Zyxel H Series Firewall [следващ връх в маршрутите на политиката] Защо VPN, базирана на маршрути, заменя VPN, базирана на политики - и защо това е добре

С въвеждането на операционната система Zyxel UOS и пускането на новата серия H, Zyxel модернизира начина, по който се обработват VPN връзките. За разлика от устройствата от по-ранно поколение, като например сериите USG и ATP, серията H вече не поддържа използването на VPN тунели като следваща точка в маршрутите на политиката.

Това не е ограничение, а по-скоро преминаване към модерна, базирана на интерфейса VPN архитектура, използваща VPN по маршрут с VTI (Virtual Tunnel Interface). Тази статия обяснява разликата между VPN, базирана на политики, и VPN, базирана на маршрути, и защо този нов подход се счита за по-надежден, мащабируем и по-лесен за управление.

Предимства на маршрутно-базираната VPN с VTI в Zyxel USG FLEX H

• VPN тунелите се създават като виртуални интерфейси (VTI) и участват в маршрутизацията точно както физическите портове.
• Не е необходимо да определяте VPN като следващ връх в Policy Routes, което намалява сложността на конфигурацията и риска от неправилна конфигурация.
• По-добра интеграция със зоново-базирания модел за сигурност на Zyxel.

Сценарий:

• Централата използва множество вътрешни подмрежи:
  • 192.168.10.0/24 - Администрация
  • 192.168.20.0/24 - счетоводство
  • 192.168.30.0/24 - Склад
• Клонът има нужда от достъп до всички тях чрез VPN.

Проблеми с VPN, базирана на политики:

• Изисква създаване на отделен тунел или политика за всяка подмрежа.
• Всяка промяна в мрежата (напр. нова подмрежа) означаваше ръчно преконфигуриране на политиките и тунелите.

Използване на VTI в USG FLEX H:

• Създавате един VPN тунел между сайтовете.
• Конфигурирате стандартни статични маршрути:

dst: 192.168.10.0/24 → през VTI-Office dst: 192.168.20.0/24 → през VTI-Office dst: 192.168.30.0/24 → през VTI-Office  

• При добавяне на нова подмрежа (напр. 192.168.40.0/24) - просто добавете маршрут, не е необходимо преконфигуриране на VPN.
• Контролът на достъпа се управлява чрез политики за сигурност вместо чрез логиката на статичните маршрути.

Настройка на IPSec VPN тунел за uOS

Този пример демонстрира как да използвате съветника за настройка на VPN, за да конфигурирате маршрутно базиран VPN тунел от сайт до сайт с устройство ZLD като партньорски шлюз, което позволява сигурен достъп между двата сайта, след като тунелът е установен.

Навигирайте доVPN > IPSec VPN > Site to Site VPN > Add. и преминете през всички стъпки на съветника и попълнете съответните полета:

• Име:
• Версия на IKE: IKEv2
• В полето My Address (Моят адрес) изберете необходимия WAN интерфейс
• В полето Peer Gateway Address (Адрес на партньорски шлюз) въведете публичния IP адрес на отдалеченото устройство (клон).
• Зона: IPSec_VPN
• В полето Authentication Method (Метод за удостоверяване) изберете Pre-Shared Key (PSK) (Предварително споделен ключ).

В полето Type (Тип) изберете: Route-Based.

1. В полето Remote Subnet (Отдалечена подмрежа) въведете ръчно: 192.168.88.0/27.
2. В полето VTI Interface въведете: 169.254.63.164/255.255.255.255.
3. Проверете дали на диаграмата е показана връзката от локалния интерфейс ge1 към отдалечения IP адрес 93.159.250.211

В менюто Phase 1 Settings (Настройки на фаза 1) и Phase 2 Settings (Настройки на фаза 2):

• Предложение: AES128 / SHA1
• DH група: DH2 / DH14

Натиснете OK.

• Конфигуриране на интерфейса VTI

Конфигурация > Мрежа > Интерфейс > VTI

Настройка на IPSec VPN тунел за ZLD

Отидете в Конфигурация > VPN > IPSec VPN > VPN шлюз.

• Щракнете върху Добавяне и отметка Включване.
• Въведете името на VPN шлюза:
• Изберете версия на IKE: Изберете IKEv2
• Под Моят адрес: Изберете Interface: ge1 (с вашия публичен IP адрес).
• Под Peer Gateway Address: въведете публичния IP адрес на отдалеченото устройство (HQ).
• В полето Удостоверяване: Изберете Pre-Shared Key и въведете същия ключ, използван на устройството Flex.

• Конфигуриране на интерфейса VTI

Конфигурация > Мрежа > Интерфейс > VTI