- Imprimir
- OscuroClaro
- PDF
Guía de configuración de DrayTek LAN-to-LAN IPsec VPN
Los enrutadores DrayTek Vigor pueden crear enlaces VPN cifrados de forma segura entre redes a través de Internet.
Esta guía demuestra cómo configurar un túnel VPN IPsec entre dos ubicaciones, con dos escenarios:
Dos sitios con direcciones IP públicas estáticas | En este escenario, utilice el modo principal. Consulte a continuación para obtener más detalles. |
Un sitio con una dirección IP pública estática Un sitio detrás de NAT o utilizando una dirección IP pública dinámica | En estos escenarios, el modo Agresivo se puede usar para vincular dos sitios mediante IPsec. |
Una conexión IPsec VPN entre dos enrutadores DrayTek es posible usando el modo principal o el modo agresivo:
Esto usa la clave precompartida y las direcciones IP de cada lado para autenticar la conexión VPN, esto requiere una IP fija en ambos lados de la conexión VPN a menos que se use un PSK global. El uso de un PSK global para VPN no se trata en este artículo. | |
Esto usa la clave precompartida y una ID de pares para autenticar la conexión VPN, esto se puede usar donde cualquier lado de la VPN usa una dirección IP dinámica. |
Hay varios tipos de cifrado que se pueden usar para la VPN, se puede configurar para usar estos métodos de seguridad:
Medio (AH) | Este es un tipo de túnel sin cifrar que utiliza MD5 o SHA1 para autenticar y garantizar que los paquetes que se reciben/envían a través de la VPN son genuinos y no están manipulados. |
Alto (ESP) | Tiene tres tipos de cifrado para proteger el tráfico (DES, 3DES, AES) y permite habilitar o deshabilitar la autenticación (MD5 o SHA1). |
Antes de configurar VPN
Asegúrese de que el servicio IPsec VPN esté habilitado haciendo clic en [VPN y acceso remoto] – [Control de acceso remoto] y marcando Habilitar el servicio IPsec VPN .
Siempre es mejor desmarcar cualquier servicio que no esté en uso para reforzar la seguridad del enrutador.
Haga clic en Aceptar para confirmar.
LAN a LAN VPN IPsec usando el modo principal
Este ejemplo muestra la configuración de una conexión VPN de modo principal IPsec entre el enrutador de Londres que se configurará con una conexión de acceso telefónico y el enrutador de Liverpool que se configurará con una conexión de acceso telefónico de salida , estos son los detalles de los dos redes:
| Londres | Liverpool |
Dirección LAN | 192.168.1.0 | 10.1.1.0 |
Máscara de subred LAN | 255.255.255.0 | 255.255.255.0 |
Dirección del enrutador | 192.168.1.1 | 10.1.1.1 |
Dirección IP pública | 203.0.113.2 | 198.51.100.17 |
Nombre del perfil de VPN | Liverpool | Londres |
Dirección de llamada | Entrante | Extrovertido |
protocolos | solo IPsec | solo IPsec |
Clave precompartida | xf1YMWdu06VWbG3 | xf1YMWdu06VWbG3 |
Dial In VPN - Enrutador de Londres
Esto debe configurarse como una conexión VPN de acceso telefónico para aceptar el intento de conexión desde el enrutador de Liverpool.
Paso 1: cree un nuevo perfil de VPN
Vaya a [VPN y acceso remoto] – [LAN a LAN] y seleccione el primer perfil no utilizado.
Configure los ajustes comunes
A la izquierda, ingrese un nombre de perfil y haga clic en Habilitar este perfil . A la derecha, la dirección de la llamada debe establecerse como una conexión de acceso telefónico y el tiempo de espera inactivo debe establecerse en 0 segundos, para que no se desconecte cuando esté inactivo.
La configuración de marcación de salida se puede dejar como está, este enrutador acepta VPN entrantes y no marca por sí mismo.
Paso 2: configure los ajustes de VPN de acceso telefónico
Configure los ajustes de acceso telefónico del perfil VPN:
- Establezca el Tipo de acceso telefónico permitido en Túnel IPsec
- Marque la opción Especificar puerta de enlace VPN remota e ingrese la IP del servidor Peer VPN como la dirección IP pública del enrutador remoto (Liverpool es 198.51.100.17 en este ejemplo)
- Deje los campos Nombre de usuario y Contraseña en blanco
- Marque la opción Clave precompartida y haga clic en el botón Clave precompartida de IPsec , se abrirá una ventana emergente donde la clave precompartida debe ingresarse dos veces para confirmar que la clave es correcta, haga clic en Aceptar en esa ventana para cerrar eso. El campo Clave precompartida debería mostrar la clave precompartida en forma destacada
- En la sección Método de seguridad de IPsec , desmarque los tipos de seguridad de IPsec que no sean necesarios. Si usa encriptación AES , desmarque DES y 3DES
Paso 3: configure los ajustes de la red TCP/IP
Los detalles de la dirección IP para la VPN deben configurarse, se encuentran en Configuración de red TCP/IP :
- Los campos Mi IP de WAN e IP de puerta de enlace remota deben dejarse en blanco
- Especifique la dirección de red de la red remota en IP de red remota y configure la subred si es necesario
- Asegúrese de que los detalles de IP de la red local sean correctos, estos están preestablecidos y no deberían necesitar cambios en general, pero si el enrutador local tiene varias subredes, esto podría cambiarse a la subred que se usará para el túnel VPN.
