IPsec site-to-site: NETASQ - Vigor

(Kéménybe korommal - avagy, jegyezzük fel, hogy később elő lehessen venni)

Egyforma eszközökkel nem nagy kunszt site-to-site IPsec kapcsolatot összelőni. Ellenben ha különböző! Főleg ha az egyik egy nagyobb tudású, a másik meg a vicc kategória! Na de ha kell, hát kell.

NETASQ vs. Vigor 2200E

Egyik oldalon egy NETASQ U70 (a teszt erejéig, utána egy NETASQ U250), a másikon egy Vigor2200E-plus. Mindegyiken a legfrissebb firmware (ez a Vigor esetében jó pár éveset jelent). Ha IPsec-ről van szó, alapértelmezetten nem nagyon akarnak kommunikálni. A Vigor esetében nincs túl nagy válaszék a beállítások tekintetében, azzal dolgozunk, ami be van égetve és ami adott.

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #1

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #2

Ez adott, ezen változtatni nem lehet! Értem?!?

A másik oldalon kicsit nagyobb a választék (Strong, Good, Fast) gyárilag előre definiált "encryption profile" tekintetében:

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #3

Kár, hogy ezek így elbeszélnek egymás mellett:

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #6

A logokból látszik, hogy a Phase 1-ben (IKE) nem tudnak közös nevezőre jutni. Csináljunk valami megfelelőt a NETASQ-on:

Létrehozunk egy új encryption profile-t az IKE-hoz (elmés "foobar" néven):

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #4

Mentés, beállítás, érvényre juttatás és a policy aktiválása után, hohohhoohoh, alakul!

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #7

A Phase 1 összejött, de azért kell a Phase 2 is a bulihoz... Naná, hogy az alapértelmezettek közül egyik profile sem jó.

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #8

Csináljunk egy Phase 2 (IPSEC) profilt is, szintén "foobar" néven. Sakkozzuk ki a másik oldal alapján a megfelelő proposal-okat és beállításokat:

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #5

A végén csak összejön:

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #9

IPsec site-to-site - NETASQ vs. Vigor 2200E-plus #10

A VPN kapcsolat kiépült! Öröm és boldogság!

Ha ez megvan, innen már elég egyszerű tovább morcosítani a biztonsági konfigurációt.

( elod v | 2014. 04. 28., h – 14:49 )

Ez a Draytek pont olyan ronda mint a Zyxel IDSL cuccai voltak 13-14 éve :)

( mauzi v | 2014. 04. 28., h – 19:46 )

A vigyor a maga kategóriájában nem volt szar. Mondom a kategóriájában... mondom, volt...!

Fene se emlékszik. Vigor volt, a Drayrek alsóbb kategóriás cuccai közül, de úgy tudom, ebből is létezett több változat.
Amin kiakadtam, hogy a wifi hatótávolsága nagyon gyér volt, szoftverből csak a gyárit lehetett rátenni (ezt tudtam, amikor megvettem) és a beállításokkal is volt valami gondom, valami, számomra triviális dolog hiányzott.
Az árát már nem tudom, de végül jóval olcsóbban vettem egy Asust, ami utána hosszú évekig ment openwrt-vel, minden gond nélkül.

( szollosiimre | 2014. 04. 29., k – 13:20 )

ProxyID-t még vicces benne állítani. Valamint a P1 és P2 setet is lehet definiálni, de azért ezektől a chipektől erősebb encrypt algoritmust nem szabad várni. A Vygor javára viszont még oda kell írni, hogy ha egyszer bekonfiguráltad, akkor atombiztos a működése.