We have launched the new version of the DrayTek website, and this content is no longer being maintained.
You will find more information on our new site; however, we will keep this page for a few months.

[Vigor3900] ¿Qué es IPsec Multiple SA (Asociación de seguridad)?

Al conectarse a un servidor VPN que tenga varias redes LAN, Vigor Router tiene la función de IPsec "Más" subred remota que permite rutas adicionales sobre el mismo túnel IPsec sin crear otra IPsec SA (Asociación de seguridad) para las redes remotas adicionales. Sin embargo, este mecanismo funciona sólo entre DrayTek Vigor Routers. Cuando se conecta a un servidor VPN que no es de DrayTek, que requiere más IPsec SA para diferentes redes LAN, Vigor3900 tiene múltiples funciones de SA desde el firmware versión 1.3.0, que admite la negociación de múltiples Sas de IPSec en IKE fase 2 para establecer varios túneles IPsec a cada subred en un solo perfil VPN. Este documento presenta cómo utilizar la característica Multiple IPsec SA.

(Este artículo se aplica a Vigor3900 y Vigor2960; para otros modelos, consulte el artículo aquí.)

 

Caso 1: Vigor3900 tiene una red local mientras que la VPN Peer tiene dos:

Por ejemplo, la red LAN de Vigor3900 es 192.168.1.0/24.

La red VPN Peer LAN1 es 192.168.100.0/24 y LAN2 es 192.168.200.0/24.

1. En la pestaña Basic, podemos configurar la red LAN del Vigor3900 (192.168.1.0/24) como la red local IP / máscara de subred; y la Red VPN Peer LAN1 (192.168.100.0/24) como IP remota / máscara de subred.

 

2. En la pestaña Multiple SA, ingrese nuevamente la red LAN del Vigor3900 para la IP Local / máscara de subred nuevamente y el VPN Peer LAN2 para la IP Remota / máscara de subred.

 

3. Necesitamos configurar la configuración Multiple SA o crear dos IPsec VPN perfiles dial-in en el sitio remoto del Vigor3900.

4. Durante el establecimiento de la conexión IPsec, el Vigor3900 creará dos IPsec SA. Una es para cifrar los datos entre la red 192.168.1.0/24 y 192.168.100.0/24, la otra es para cifrar los datos entre la red 192.168.1.0/24 y 192.168.200.0/24.

 

Caso 2: Vigor3900 tiene dos redes locales mientras que la VPN Peer tiene una

Por ejemplo, la red LAN1 de Vigor3900 es 192.168.1.1/24 y LAN2 es 192.168.2.1/24.

La red LAN de VPN Peer es 192.168.100.1/24.

1. En la pestaña Basic, podemos configurar la red LAN1 del Vigor3900 como IP local / máscara de subred y la red LAN de VPN Peer (192.168.100.0/24) como IP remota / máscara de subred.

 

2. Luego en la pestaña Multiple SA, ingrese la red LAN2 del Vigor3900 y la red LAN de VPN Peer.

 

3. Necesitamos configurar los ajustes de Multiple SA o crear dos perfiles de IPsec VPN dial-in en el sitio remoto del Vigor3900.

4. Durante el establecimiento de la conexión IPsec, el Vigor3900 creará dos IPsec SA. Una es para cifrar los datos entre la red 192.168.1.0/24 y 192.168.100.0/24, la otra es para cifrar los datos entre la red 192.168.1.0/24 y 192.168.200.0/24.

 

Caso 3: Tanto Vigor3900 como el VPN Peer tienen dos redes locales:

Por ejemplo, en el Vigor3900 la red LAN1 es 192.168.1.0/24 y LAN2 es 192.168.2.0/24. La red LAN1 de VPN Peer es 192.168.100.0/24 y la red LAN2 es 192.168.200.0/24.



1. En la pestaña Basic, podemos configurar la red LAN1 del Vigor3900 como IP local / máscara de subred y la red LAN1 de VPN Peer (192.168.100.0/24) como IP remota / máscara de subred.

 

2. En la pestaña Multiple SA, ingrese los 3 siguientes ajustes:

-La red LAN2 de Vigor3900 a la red LAN1 de VPN Peer

-La red LAN2 de Vigor3900 a la red LAN2 de VPN Peer

-La red LAN1 de Vigor3900 a la red LAN2 de VPN Peer

 

3. Durante el establecimiento de la conexión IPsec, el Vigor3900 creará 4 IPsec SAs. Una es cifrar datos entre la red 192.168.1.0/24 y 192.168.100.0/24; y las demás deberan cifrar datos entre la red 192.168.1.0/24 y 192.168.200.0/24, y la red 192.168.2.0/24 y 192.168.100.0/24 y entre la red 192.168.2.0/24 y la red 192.168.200.0/ 24.

4. Por supuesto, VPN Peer debe tener las configuraciones correspondientes. Tomemos otro Vigor3900 actuando como un VPN Peer, por ejemplo, en la pestaña Basic, podemos configurar la red LAN (192.168.100.0/24) como IP Local /máscara de subred, y la otra red LAN del Vigor3900 (192.168.1.0/24) como IP remota/ máscara de subred.

 

5. A continuación, en la pestaña Multiple SA, ingrese los 3 siguientes ajustes:

 

6. Después de las configuraciones anteriores, deberíamos ver 4 conexiones IPsec entre los dos routers. La transferencia de datos entre diferentes redes se cifra con 4 IPsec SAs diferentes.

 

7. ¿Y qué podríamos hacer si no queremos que la red local 192.168.2.0/24 acceda a la red remota 192.168.200.0/24? ¡Sólo tienes que eliminar la msa2 en la pestaña Multiple SAs!

 
Was this article helpful?
67[Vigor3900] ¿Qué es IPsec Multiple SA (Asociación de seguridad)? has been viewed------ 67 ------times.