Haga clic en Aceptar en ese perfil de VPN para guardarlo y aplicarlo.
VPN de acceso telefónico: enrutador de Liverpool
Esto debe configurarse como una conexión VPN de marcación de salida para iniciar la conexión con el enrutador de Londres.
Paso 1: cree un nuevo perfil de VPN
Al igual que con el primer enrutador, vaya a [VPN y acceso remoto] – [LAN a LAN] y seleccione el primer perfil no utilizado.
En esa página, configure los Ajustes comunes así:
A la izquierda, ingrese un nombre de perfil y haga clic en Habilitar este perfil . A la derecha, la dirección de la llamada debe configurarse como una VPN de marcación de salida y la casilla de verificación Siempre activa deberá estar marcada para que la VPN esté siempre activa.
Paso 2: configure los ajustes de VPN de marcación de salida
Configure los ajustes de marcación de salida del túnel VPN:
- Establezca el tipo de VPN en túnel IPsec
- Establezca la IP del servidor/Nombre de host para VPN en la dirección IP pública del servidor VPN, en este ejemplo, Londres es 203.0.113.12
- Establezca la clave precompartida en la clave requerida para el túnel VPN, esto se puede ingresar directamente o haciendo clic en el botón Clave precompartida IKE para ingresarla dos veces para que pueda validarse
- Establezca el Método de seguridad IPsec en Alto (ESP) y seleccione AES con autenticación de la lista desplegable
Las configuraciones de acceso telefónico pueden dejarse como están.
Paso 3: configure los ajustes de la red TCP/IP
Los detalles de la dirección IP para la VPN deben configurarse en Configuración de red TCP/IP :
- Los campos Mi IP de WAN e IP de puerta de enlace remota deben dejarse en blanco
- Especifique la dirección de red de la red remota en IP de red remota y configure la subred si es necesario
- Asegúrese de que los detalles de IP de la red local sean correctos, estos están preestablecidos y no deberían necesitar cambios en general, pero si el enrutador local tiene varias subredes, esto podría cambiarse a la subred que se usará para el túnel VPN.
Haga clic en Aceptar en ese perfil de VPN para guardarlo y aplicarlo.
Cómo verificar si su VPN está funcionando
Una vez que se hayan configurado ambos lados de la VPN, si todos los detalles son correctos y los enrutadores pueden comunicarse entre sí sin problemas, la VPN debería establecerse, esto se puede verificar desde [VPN y acceso remoto] – [Administración de conexión] , que mostrará la VPN enumerada en la ventana de estado:
Modo agresivo de LAN a LAN VPN IPsec
Este ejemplo muestra la configuración de una conexión VPN de modo agresivo IPsec entre el enrutador de Londres que se configurará con una conexión de acceso telefónico y el enrutador de Liverpool que se configurará con una conexión de acceso telefónico de salida , estos son los detalles de los dos redes Debido a que una VPN de modo agresivo usa un identificador separado, esto debe configurarse como ID local / de igual en la configuración de VPN, este ejemplo usará "Liverpoolrouter" como esa ID, pero se puede configurar para cualquier texto, incluso una dirección de correo electrónico. no tiene ningún significado fuera de la identificación del cliente que se conecta.
| Londres | Liverpool |
Dirección LAN | 192.168.1.0 | 10.1.1.0 |
Máscara de subred LAN | 255.255.255.0 | 255.255.255.0 |
Dirección del enrutador | 192.168.1.1 | 10.1.1.1 |
Dirección IP pública | 203.0.113.2 | Dinámica |
Nombre del perfil de VPN | Liverpool | Londres |
Dirección de llamada | Entrante | Extrovertido |
protocolos | solo IPsec | solo IPsec |
Clave precompartida | xf1YMWdu06VWbG3 | xf1YMWdu06VWbG3 |
ID local | n / A | enrutador de Liverpool |
Dial In VPN - Enrutador de Londres
Esto debe configurarse como una conexión VPN de acceso telefónico para aceptar el intento de conexión desde el enrutador de Liverpool.
Paso 1: cree un nuevo perfil de VPN
Vaya a [VPN y acceso remoto] – [LAN a LAN] y seleccione el primer perfil no utilizado.
