Frequently Asked Question
Σε αυτό το VPN σενάριο για την ένωση των δύο σημείων, η μία μεριά έχει στατική IP από τον πάροχο και η άλλη μεριά έχει δυναμική IP, η οποία αλλάζει συνήθως κάθε 1 -2 ημέρες (Βάση πάντα των ρυθμίσεων του παρόχου)
Για το σενάριο αυτό επίσης θεωρούμε ότι έχουμε την παρακάτω τοπολογία:
Θεωρούμε αρχικά ότι είμαστε από την μεριά με την στατική IP (αριστερά στην τοπολογία) και θέλουμε να συνδεθούμε στο απέναντι σημείο όπου έχει δυναμική IP.
Τα βήματα που θα ακολουθήσουμε είναι τα παρακάτω:
Phase 1
Phase 2
Routing Setup
Phase 1
- Στο πρώτο βήμα ρυθμίζουμε την πρώτη φάση (Phase 1) του VPN ακολουθώντας το Path Configuration > VPN > IPSec VPN > VPN Gateway και κάνουμε Add:
Α) Ονομάζουμε το VPN Gateway όπως θέλουμε και κάνουμε enable τον κανόνα.
Β) Στο πεδίο “My Address” διαλέγουμε το WAN interface που χρησιμοποιούμε.
Γ) Στο πεδίο «Peer Gateway Address» επιλέγουμε το Dynamic Address.
Δ) Local ID Type -> επιλέγουμε την δική μας Public IP, ωστόσο στο Peer ID Type επιλέγουμε Any και δεν συμπληρώνουμε καμία IP.
Αντίστοιχα από την απέναντι μεριά, στο Local ID Type επιλέγουμε IPv4 και συμπληρώνουμε 0.0.0.0 .
E) Στην συνέχεια ρυθμίζουμε στο Phase 1 τα Authentication – Encryption στοιχεία όπως θέλουμε. (Θα πρέπει τα ίδια στοιχεία να είναι και στην απέναντι μεριά στο Phase 1).
Phase 2
- Στην συνέχεια ρυθμίζουμε την φάση 2 (Phase 2) πηγαίνοντας στο Path Configuration > VPN > IPSec VPN > VPN Connection και μετά πατάμε Add:
α) Ενεργοποιούμε το enable
β) Ονομάζουμε το VPN Connection όπως θέλουμε
γ) Επιλέγουμε το “Site to Site with Dynamic Peer”. Στην απέναντι μεριά σε αυτό το σημείο θα επιλέξουμε το «Site to Site», μιας και η δική μας μεριά είναι με στατική IP.
δ) Επιλέγουμε την Gateway που έχουμε φτιάξει από το Phase 1.
ε) Στο Policy επιλέγουμε το εσωτερικό υποδίκτυό μας το οποίο θα συμμετέχει στο VPN. Στην επιλογή Remote Policy επιλέγουμε το απέναντι εσωτερικό υποδίκτυο με το οποίο θα έχουμε επικοινωνία VPN. Για να το κάνουμε αυτό θα πρέπει να κάνουμε “Create New Object -> Address”
Εκεί ρυθμίζουμε το Remote subnet με το οποίο θα έχουμε επικοινωνία Π.χ. :
Μετά επιλέγουμε το «Remote subnet» που μόλις φτιάξαμε στο πεδίο Remote Policy
Στ) Στην συνέχεια ρυθμίζουμε τα Authentication – Encryption στοιχεία όπως θέλουμε.
(Θα πρέπει τα ίδια στοιχεία να είναι και στην απέναντι μεριά, στο Phase 2).
Ακολουθούμε τα ίδια βήματα και από την απέναντι μεριά, προσέχοντας να συμπληρώσουμε τα σωστά στοιχεία, τόσο για τις IP όσο και για τα Authentication – Encryption στοιχεία.
Routing Setup
Εκκρεμεί ακόμα να κάνουμε δύο εντολές routing στο Firewall.
Στο συγκεκριμένο VPN παράδειγμα το εσωτερικό υποδίκτυο 192.168.1.0/24 θέλουμε να επικοινωνήσει με το απέναντι εσωτερικό υποδίκτυο 192.168.10.0/24. Εάν όμως το αφήσουμε όπως είναι, τα δίκτυα θα προσπαθήσουν να επικοινωνήσουν μεταξύ τους μέσω ίντερνετ, πράγμα που δεν θα γίνει ποτέ.
Για αυτόν τον λόγο κάνουμε τα εξής:
Ακολουθούμε το Path: Configuration -> Network -> Routing -> Policy route -> Add:
Η εντολή που δίνουμε παραπάνω είναι: Οποιαδήποτε πληροφορία θέλει να περάσει από το υποδίκτυο 192.168.1.0/24 προς το 192.168.10.0/24 θα περάσει μέσα από το VPN_Tunnel.
Τέλος, φτιάχνουμε έναν ακόμα route κανόνα ώστε να διευκρινίσουμε στο 192.168.1.0/24 ότι όταν θέλει να πάει οπουδήποτε αλλού εκτός από το 192.168.10.0/24 να ΜΗΝ πάει από το VPN_Tunnel αλλά από την WAN (ή το interface που εξυπηρετεί):
Η εντολή που δίνουμε παραπάνω είναι: Οποιαδήποτε πληροφορία θέλει να περάσει από το υποδίκτυο 192.168.1.0/24 προς οπουδήποτε αλλού (εκτός από το 192.168.10.0/24), θα περάσει την WAN1.
Σημαντικό είναι να βάλουμε τις παραπάνω Route Policies με την σωστή σειρά. Το Firewall διαβάζει τις εντολές από πάνω προς τα κάτω. Η πρώτη εντολή που θα δει να ταιριάζει με το routing που θέλει να κάνει, αυτήν θα ακολουθήσει.
Οπότε θα πρέπει να έχουμε τις εντολές όπως παρακάτω:
Ο κόκκινος κανόνας είναι ο πρώτος που θα διαβάσει το Firewall και είναι αυτός για το Traffic μέσα από το VPN. Εάν τον είχαμε 2ο τότε το Private δίκτυο 192.168.10.0/24 θα προσπαθήσει να επικοινωνήσει με το 192.168.20.0/24 μέσα από την WAN1.