วิธีกำหนดค่าไคลเอนต์ Shrew Soft VPN ด้วยเราเตอร์ TP-Link
ใช้ TL-ER6120 เป็นตัวอย่าง
ในการตั้งค่าช่องสัญญาณ IPsec VPV คุณต้องทำตามขั้นตอนต่อไปนี้: 1. ตรวจสอบให้แน่ใจว่าพีซีสามารถเข้าถึงอินเทอร์เน็ตได้ 2. การกำหนดการตั้งค่า IPsec VPN บน TL-ER6120; 3. การกำหนดค่าไคลเอนต์ Shrew VPN การกำหนดค่า IPsec VPN บน TL-ER6120 ขั้นตอนที่ 1: เข้าถึงหน้าเว็บการจัดการของเราเตอร์ ตรวจสอบการตั้งค่าที่จำเป็นบนเราเตอร์
ขั้นตอนที่ 2: บนหน้าเว็บการจัดการ คลิก VPN จากนั้นคลิก IKE Proposal ภายใต้ IKE Proposal ให้ป้อน Proposal Name ตามที่คุณต้องการ เลือก Authentication, Encryption และ DH Group เราใช้ MD5, 3EDS,DH2 ในตัวอย่างนี้ คลิกที่เพิ่ม
ขั้นตอนที่ 3: คลิกที่นโยบาย IKE ป้อนชื่อนโยบายตามที่คุณต้องการ เราเลือก Aggressive สำหรับ Exchange Mode เลือก FQDN เป็น ID Type และป้อน Local ID ตามที่คุณต้องการ ที่นี่เราป้อน “123” สำหรับ Local ID และ “321” สำหรับ Remote รหัส
หมายเหตุ: เราควรเลือก Aggressive สำหรับโหมด Exchange เมื่อไคลเอนต์พีซีอยู่หลังอุปกรณ์ NAT เราจะต้องเลือก FQDN เป็น ID Type ไม่เช่นนั้นจะไม่สามารถสร้างอุโมงค์ VPN ได้ ขั้นตอนที่ 4: ภายใต้ IKE Proposal 1 เราเลือกการทดสอบในตัวอย่างนี้ ป้อน Pre-shared Key และ SA Lifetime ที่คุณต้องการ DPD ถูกปิดใช้งาน คลิกที่เพิ่ม
ขั้นตอนที่ 5: คลิกที่ IPsec บนเมนูด้านซ้าย จากนั้นเลือก IPsec Proposal เลือก Security Protocol, ESP Authentication และ ESP Encryption ที่คุณต้องการเปิดใช้งานบนอุโมงค์ VPN ในที่นี้เราใช้ ESP, MD5 และ 3DES เป็นต้น คลิกที่เพิ่ม
ขั้นตอนที่ 6: คลิกที่นโยบาย IPsec ป้อนชื่อนโยบายตามที่คุณต้องการ โหมดควรเป็น Client-to-LAN เข้าสู่ Local Subnet และเลือกพอร์ต WAN
ขั้นตอนที่ 7: มองหาโหมดนโยบายและเลือก IKE ภายใต้นโยบาย IKE เราเลือก ike ที่ใช้ ภายใต้ข้อเสนอ IPsec เราใช้การทดสอบในตัวอย่างนี้ ขั้นตอนที่ 8: มองหา PFS เราตั้งค่า NONE ที่นี่ ภายใต้ SA Lifetime ให้ป้อน “28800” หรือช่วงเวลาที่คุณต้องการ มองหาสถานะ จากนั้นเลือกเปิดใช้งาน ขั้นตอนที่ 9: เปิดใช้งาน IPsec จากนั้นคลิกที่เพิ่ม การกำหนดค่าไคลเอนต์ Shrew VPN
ขั้นตอนที่ 1: คลิกที่เพิ่ม ภายใต้ชื่อโฮสต์หรือที่อยู่ IP ให้ป้อนที่อยู่ IP WAN ของ TL-ER6120 เลือกปิดใช้งานสำหรับการกำหนดค่าอัตโนมัติ ภายใต้ วิธีการที่อยู่ เราเลือกใช้อะแดปเตอร์ที่มีอยู่และที่อยู่ปัจจุบัน
ขั้นตอนที่ 2: คลิกที่ Name Resolution ที่เมนูด้านบน อย่าติ๊กที่ Enable WINS และ Enable DNS
ขั้นตอนที่ 3: คลิกที่การยืนยันตัวตนที่เมนูด้านบน เลือก Mutual PSK เป็นการรับรองความถูกต้อง ภายใต้ Identification Type ให้เลือก Fully Qualified Domain Name และป้อน “321” สำหรับ FQDN String
ขั้นตอนที่ 4: คลิกที่ Remote Identity เลือก Fully Qualified Domain Name เป็น Identification Type และป้อน “123” สำหรับ FQDN String
ขั้นตอนที่ 5: คลิกที่ Credentials ซึ่งเป็นรหัสที่ใช้ร่วมกันล่วงหน้า ควรเหมือนกับรหัสที่ใช้ร่วมกันล่วงหน้าบน TL-ER6120 ซึ่งก็คือ “123456789”
ขั้นตอนที่ 6: คลิกที่เฟส 1 ภายใต้ Proposal Parameters ประเภท Exchange, DH Exchange, Cipher Algorithm และ Hash Algorithm เหมือนกันกับ TL-ER6120 เราใช้ Aggressive, Group 2, 3des,md5 ที่นี่
ขั้นตอนที่ 7: คลิกที่เฟส 2 ภายใต้ Proposal Parameters อัลกอริทึมการแปลง อัลกอริทึม HMAC จะเหมือนกันกับ TL-ER6120 เราใช้ esp-3des, md5 ที่นี่ PFS Exchange และอัลกอริทึมการบีบอัดถูกปิดใช้งาน
ขั้นตอนที่ 8: คลิกที่นโยบาย อย่าติ๊กที่ Obtain Topology Automatically หรือ Tunnel All จากนั้นคลิกที่เพิ่ม
ขั้นตอนที่ 9: เลือก รวมเป็นประเภท ป้อน LAN Subnet Address และ Subnet Mask ของ TL-ER6120 ซึ่งก็คือ 192.168.1.0, 255.255.255.0 จากนั้นคลิกตกลงและบันทึก
ขั้นตอนที่ 10: คลิกที่เชื่อมต่อ
ขั้นตอนที่ 11: คลิกที่เชื่อมต่อ
ขั้นตอนที่ 12: หากไคลเอนต์เชื่อมต่อกับเซิร์ฟเวอร์ VPN สำเร็จ คุณจะเห็น IPsec SA ในรายการ