Cisco RV042 VPN с динамическими IP-адресами - удаленный шлюз не разрешается
У меня есть существующая сетевая установка, которую я унаследовал от своего предшественника. В настоящее время существует два сайта, каждый с Linksys RV042 VPN-маршрутизатор, на котором запущен 1.3.12.19-tm прошивка. В настоящее время они настроены со шлюзом к шлюзу VPN. Один сайт имеет статический IP-адрес, другой - динамический IP-адрес с именем хоста, настроенным на no-ip.com.
Моя компания хочет создать еще один сайт, поэтому я купил еще один RV042, только этот был под брендом Cisco и на нем установлена последняя версия прошивки. Я предполагал, что смогу легко настроить vpn из нашего главного офиса (динамический IP-адрес) на новый сайт с помощью этого маршрутизатора. Однако, когда я настраиваю новый VPN-туннель на любом устройстве, он остается включенным. Ожидание подключения а удаленный шлюз показывает IP-адрес 0.0.0.0 а не удаленный IP-адрес.
Другой VPN-туннель все еще работает, и я не вижу явной неправильной конфигурации на новом маршрутизаторе. Кажется, что маршрутизатор не разрешает динамический DNS-адрес и, следовательно, не дает мне возможности подключиться к VPN.
Работает ли VPN от шлюза до шлюза с динамическими IP-адресами на каждом конце?
Версии прошивки несовместимы?
Я что-то пропустил?
Короткие ответы: да, нет, да.
(Динамика на обоих концах в порядке. Версии совместимы, вы что-то пропустили. Я потерял МНОГО волос, настраивая эти вещи, легко что-то пропустить !!)
У меня есть несколько (10?) RV042, установленных в разных местах, большинство без статических IP-адресов. [delete] Я действительно удивлен стабильностью этих устройств. [/ delete] VPN немного сложны - настолько, что я сделал сценарий, который настраивает туннели для меня. Если вы пропустите только ОДНУ настройку, это может привести к тому, что туннель не будет работать, и вы можете смотреть на него в течение нескольких дней и не видеть крошечный отсутствующий символ или поле, которое не было отмечено правильно.
Уловка для преобразования динамического в динамический:
Сначала настройте динамический DNS и убедитесь, что он работает. Я использую DynDNS. (перейдите в Setup - DDNS в прошивке 1.3.x, Setup - Dynamic DNS в 4.x)
Вот важные части:
Щелкните VPN. Щелкните От шлюза к шлюзу. Дайте туннелю любое имя - не используйте пробелы (более ранние версии не работали с пробелом, я не знаю, 4 или нет). Убедитесь, что интерфейс является рабочим интерфейсом WAN. В поле «Тип безопасности удаленного шлюза» выберите «Динамический IP + доменное имя (FQDN)», страница обновится. Введите DNS-имя, которое вы настроили для этого конца, в Доменное имя. IP-адрес и маска подсети автоматически заполняются из вашей текущей конфигурации. Не меняйте их. В разделе «Настройка удаленной группы» выберите «Только IP» (он должен быть выбран уже на основе вашего динамического выбора выше), а затем в следующем раскрывающемся списке с «IP-адрес» на «IP-адрес разрешен DNS». Введите удаленный динамический Имя DNS в поле справа от «IP by DNS Resolved»
Теперь о настройках. Я не знаю, действительно ли работают все доступные варианты, но я знаю, что вам лучше их именно то же самое на обоих концах. Я обнаружил, что эти настройки работают:
Keying Mode [IKE with Preshared key] Phase1 DH Group [Group1] Phase1 Encryption [DES] Phase1 Authentication [MD5] Phase1 SA Life Time [28800] Prefect Forward Secrecy [ ] -- I can't get PFS to work between two rv042's Phase1 Encryption [Phase3DES] Phase1 Authentication [MD5] Phase2 SA Life Time [3600] seconds Preshared Key: [yourSecretKeyGoesHere]
Продвинутый:
[X] Aggressive Mode [ ] Compress [X] Keep-Alive [ ] AH Hash Algorithm [any] [ ] NetBIOS broadcast [ ] NAT Traversal [X] Dead Peer Detection (DPD) Interval [10] seconds
Как только вы попытаетесь отправить пакет между местоположениями, туннели должны построить. Удачи!
Джереми
СЦЕНАРИЙ
Возможно, вам придется изменить это в соответствии со своими потребностями. Он ожидает подсети 192.168.x.x, и вам нужно будет работать в Windows, при этом IE и cscript работают нормально. Скрипт предполагает прошивку <4.x - не тестировался на 4.x вообще.
' I never bothered to make this script take parameters. Just edit the values below.
