ID: Выбираем None (По умолчанию)
Enforce local ID: Оставляем по умолчанию пустым (галочку не ставим)
XAuth (IKEv1): выставляем в положение off.
Require EAP for inbound IPsec tunnels: По умолчанию галочку не ставим.
Далее на вкладках IKE (PHASE-1) и IPSEC (PHASE-2) устанавливаем согласно (рис.5,6).
Diffie-Hellman group: Устанавливаем поддерживаемые удаленным оборудованием шифрование в нашем случае это 02 - (1024- bit)
Algorithms: Алгоритм шифрования принимает значения Standard.
Lifetime: Время (28800).
Mode: Принимает значения (Main mode, Aggressive mode), в нашем случае Main mode.
Outgoing Routing Table: Как таблица route будет использоваться по умолчанию.
Local Endpoint: Локальный адрес в нашем случае мы его не указываем ( None).
Incoming Interface Filter: Фильтр входящего интерфейса в нашем случае (any).
Dead Peer Detection: Ставим галочку для автоматического востановления туннеля.
NAT Traversal: Принимает значения (Only if needed, Off, Always on) в нашем случае выбираем Only if needed (использовать если поддерживается).
Auto Establish: По умолчанию данную галку мы не ставим.
DS Field: По умолчанию так же не устанавливаем ни какого значения.
Perfect Forward Secrecy: Выбираем поддерживаемое шифрование в нашем случае 02 - (1024- bit).
Algorithms: Алгоритм шифрования Standard.
Lifetime: 3600
Lifetime: Данное поле оставляем пустым по умолчанию.
Setup SA per: Принимает значения (Network, Host, Port) в нашем случае это Network. (По умолчанию устанавливается Network).
Config Mode Pool: Оставляем по умолчанию (None).
DS Field: Оставляем по умолчанию пустым полем.
Далее на вкладках Virtual Router и Advanced оставляем всё по умолчанию как показано на (рис.7,8)
Для стабильности туннеля можно поиграть параметром Plaintext MTU: от 1300 до 1500.
После создания IpSec туннеля далее нам нужно создать IP правила для прохождения пакетов в нутри туннелей. Перейдём по следующему пути Policies -> разворачиваем Rules -> Main IP Rules. Далее Add -> IP rule и создаём два правила. (рис.9)
Name: Имя правила любое.
Source Interface: Выбираем ранее созданный IPSec тонель.
Source Network: Локальная под сеть удалённой точки.
Destination Interface: Используемый по умолчанию локальный интерфейс в нашем случае Lan1.
Destination Network: Локальная под сеть DFL.
Service: Какой сервис будет проходить через туннель в нашем случае нам нужно чтобы через туннель проходил все сервисы по этому выбираем all_services.
Schedule: Можно выбрать время когда данное правило будет активно, в нашем случае данное правило должно работать постоянно, по этому ничего не выбираем оставляем по умолчанию (None).
Application Control: По умолчанию оставляем Off.
Logging: Будет ли данное правило протоколироваться в журнале. В нашем случае мы выставили в положение ON. И выбрали уровень легирования в Default.
Comments: Не обязательное поле можно и не заполнять.
Второе правило на оборот, т.е.
Source Interface: Используемый по умолчанию локальный интерфейс в нашем случае Lan1.
Source Network: Локальная под сеть DFL.
Destinаtion Interface: Выбираем ранее созданный IPSec тонель.
Destination Network: Локальная под сеть удалённой точки.
Остальное остаётся без изменения.
Должно быть создано два правила как показано на (рис.10).
На данном этапе настройка DFL-870 закончена, на удалённой точке при создании IPSEC туннеля нужно IKE (Pshare-1) и IPSec (Pshare-2) нужно установить идентично как было установлено на DFL-870. Так же локальные под сети соединяемых точек должны быть разные.