NEIL's_學而時習之x不學無術~私藏IT技術經驗分享部落

關於部落格
NEIL. Cheng....寫作只是為了日後工作之備忘操作參考

本部落格文章撰寫前進邁向第五年(since 2009 ~至今)仍繼續推進分享IT學習!!About Windows/Linux Server,Virtualization


分享網誌: 由於,本人預先完成LAB後,才補上撰寫文章與截圖,若發現文圖對照說明有誤..本人將盡快校正,也請不吝指教! Thanks!

  • 153344

    累積人氣

  • 44

    今日人氣

    0

    訂閱人氣

Brocade vyatta IPSEC VPN x PPTP(Remote Access)實現by Neil

"佈署開始"

[Taipeil OA]  show interface  #查看目前路由器網卡組態

  eth1 10.10.10.200/24(企業內網)

 eth2  200.200.200.200/24(Pubic Outbond NAT+VPN interface)

#configiure mode  

[建立IKE群組相關細項配置]

set vpn ipsec ipsec-interfaces interface  eth2        #啟用VPN傳輸介面

#建立IKE Group proposal Number(1-65535),ike-group名稱可自行定義 #本例:taipei-hk

set vpn ipsec ike-group taipei-hk proposal 1 encryption aes256   #加密可選aes128,3DES

set vpn ipsec ike-group taipei-hk  proposal 1 hash sha1   #定義雜湊演算法(驗證資料正確性)

set vpn ipsec ike-group taipei-hk  lifetime  7200   #定義lifetime存活時間


[建立ESP群組相關細項配置]  

#本例將esp-group,ike-group 群組皆定義為taipei-hk好辨識,配置與IKE-Group類同

set vpn ipsec esp-group taipei-hk proposal  #建立esp proposal 1

set vpn ipsec esp-group t
aipei-hk proposal 1  encryption aes256 #加密可選aes128,3DES

set vpn ipsec esp-group taipei-hk proposal hash sha1   #定義雜湊演算法(驗證資料正確性

set vpn ipsec esp-group taipei-hk  lifetime  2800 #定義lifetime存活時間

[建立VPN連線配置]

# peer 100.100.100.100 建立VPN Remote端點即是Hong-Kong (Branch)

authentication mode  pre-shared-secrect   #使用預先共享金鑰方式建立VPN

set vpn ipsec site-to-site peer 100.100.100.100 authentication mode
pre-shared-secrect 

edit vpn ipsec site-to-site peer 100.100.100.100   #進入進階編輯

set authentication pre-shared-secrect
 ipsec_neil   #預先共享金鑰,兩端點需一致越複雜越好

set default-esp-group
 taipei-hk   #配置此VPN連線的esp-group  taipei-hk  

set ike-group
taipei-hk   #配置此VPN連線的ike-group  taipei-hk  

----

set local-address 200.200.200.200                #指定本地端Public IP Address  Taipei-OA

set tunnel 1 local prefix  10.10.10.0/24          
 #指定本地端PrivateIP Address  Taipei-OA 

set tunnel 1  remote  prefix  
20.20.20.0/24      #指定遠端PrivateIP Address  Hong-Kong-OA

exit

commit

save      
 #目前台北Taipei-OA VPN 配置已告一段落,參考下圖Review Taipei-OA 組態

 

[Hong-Kong OA]  show interface  #查看目前路由器網卡組態

 eth1 20.20.20.20/24(企業內網)

 eth2  100.100.100.100/24(Pubic Outbond NAT+VPN interface)

#configiure mode  

[建立IKE群組相關細項配置]: 與上述配置"Taipeo-OA"類同此不再步驟截圖

set vpn ipsec ipsec-interfaces interface  eth2        #啟用VPN傳輸介面

#建立IKE Group proposal Number(1-65535),ike-group名稱可自行定義

set vpn ipsec ike-group taipei-hk proposal encryption aes256   #加密可選aes128,3DES

set vpn ipsec ike-group taipei-hk  proposal hash sha1   #定義雜湊演算法(驗證資料正確性)

set vpn ipsec ike-group taipei-hk  lifetime  7200   #定義lifetime存活時間

[建立VPN連線配置]

