How to Set up Site-to-Site Manual IPsec VPN Tunnels on Omada Gateway in Controller Mode
注意: 此篇文章適用於 Omada SDN Controller v 4.3 以上版本
當網路在不同地點想要建立連線時,建議在 Omada 管理的路由器上設定 site-to-site IPsec VPN 通道,Omada 管理的路由器支援兩種 site-to-site VPN 類型: Auto IPsec 和 Manual IPsec。
此篇文章將顯示如何在控制器模式下設定 Manual IPsec,若要設定 Auto IPsec VPN,請參考 如何在控制器模式下的 Omada 路由器設定 Site-to-Site Auto IPsec VPN 通道?
應用場景
一間公司想要讓子公司和總公司的網路互通,總公司使用被 Omada 管理的路由器,而子公司使用的路由器沒有被 Omada 控制器管理(我們以 ER7206 為例),且路由器不接在任何 NAT 設備後方,也就是說,路由器 WAN 取得公共 IP 位址。在此場景中,您可以透過網際網路手動建立 IPsec VPN 通道,我們以下方拓樸為例。
注意: 若 Omada 路由器接在 NAT 設備後方,要成功建立 IPsec VPN 通道,請確認 UDP 通訊埠 500 和 4500 在 NAT 前方的設備已成功開放,並將 Phase-1 Settings 中的 Local ID Type / Remote ID 類型設為 Name。
設定
1) 若路由器 A 被 Omada 控制器管理,請至 Devices 點擊路由器,右方將出現子頁面,前往 Details > WAN 查看路由器 A 取得的 WAN IP 位址。
前往 Settings > Wired Networks > LAN > Networks 取得總公司的本地網段(此處為 LAN 1,請根據您的網路拓樸選擇對應的 LAN)。
2) 而路由器 B (此處我們以 ER7206 為例),前往 Status > System Status 取得子公司路由器 B 的 WAN IP 位址。
前往 Network > LAN > LAN 取得子公司的本地網段 (LAN 2)。
前往 Settings > VPN 點擊 + Create New VPN Policy。
輸入名稱以辨識 VPN 規則,新項目選為 Site-to-Site VPN,VPN 類型選為 Manual IPsec。接著設定相關參數並點擊 Create。
|
Status |
勾選表示啟用此 VPN 項目。 |
|
Remote Gateway |
輸入子公司路由器 B 的 WAN IP 位址 (100.100.100.100)。 |
|
Remote Subnets |
輸入子公司 LAN 的 IP 位址範圍(192.168.10.1/24)。 |
|
Local Networks |
選擇總公司的網路(LAN 1),VPN 規則將套用至選取的網路。 |
|
Pre-Shared Key |
輸入作為驗證碼的 Pre-Shared Key (PSK),總公司和子公司需要設定一樣的 PSK 作為驗證。 |
|
WAN |
選擇 VPN 通道要在哪個 WAN 埠建立。 |
注意: 當路由器 B (ER7206) 為獨立管理模式,請點擊 Advanced Settings 選擇 IKEv1 作為 Phase-1 Settings 的版本 Key Exchange Version
若 Omada 路由器接在 NAT 設備後方,要成功建立 IPsec VPN 通道,請確認 UDP 通訊埠 500 和 4500 在 NAT 前方的設備已成功開放,並將 Phase-1 Settings 中的 Local ID Type / Remote ID Type 設為 Name。
這裡我們以 ER7206 為例,前往 VPN > IPsec > IPsec Policy 點擊 + Add。
輸入規則名稱辨識 VPN,選擇模式為 LAN-to-LAN。 接著設定對應參數,點擊 OK。
|
Remote Gateway |
輸入總公司的 路由器 A 的 WAN IP 位址(100.100.100.100)。 |
|
WAN |
選擇 VPN 通道要在哪個 WAN 上建立。 |
|
Local Subnet |
輸入子公司的網路 IP 位址 (192.168.10.1/24),VPN 規則將套用至網路中。 |
|
Remote Subnet |
輸入總公司的 LAN IP 位址範圍 (192.168.0.1/24)。 |
|
Pre-Shared Key |
輸入作為驗證碼的 Pre-Shared Key (PSK),總公司和子公司需要設定一樣的 PSK 作為驗證。 |
|
Status |
勾選以啟用 VPN 通道。 |
注意: 若 Omada 路由器接在 NAT 設備後方,要成功建立 IPsec VPN 通道,請確認 UDP 通訊埠 500 和 4500 在 NAT 前方的設備已成功開放,並將 Phase-1 Settings 中的 Local ID Type / Remote ID Type 設為 Name。
驗證 IPsec VPN Tunnel 是否成功建立
在總公司的 Omada 控制器頁面,前往 Insight > VPN Status > IPsec SA 確認 IPsec SA 項目。
在 ER7206,前往 VPN > IPsec > IPsec SA 確認 IPsec SA 項目。若對應項目顯示於列表中,表示 VPN 通道已建立成功。
Related Documents
如何在Omada控制器模式下設定點對點的IPsec VPN連線?
如何在 Omada 路由器的獨立模式設定 IPsec Failover?
如何設定 Site-to-Site WireGuard VPN(控制器模式)
當 IPsec VPN 連線失敗時,我該怎麼辦?