Zyxel Firewall H Series - Tailscale VPN

Firewall-ите от серията USG FLEX H на Zyxel вече поддържат интеграция с Tailscale, VPN решение на трета страна, което позволява сигурни, криптирани, peer-to-peer връзки между устройства и мрежи. Това предоставя на потребителите гъвкава и мащабируема VPN опция в допълнение към вградените VPN възможности на Zyxel.

Моля, имайте предвид, че макар USG FLEX H Series да предлага съвместимост с Tailscale, тя не включва лиценз за Tailscale. Потребителите, които желаят да използват услугите на Tailscale, трябва да получат лиценз директно от Tailscale.

Какво е Tailscale VPN?

Tailscale е модерно, сигурно, peer-to-peer VPN решение, проектирано да направи мрежовото свързване между устройствата просто и безпроблемно. За разлика от традиционните VPN, които разчитат на централизирани сървъри и сложни конфигурации, Tailscale използва мрежова архитектура от тип mesh, за да свърже вашите устройства директно и сигурно – без нужда от статични IPS, пренасочване на портове или сложни правила за защитна стена.

В основата си Tailscale се захранва от протокола WireGuard, който осигурява бърза, криптирана, end-to-end комуникация между устройствата – дори ако те са зад NAT рутери.

Първи стъпки с Tailscale на защитна стена

1. Създайте акаунт
   Посетете базата знания на Tailscale, за да се регистрирате и да започнете да използвате акаунта си в Tailscale.
2. Генериране на ключ за удостоверяване
   След като влезете, отидете в Настройки → Лични настройки → Ключове и кликнете върху Генериране на ключ за удостоверяване. Този ключ се използва за удостоверяване на вашата защитна стена или други устройства, когато се присъединявате към мрежата Tailscale.

3. Дайте описание с име по ваш избор и деактивирайте „Reusable“ (Многократна употреба) поради причини, свързани със сигурността, след което кликнете върху „Generate key“ (Генериране на ключ).

Копирайте ключа.

4. Влезте в защитната стена и отидете на „VPN -> Tailscale“, поставете ключа в „Ключове за удостоверяване“.

• Когато искате да промените ключа, кликнете Излезте.
• Можете да изберете зоната сами. Препоръчваме да използвате зона Tailscale за някои предварително дефинирани правила.

5. Върнете се на страницата за администриране на Tailscale. Ще видите устройството Firewall.

Кликнете върху „Disable key expiry“ (Деактивиране на изтичане на ключа) за всички клиенти, за да предотвратите загуба на връзка при изтичане.

Сценарий

Имаме две подмрежи, 192.168.168.0/24 и 192.168.160.0/24, които се намират зад защитни стени. И двете защитни стени, и клиент А са част от VPN мрежата Tailscale. Целите са както следва:

Случай 1: Разрешаване на клиент А да има достъп до подмрежите 192.168.168.0/24 и 192.168.160.0/24
1. Рекламирано 192.168.168.0/24 в защитна стена А.

2. Рекламира 192.168.160.0/24 в защитна стена Б.

3. Уверете се, че и двете подмрежи са одобрени от портала Tailscale.

Тестване на резултата
Сега клиент А знае как да маршрутизира трафика и може да получи достъп до 192.168.168.1 и 192.168.160.1.

Случай 2: Разрешете на клиент А достъп до интернет през защитната стена

1. Вземете за пример Firewall A. Активирайте „Exit Node“ и „Default SNAT“.

2. Уверете се, че Exit-Node е активиран от портала Tailscale.

3. Клиент А трябва да избере Firewall A като изходен възел.

Тестване на резултата
Интернет трафикът ще се изпраща към Firewall A.

Случай 3: Устройствата в подмрежите 192.168.168.0/24 и 192.168.160.0/24 могат да комуникират помежду си
След като завършите рекламираните мрежи, можете да комуникирате помежду си.
Тестване на резултата
Тест за пинг от Firewall A

Тест за пинг от Firewall B