# peer 200.200.200.200 建立VPN Remote端點即是Taipei-OA(總公司)

authentication mode  pre-shared-secrect   #使用預先共享金鑰方式建立VPN

set vpn ipsec site-to-site peer 200.200.200.200 authentication mode pre-shared-secrect 

edit vpn ipsec site-to-site peer 200.200.200.200   #進入進階編輯

set authentication pre-shared-secrect
 ipsec_neil   #預先共享金鑰,兩端點需一致配置複雜越好

set default-esp-group
 taipei-hk   #配置此VPN連線的esp-group  taipei-hk  

set ike-group 
taipei-hk   #配置此VPN連線的ike-group  taipei-hk  

----

set local-address 100.100.100.100                #指定本地端Public IP Address  Hong-Kong-OA

set tunnel local prefix  20.20.20.0/24          
 #指定本地端PrivateIP Address  Hong-Kong-OA

set tunnel 1  remote  prefix  1
0.10.10.0/24      #指定遠端PrivateIP Address  Taipei-OA

exit

commit

save      
  #目前台北Taipei-OA & Hong-Kong-OA VPN 連線建立配置已完成(下圖為HK Site)

<檢視驗證IPSEC-SA資訊> 從honk-kong site 檢視

  run show vpn ipsec sa

  run show vpn ipsec sa statistics


查看VPN詳細資訊

 run show vpn ipsec sa detail   #state up  表示這條vpn tunnel已成功建立 
[驗收Sitet to Site VPN ]使用Taipei-OA 內網(10.10.10.0/24)  是否可透過VPN

Tunnel Ping通 Hong-Kong 內網(20.20.20.0/24),我們將使用內網WinXP Client Desktop端做測試 

[Taipei-OA 內網Client IP: 10.10.10.10/24] 嘗試Ping 通 Remote Honk-Kong Site

內網Gateway 20.20.20.100 (Success)


[Hong-Kong-OA 內網Client IP: 20.20.20.20/24] 嘗試tracert  Remot Taipei-OA   (Success)


[回到Taipei-OA 或 Hong-Kong OA 路由器來觀看路由資訊可得]

K>* 20.20.20.0/24 is directly connected, eth2   #Kernel route建立
 
 
 run show  vpn debug  # 查看VPN 運行Log資訊,用以偵錯故障排除檢測


[PPTP VPN 配置] 以配置Taiwan-OA 為例,提供公司在外業務員工遠端撥入企業VPN


set vpn pptp remote-access outside-address 200.200.200.200   #配置提供VPN服務Interface IP

set vpn pptp remote-access remote-access client-ip-pool start  172.16.100.1  #配發VPN撥入IP

set vpn pptp remote-access remote-access client-ip-pool stop   172.16.100.30

#當使用者遠端撥入後VPN Server 將會指派172.168.100.1 ~ 172.16.100.30 給VPN Client 連線 

set vpn pptp remote-access authentication mode local

set vpn pptp remote-access authentication local-users  username  neil  password xxxxx

#vyatta 路由器亦支援帳戶連線radius-server 可做驗證(整合Windows AD參考下圖),本例使用

  local-users 驗證帳戶模式建立一個local-users 一組帳密做測試(username: neil)

  commit

  save  
#配置已OK,回顧剛才已設定配置  

  show vpn pptp

[驗證VPN Client 遠端撥入Taipei-OA] IP:200.200.200.200 

使用下圖架構中77.77.77.0/24 網段內網PC(WinXP) 建立PPTP VPN連線撥入Taipei-OA

Remote Access Client User I P: 30.30.30.30/24 (WinXP)

 
控制台/網路連線=>建立一個新連線(下一步)

   連線到我工作地方的網路

   虛擬私人網路連線

    配置VPN連線名稱

    選取VPN伺服器: 輸入Taipei-OA 遠端公用Public_IP: 200.200.200.200   
     桌面建立捷徑,PPTP撥號連線所有配置完成

    填入方才配置VPN 驗證username,password (選擇連線)

 我們可以撥接成功後檢視VPN連線詳細資訊 配發用戶端IP得172.16.100.1(Success)
   檢查IP Address 並試者Ping通 Taipei-OA 總部內網PC: 10.10.10.10 (Success PPTP成功)

  最後回到Taipei-OA 路由器來檢視PPTP VPN相關連線資訊  #show vpn remote access
  結論:   "維志.露奇雅.阿沙布魯電力公司" 線已有VPN連線解決方案了(Site to Site ,Remote Access)

相簿設定
標籤設定
相簿狀態