پیکربندی دروازه VPN کریو

نحوه پیکربندی دروازه کریو VPN  روی Kunstler HQ Firebox

vpn-gateway

دروازه VPN یک نقطه اتصال برای یک یا تعداد بیشتری از تونل های VPN است. دروازه VPN شامل تنظیمات Phase 1 ISAKMP است، از جمله اطلاعاتی که دستگاه برای ایجاد یک تونل VPN احراز هویت شده و رمزگذاری شده با دستگاه دیگر نیاز دارد. Internet Security Association و Key Management Protocol (ISAKMP) پروتکلی برای احراز هویت ترافیک شبکه بین دو دستگاه می باشد.

برای شرع انتقال تونل، یک نقطه پایانی VPN باید به دیگری متصل شود. برای ایجاد یک تونل VPN دستی، شما باید دروازه VPN را برای هر نقطه پایانی پیکربندی کنید.

در این تمرین، ما دروازه VPN را روی Kunstler HQ Firebox پیکربندی خواهیم کرد تا به دنبال دروازه از راه دور روی دفتر فروش جدید NYC باشیم. NYC Firebox یک آدرس IP خارجی ثابت از 50.1.1.1/24 دارد.

1- WatchGuard System Manager را باز کنید و به KunstlerHQ Firebox متصل شوید.

2- Policy Manager را باز کنید.

3- VPN > Branch Office Gateways  را انتخاب کنید. بر روی Add کلیک کنید.

این نام تنها Gateway را در Policy Manager شناسایی می کند.

4- در بخش تنظیمات Remote Gateway، فیلدها را با اطلاعات ارائه شده در این جدول پر کنید:

 

Gateway IP IP Address 50.1.1.1
ID Type IP Address

50.1.1.1

اگر یک دروازه از راه دور یک آدرس IP پویا دارد، شما می توانید هر کدام را در لیست  Gateway IP انتخاب کنید. باید Domain Name را از لیست ID Type انتخاب کنید. نام دامنه را برای نام دامنه توصیف شده (FQDN) از نقطه پایانی دیگر VPN تنظیم کنید. اگر دروازه از راه دور VPN خرید شده یک آدرس IP ثابت دارد، دروازه از راه دور باید تمام انتقال تونل را شروع کند.

5- اطمینان حاصل کنید لیست  Local Settings ID Type برای آدرس IP تنظیم شده باشد. آدرس IP خارجی از KunstlerHQ Firebox 205.122.52.5 را تایپ کنید.

6- در بخش Credential Method، اطمینان حاصل کنید که Pre-Shared Key انتخاب شده است.

Timpani را به عنوان یک کلید از پیش به اشتراک گذاشته شده تایپ کنید. شما باید از همان کلید به اشتراک گذاشته شده در پیکربندی دروازه دستگاه از راه دور استفاده کنید.

اگر شما احراز هویت با گواهی ها را انتخاب کرده باشید، باید Certificate Authority را روی WatchGuard Management Server شروع کنید. WatchGuard استفاده از گواهی های ثالث را در این زمان پشتیبانی نمی کند.

7- در گروه Phase 1 Settings، تنظیمات پیش فرض را برای فعال کردن احراز هویت SHA1، رمزگذاری DES و  Main Mode برای انتقال 1 IKE نگه دارید.

حالت اصلی از هویت نقاط پایانی در طول انتقال حفاظت می کند و این امنتر از حالت Aggressive است. Main Mode همچنین Diffie-Hellman را پشتیبانی می کند. اما، نتایج Main Mode در بیشتر پیام ها بین نقاط انتهایی ارسال می شود و کندتر از حالت Aggressive است. شما باید حالت Aggressive را زمان پیکربندی تونل های کریو VPN با یک آدرس IP ثابت روی یک نقطه انتهایی VPN استفاده کنید.

new-gateway