¿Cómo usar el túnel VPN como puerta de enlace predeterminada para PCs específicas solamente?

 English

Suponiendo que Vigor3900 está en la oficina central y Vigor2960 está en la sucursal, el administrador de la red desea crear una VPN entre las dos oficinas y crear una PC específica detrás de Vigor2960 para enviar todo el tráfico a este túnel VPN, mientras que otras PCs en la sucursal deben acceder a Internet a través de Vigor2960. El siguiente ejemplo demostrará cómo usar la nueva función de política de ruta para lograr este propósito.

Configuración en Vigor3900 en la oficina central

1. Agregue un nuevo perfil VPN: vaya a VPN and Remote Access >> VPN Profiles, haga clic en Add y configure los ajustes básicos:

  1. Habilite este perfil
  2. Seleccione wan2 para la marcación saliente
  3. Ingrese la IP local/subred como 10.0.0.0/8
  4. Ingrese el host remoto como IP de WAN de Vigor2960
  5. Ingrese la IP remota/subred como IP de LAN de Vigor2960
  6. Seleccione el modo principal para IKE Phase1
  7. Ingrese la clave precompartida
  8. Seleccione ESP para el protocolo de seguridad
a screenshot of VPN Basic settings on Vigor3900

2. Configure los ajustes de GRE para el perfil de VPN:

  1. Habilite la función GRE
  2. Ingrese la IP local de GRE (debe ser la misma que la IP remota de GRE del Vigor2960 en la sucursal)
  3. Ingrese la IP remota de GRE (debe ser la misma que la IP local de GRE del Vigor2960 en la sucursal)
  4. Aplique la configuración
a screenshot of GRE Settings on Vigor3900

3. Cree un grupo de balanceo de carga de VPN: vaya a VPN and Remote Access >> VPN Trunk Management >> Load Balance Pool, luego haga clic en Add para crear uno nuevo.

  1. Ingrese el nombre del perfil
  2. Haga clic en Add para seleccionar el perfil de VPN que acabamos de crear y dé el Peso (solo el perfil de VPN con la configuración de GRE se listará aquí)
  3. Aplique la configuración
a screenshot of Load Balance Pool configuration on Vigor3900

4. Cree una regla de balanceo de carga VPN: vaya a VPN and Remote Access >> VPN Trunk Management >> Load Balance Rule, luego haga clic en Add para crear una regla nueva.

  1. Ingrese el nombre del perfil
  2. Seleccione ALL (todos) para el protocolo
  3. Ingrese la dirección IP de origen
  4. Ingrese la máscara de origen
  5. Ingrese la dirección IP de destino
  6. Ingrese la máscara de destino
  7. Seleccione la agrupación de balanceo de carga de troncal de VPN (VPN Trunk Load Balance Pool) para la agrupación de balanceo de carga (Load Balance Pool)
a screenshot of Load Balance Pool configuration on Vigor3900

Nota: es necesario definir qué tipo de tráfico necesita pasar por el túnel de troncal VPN (VPN Trunk) con la regla de balanceo de carga VPN. De lo contrario, el tráfico no pasará al túnel de troncal VPN.

Configuración en Vigor2960 en la sucursal

1. Agregue un nuevo perfil VPN: vaya a VPN and Remote Access >> VPN Profiles, haga clic en Add y configure los ajustes básicos:

  1. Marque Enable para habilitar
  2. Habilite Auto Dial-Out (marcación saliente automática) y seleccione Always Dial-Out (marcación siempre)
  3. Seleccione wan1 para marcación saliene
  4. Ingrese IP local/subred como 192.168.1.0/ 255.255.255.0
  5. Ingrese la IP del host remoto como la IP de WAN2 de Vigor3900
  6. Ingrese la IP remota/subred como 10.0.0.0/ 255.0.0.0
  7. Seleccione el modo principal para IKE Phase1
  8. Ingrese la clave precompartida
  9. Seleccione ESP para el protocolo de seguridad
a screenshot of the second VPN profile

2. Configure los ajustes de GRE o el perfil de VPN:

  1. Marque Enable para habilitar la función GRE
  2. Ingrese el IP local de GRE (debe ser la misma que la IP remota de GRE del Vigor3900 en la oficina central)
  3. Ingrese la IP remota de GRE (debe ser la misma que la IP local de GRE del Vigor3900 en la oficina central)
  4. Aplique la configuración
a screenshot of the GRE settings of the second VPN profile

3. Cree un grupo de balancedo de carga de VPN: vaya a VPN and Remote Access >> VPN Trunk Management >>Load Balance Pool, luego haga clic en Add para crear uno nuevo.

  1. Ingrese el nombre del perfil
  2. Haga clic en Add para seleccionar el perfil de VPN que acabamos de crear y dé el Peso (solo el perfil de VPN con la configuración de GRE se listará aquí)
  3. Aplique la configuración
a screenshot of Load Balance setup on Vigor3900

4. Cree una regla de balanceo de carga VPN: vaya a VPN and Remote Access >> VPN Trunk Management >> Load Balance Rule, luego haga clic en Add para crear una nueva.

  1. Ingrese el nombre del perfil
  2. Seleccione ALL (todos) para el protocolo
  3. Ingrese la dirección IP de origen
  4. Ingrese la máscara de origen
  5. Ingrese la dirección IP de destino
  6. Ingrese la máscara de destino
  7. Seleccione la agrupación de balanceo de carga de troncal de VPN (VPN Trunk Load Balance Pool) para la agrupación de balanceo de carga (Load Balance Pool)
a screenshot of Load Balance Rule on Vigor3900

5. Después de completar los ajustes anteriores, el túnel VPN debe marcarse ahora. Vaya a VPN and Remote Access >> Connection Management para verificar su estado. Además, haga ping para confirmar si una computadora local puede obtener respuesta de ping desde una computadora remota.

a screenshot of connection management page showing the VPN tunnels is up, and ping responses on a command prompt window

6. Cree una regla de política (Policy Rule) para forzar a una PC específica a enviar todo el tráfico para que pase por el túnel troncal de VPN: vaya a: Routing >> Policy Route y luego haga clic en Add para agregar una nueva regla.

  1. Ingrese el nombre del perfil
  2. Marque Enable para habilitar
  3. Seleccione ALL (todos) para el protocolo
  4. Seleccione la IP específica para el origen. En este ejemplo, es IP 192.168.1.10
  5. Seleccione ANY (Cualquiera) para tipo de destino
  6. Seleccione VPN Trunk LB Pool para regla de salida
  7. Seleccione el perfil de balanceo de carga de VPN para el grupo de balanceo de carga
  8. Seleccione NAT para Mode
  9. Aplique la configuración
a screenshot of a Policy Rule configuration

7. Usando el comando trace route "tracert -d" para confirmar si todo el tráfico de la PC específica con IP 192.168.1.10 está pasando por el túnel VPN. Desde el resultado de la ruta de seguimiento en la captura de pantalla siguiente, podemos ver que el segundo nodo es la IP de Vigor3900 y eso significa que el tráfico a 8.8.8.8 está enviando a través del túnel VPN.

a screenshot of tracing route results on a command prompt window

Published On: Jul 09, 2018 


Was this helpful?