回到頂部
EdgeRouter - 使用 FQDN 配置動態站點到站點的 IPsec VPN
概覽
用戶將學習如何在使用了動態公網 IP 地址的兩個 EdgeRouter 之間配置站點到站點的 VPN。
注意事項和要求
將 EdgeRouter 更新到最新版本的 EdgeOS 固件。您需要了解基本的命令行(CLI)和網路知識。請參閱下面的相關文章以獲得更多資訊,並查看本文中使用的配置的附件。
目錄
網路拓撲
網路拓撲如下所示,EdgeRouters 上使用了以下接口:
ER-R
- eth0 (WAN) - 203.0.113.1 / er-r.ubnt.com
- eth1 (LAN) - 192.168.1.1/24
ER-L
- eth0 (WAN) - 192.0.2.1 / er-l.ubnt.com
- eth1 (LAN) - 172.16.1.1/24
使用 FQDNs 配置基於策略的 VPN
鑑於本文的目的,假設路由和接口配置已經到位並且已經測試了連通性。
訪問圖形用戶界面
1.在 ER-R 上定義 IPsec peer 和安全關聯(SA)(用您的密碼替換<secret>)。
VPN > IPsec Site-to-Site > +Add Peer
- 勾選 Show advanced options
- 勾選 Automatically open firewall and exclude from NAT
2.在 ER-L 上定義 IPsec peer 和安全關聯(SA)(將<secret>替換為所需密碼)。
VPN > IPsec Site-to-Site > +Add Peer
- 勾選 Show advanced options
- 勾選 Automatically open firewall and exclude from NAT
(可選)通過命令行界面(CLI)添加以下附加配置:
訪問命令行界面(CLI)。您可以使用 GUI 中的 CLI 按鈕或使用 PuTTY 等程序執行此操作。
1.使用 dhcp-interface 命令代替 local-address 0.0.0.0。
delete vpn ipsec site-to-site peer er-l.ubnt.com local-address
set vpn ipsec site-to-site peer er-l.ubnt.com dhcp-interface eth0
2.添加 remote 和 local 身份驗證 ID。
set vpn ipsec site-to-site peer er-l.ubnt.com authentication id @er-r.ubnt.com
set vpn ipsec site-to-site peer er-l.ubnt.com authentication remote-id @er-l.ubnt.com
3.將預共享密鑰更改為基於證書的身份驗證。
generate vpn rsa-key
configure
set vpn rsa-keys local-key file /config/ipsec.d/rsa-keys/localhost.key
set vpn rsa-keys rsa-key-name er-l rsa-key <er-l public key>
delete vpn ipsec site-to-site peer er-l.ubnt.com authentication mode
delete vpn ipsec site-to-site peer er-l.ubnt.com authentication pre-shared-secret
set vpn ipsec site-to-site peer er-l.ubnt.com authentication mode rsa
set vpn ipsec site-to-site peer er-l.ubnt.com authentication rsa-key-name er-l
例如
ubnt@edgerouter:~$ generate vpn rsa-key
Generating 2048 bit rsa-key to /config/ipsec.d/rsa-keys/localhost.key
.......................................+++
...............................................+++
Your new local RSA key has been generated
The public portion of the key is:
eFgHeFgH.....AbCdEf=
#Log in to opposing router
configure
set vpn rsa-keys rsa-key-name <rsa-key-name> rsa-key eFgHeFgH.....AbCdEf=
set vpn ipsec site-to-site peer <remote-hostname> authentication rsa-key-name <rsa-key-name>