' before this will work, you need to set up DDNS on both routers (and test it) and
' you need to enable remote administration via port SSL on port 8080. Turn that
' back off if you aren't going to need it (and you shouldn't, because after the
' tunnel is set up you can access the administration interface using the LAN IP.
End_A_DNS = "one-end-of-tunnel.selfip.com"
End_A_Subnet = "16" ' this is the third octet- 192.168.X.0
End_B_DNS = "the-other-end-of-tunnel.selfip.com"
End_B_Subnet = "24"
Secret = "putyoursecretkeyhere"
' where_am_i is the subnet you're sitting at. You usually can't access the
' WAN ip address of the router you're behind, so the script just uses this
' in case you are creating a tunnel to the network you're on. This script
' will create tunnels between two rv042's out there on the internet if both
' of them are properly set up with DDNS and remote access via port 8080.
Where_am_i = "24"
if end_a_subnet = where_am_i then
router_address = "http://192.168." & where_am_i & ".1" ' ASSUMES .1 IS THE ROUTER.
else
router_address = "https://" & End_a_dns & ":8080"
end if
' set up the first half of the tunnel
SetTunnelEnd router_address, end_a_dns, end_b_dns, end_a_subnet, end_b_subnet, secret
if end_b_subnet = where_am_i then
router_address = "http://192.168." & where_am_i & ".1" ' ASSUMES .1 IS THE ROUTER.
else
router_address = "https://" & End_b_dns & ":8080"
end if
' set up the second half of the tunnel
SetTunnelEnd router_address, end_b_dns, end_a_dns, end_b_subnet, end_a_subnet, secret
sub SetTunnelEnd(routerhttps, a_dns, b_dns, a_net, b_net, secret)
Set IE = CreateObject("InternetExplorer.Application")
IE.navigate routerhttps & "/gateway_to_gateway.htm"
IE.Visible = True
Do Until IE.readyState = 4
Loop
tunnelName = a_net & "-" & left(a_dns,6) & " to " & b_net & "-" & left(b_dns,6)
IE.document.forms("formgtg").tunnelName.value = tunnelName
IE.document.forms("formgtg").typeLSW(1).value = 4
IE.Navigate("javascript:falseSubmit(document.formgtg,'11');")
Do Until IE.readyState = 4
Loop
IE.document.forms("formgtg").L_textFQDN(1).value= a_dns
IE.document.forms("formgtg").typeRSW(1).value = 2
IE.Navigate("javascript:falseSubmit(document.formgtg,'12');")
Do Until IE.readyState = 4
Loop
IE.document.forms("formgtg").radioDnsResolve(1).value = 1
IE.Navigate("javascript:showDnsResolve();")
IE.document.forms("formgtg").ipRSW1(1).value= b_dns
wscript.sleep(500)
IE.Navigate("javascript:IPDNSCheck(document.formgtg.ipRSW1[1]);")
wscript.sleep(1000)
IE.document.forms("formgtg").textFQDN(1).value = b_dns
IE.document.forms("formgtg").ipRSG1(1).value="192"
IE.document.forms("formgtg").ipRSG2(1).value="168"
IE.document.forms("formgtg").ipRSG3(1).value=b_net
IE.document.forms("formgtg").ipRSG4(1).value="0"
IE.document.forms("formgtg").PFSp(1).checked = 0
IE.Navigate("javascript:falseSubmit(document.formgtg,'13');")
Do Until IE.readyState = 4
Loop
IE.document.forms("formgtg").select5(1).value = 2
IE.document.forms("formgtg").keyPreshared2(1).value = secret
IE.Navigate("javascript:opAdvanced(document.formgtg.advancedStatus,document.formgtg);")
Do Until IE.readyState = 4
Loop
IE.document.forms("formgtg").aggressiveMode.checked = 1
IE.document.forms("formgtg").keepAlive.checked = 1
IE.document.forms("formgtg").biosBC.checked = 0
IE.document.forms("formgtg").DPD.checked = 1
IE.document.forms("formgtg").DPDInterval.value = 10
wscript.sleep(500)
IE.document.forms("formgtg").submit()
wscript.sleep(500)
Do Until IE.readyState = 4
Loop
IE.quit
set IE = nothing
wscript.echo "tunnel created from " & tunnelName
end sub
Сноска, 10.08.2012: «Я действительно удивлен стабильностью этих устройств».
Как я уже сказал, у меня было 10 таких. Примерно через 4 года у некоторых начнутся «проблемы». Настолько, что я их больше не развертываю. Мне нужны устройства, которые надежно служат более 4 лет. Три из десяти абсолютно непригодны, и я ожидаю, что остальные 7 начнут выходить из строя вовремя.