Настройка IPSec тоннеля между межсетевыми экранами DFL-210/800/1600/2500 и маршрутизаторами DI-8ХХ

Настройка IPSec между межсетевым экраном DFL-210/800 и DI-804HV

IPSec строим исходя из данных: 
DFL: 
Внутренняя сеть (lannet): 192.168.1.0/24 
IP на WAN (wan_ip): 192.168.110.10 

DI-804HV: 
Внутренняя сеть: 192.168.0.0
IP на WAN: 192.168.110.100

Настройка IPSec на DFL.

Откройте Web-браузер, введите IP-адрес межсетевого экрана в адресную строку (по умолчанию 192.168.1.1) и нажмите Enter. Авторизуйтесь (по умолчанию пароль и логин admin). 
Далее добавляем нужные нам объекты: 

IPSec_remote_net: 192.168.0.0/24 
IPSec_remote_endpoint: 192.168.110.100 
Кликните по знаку "+" рядом с папкой Objects и выберите Address Book, затем нажмите Add, из меню выберете IP4 Host/Network

 

Например, добавим IPSec_remote_net 

После заполнения всех полей нажимаем ОК.

Теперь добавим Pre-Shared Key 
Кликните по знаку "+" рядом с папкой Objects и выберите Authentication Objects, затем нажмите Add, из меню выберите Pre-Shared Key. 

Заполняем поля так: 
Name: IPSec_Key 
Passphrase 
Shared Secret: Указываем ключ, например 1029384756 
Confirm Secret: Повторяем ключ. 
После заполнения всех полей нажимаем ОК

Добавляем IPSec. Кликните по знаку "+" рядом с папкой Interfaces и выберите IPSec, затем нажмите Add, из меню выберите IPSec Tunnel. 
Поля заполняем так: 
В General 

Name: Tunnel 
Local Network: lannet 
Remote Network: IPSec_remote_net 
Remote Endpoint: IPSec_remote_endpoint 

Encapsulation Mode: Tunnel 

В Algorithms 

IKE Algorithms: Medium 
IKE Life Time: 28800 
IPsec Algorithms: Medium 
IPsec Life Time: 3600 

 

Наверху выберите вкладку Authentication
Укажите в поле Pre-shared Key: IPSec_Key

После заполнения всех полей нажимаем ОК.

Создаем разрешающие правила для доступа из IPSec в lan и наоборот. 
Кликните по знаку "+" рядом с папкой Rules, далее по знаку "+" рядом с папкой IP Rules и выберите эту папку, нажмите кнопку Add, укажите IP Rule Folder, поле Name укажите IPSec и нажмите ОK

Нажмите кнопку Add, укажите IP Rule
Заполните поля как показано на рисунке: 

В General 

Name: IPSec_to_lan 
Action: Allow 
Service: all_services 

В Address Filter 

Source: 
Interface: tunnel 
Network: IPSec_remote_net 

Destination: 
Interface: lan 
Network: lannet 

Нажмите ОК

Создаем второе правило. 
Нажмите кнопку Add, укажите IP Rule. Заполните поля как показано на рисунке: 

В General 

Name: lan_to_IPSec 
Action: Allow 
Service: all_services 

В Address Filter 

Source: 
Interface: lan 
Network: lannet 

Destination: 
Interface: tunnel 
Network: IPSec_remote_net 

Нажмите ОК

Теперь примените настройки. Наверху меню Configuration выберите Save and Activate, нажмите ОК и дождитесь применения настроек. 

Настройка IPSec на DI-804HV.

Откройте Web-браузер и введите IP-адрес DI-824HV в адресную строку (по умолчанию 192.168.0.1) и нажмите Enter. Авторизуйтесь. 
Кликните с верху на вкладке Home, выберите внизу слева VPN

Поставьте галочку в поле VPN на Enable, в поле Max number of tunnels поставьте 2, далее занесите в поле Tunnel Name с ID 1 tunnel и нажмите apply, дождитесь применения настроек и нажмите continue.

Нажмите на кнопку More напротив заполненного поля tunnel и заполните поля следующим образом: 

Tunnel Name: Tunnel 
Local Subnet: 192.168.0.0 
Local Mask: 255.255.255.0 
Remote Subnet: 192.168.1.0 
Remote Mask: 255.255.255.0 
Remote Gateway: 192.168.110.10 
Preshare Key: Введите ключ такой же как ввели при настройки DFL например 1029384756 

Нажмите Аpply, дождитесь применения настроек и нажмите continue.

Настраиваем IKE Proposal. 
Нажмите кнопку Select IKE Proposal и заполните поля как показано на рисунке: 

Шаг 1: В поле Proposal Name укажите Tunnel
Шаг 2: В поле DH Group из выпадающего меню выберите Group 2. 
Шаг 3: В поле Auth algorithm из выпадающего меню выберите MD5
Шаг 4: В поле Life Time укажите 28800
Шаг 5 и 6: В поле Proposal ID из выпадающего меню выберите 1 и нажмите кнопку Add to

После заполнения всех полей нажмите Аpply, дождитесь применения настроек и нажмите continue. Далее нажмите кнопку Back.

Настраиваем IPSec Proposal. 

Нажмите на кнопку Select IPSec Proposal и заполните поля как показано на рисунке:

Шаг 1: В поле Proposal Name укажите Tunnel
Шаг 2: В поле DH Group из выпадающего меню выберите None
Шаг 3: В поле Auth algorithm из выпадающего меню выберите MD5
Шаг 4: В поле Life Time укажите 3600
Шаг 5 и 6: В поле Proposal ID из выпадающего меню выберите 1 и нажмите кнопку Add to.

После заполнения всех полей нажмите Аpply, дождитесь применения настроек и нажмите continue.

Проверяем тоннель IPSec. 
Кликните сверху на вкладке Status, выберите внизу слева VPN Status, нажмите кнопку reconnect, затем нажмите кнопку refresh

Смотрим поля Type и State, если они соответствуют тому, что приведено на рисунке ниже, то тоннель установлен.