En esa página, configure los Ajustes comunes así:
A la izquierda, ingrese un nombre de perfil y haga clic en Habilitar este perfil . A la derecha, la dirección de la llamada debe establecerse como una conexión de acceso telefónico y el tiempo de espera inactivo debe establecerse en 0 segundos, para que no se desconecte cuando esté inactivo.
La configuración de marcación de salida se puede dejar como está, este enrutador acepta VPN entrantes y no marca por sí mismo.
Paso 2: configure los ajustes de VPN de acceso telefónico
Configure los ajustes de acceso telefónico del perfil VPN:
- Establezca el Tipo de acceso telefónico permitido en Túnel IPsec
- Marque la opción Especificar puerta de enlace VPN remota e ingrese la ID de pares como la ID local que se ingresará en el otro enrutador una vez configurado, en este ejemplo usa "Liverpoolrouter" como identificador
- Deje los campos Nombre de usuario y Contraseña en blanco
- Marque la opción Clave precompartida y haga clic en el botón Clave precompartida de IPsec , se abrirá una ventana emergente donde la clave precompartida debe ingresarse dos veces para confirmar que la clave es correcta, haga clic en Aceptar en esa ventana para cerrar eso. El campo Clave precompartida debería mostrar la clave precompartida en forma destacada
- En la sección Método de seguridad de IPsec , desmarque los tipos de seguridad de IPsec que no sean necesarios. Si usa encriptación AES , desmarque DES y 3DES
Paso 3: configure los ajustes de la red TCP/IP
Los detalles de la dirección IP para la VPN deben configurarse, se encuentran en Configuración de red TCP/IP :
- Los campos Mi IP de WAN e IP de puerta de enlace remota deben dejarse en blanco
- Especifique la dirección de red de la red remota en IP de red remota y configure la subred si es necesario
- Asegúrese de que los detalles de IP de la red local sean correctos, estos están preestablecidos y no deberían necesitar cambios en general, pero si el enrutador local tiene varias subredes, esto podría cambiarse a la subred que se usará para el túnel VPN.
Haga clic en Aceptar en el perfil VPN para guardarlo y aplicarlo.
VPN de acceso telefónico: enrutador de Liverpool
Esto debe configurarse como una conexión VPN de marcación de salida para iniciar la conexión con el enrutador de Londres.
Paso 1: cree un nuevo perfil de VPN
Vaya a [VPN y acceso remoto] – [LAN a LAN] y seleccione el primer perfil no utilizado.
En esa página, configure los Ajustes comunes así:
A la izquierda, ingrese un nombre de perfil y haga clic en Habilitar este perfil . A la derecha, la dirección de la llamada debe configurarse como una VPN de marcación de salida y la casilla de verificación Siempre activa deberá estar marcada para que la VPN esté siempre activa.
Paso 2: configure los ajustes de VPN de marcación de salida
Configure los ajustes de marcación de salida del túnel VPN:
- Establezca el tipo de VPN en túnel IPsec
- Establezca la IP del servidor/Nombre de host para VPN en la dirección del servidor VPN, en este ejemplo, Londres es 203.0.113.12
- Establezca la clave precompartida en la clave requerida para el túnel VPN, esto se puede ingresar directamente o haciendo clic en el botón Clave precompartida IKE para ingresarla dos veces para que pueda validarse
- Establezca el Método de seguridad IPsec en Alto (ESP) y seleccione AES con autenticación de la lista desplegable
- Haga clic en el botón Avanzado para acceder a la configuración avanzada de IPsec:
- Establezca el modo IKE fase 1 en modo Agresivo
- Establezca la ID local en la ID que se usará para identificar el enrutador, en este caso será "Liverpoolrouter" haga clic en Aceptar para volver al perfil de VPN
Paso 3: configure los ajustes de la red TCP/IP
Los detalles de la dirección IP para la VPN deben configurarse en Configuración de red TCP/IP:
- Los campos Mi IP de WAN e IP de puerta de enlace remota deben dejarse en blanco
- Especifique la dirección de red de la red remota en IP de red remota y configure la subred si es necesario
- Asegúrese de que los detalles de IP de la red local sean correctos, estos están preestablecidos y no deberían necesitar cambios en general, pero si el enrutador local tiene varias subredes, esto podría cambiarse a la subred que se usará para el túnel VPN.
Haga clic en Aceptar en el perfil VPN para guardarlo y aplicarlo.
Una vez que se hayan configurado ambos lados de la VPN, si todos los detalles son correctos y los enrutadores pueden comunicarse entre sí sin problemas, la VPN debería establecerse, esto se puede verificar desde [VPN y acceso remoto] – [Administración de conexión] , que mostrará la VPN enumerada en la ventana de estado:
Los Ruteadores Draytek los puedes encontrar en nuestro tienda en línea o en el siguiente QR