Важно известие: |
Статията предоставя ръководство стъпка по стъпка за създаване на IPSec VPN тунел от сайт до сайт с помощта на съветника за настройка на VPN на устройствата ZyWALL/USG. В нея се обяснява как да конфигурирате VPN тунела между два сайта, включително един зад NAT маршрутизатор, като осигурите сигурен достъп. Процесът включва използване на съветника за настройки на VPN за създаване на VPN правило с фазови настройки по подразбиране, конфигуриране на IP адреси на защитен шлюз и задаване на локални и отдалечени политики. Той обхваща и стъпки за проверка, за да се тества функционалността на тунела, и разглежда потенциални проблеми, които могат да възникнат, като например несъответстващи настройки или конфигурации на политики за сигурност.
Настройка на ZyWALL/USG IPSec VPN тунел на корпоративна мрежа (централа)
1. В ZyWALL/USG използвайте съветника VPN Settings (Настройки на VPN) , за да създадете VPN правило, което може да се използва с FortiGate. Щракнете върху Next (Напред).
Бърза настройка > Съветник за настройка на VPN > Добре дошли
2. Изберете Express (Експресно), за да създадете VPN правило с настройки по подразбиране за фаза 1 и фаза 2 и да използвате предварително споделен ключ като метод за удостоверяване. Щракнете върху Напред.
Бърза настройка > Съветник за настройка на VPN > Тип на съветника
3. Въведете името на правилото, използвано за идентифициране на тази VPN връзка (и VPN шлюз). Можете да използвате 1-31 буквено-цифрови знака. Тази стойност е чувствителна към големи и малки букви. Изберете правилото да бъде Site-to-site (от място до място). Щракнете върху Next (Напред).
Бърза настройка > Съветник за настройка на VPN > Тип на съветника > Настройки на VPN (сценарий)
4. Конфигурирайте Secure Gateway IP като WAN IP адрес на клона (в примера 172.100.30.40). След това въведете сигурен предварително запазен ключ (8-32 символа).
Задайте Local Policy (Локална политика) да бъде диапазонът от IP адреси на мрежата, свързана към ZyWALL/USG (централа), а Remote Policy (Отдалечена политика) да бъде диапазонът от IP адреси на мрежата, свързана към ZyWALL/USG (клон).
Бърза настройка > Съветник за настройка на VPN > Тип на съветника > Настройки на VPN (Конфигурация)
5. Този екран предоставя обобщение само за четене на VPN тунела. Щракнете върху Запазване.
Бърза настройка > Съветник за настройка на VPN > Добре дошли > Тип на съветника > VPN настройки (обобщение)
6. Сега правилото е конфигурирано в ZyWALL/USG. Тук ще се появят настройките на правилата за фаза
Фаза 1: VPN > IPSec VPN > VPN Gateway Фаза 2: VPN > IPSec VPN > VPN Connection Бърза настройка > Съветник за настройка на VPN > Добре дошли > Тип на съветника > VPN настройки > Съветник завършен
7. Конфигурирайте Peer ID Type (Тип на идентификация на партньор) като Any (Всякакъв), за да може ZyWALL/USG да не изисква да проверява съдържанието на идентичността на отдалечения IPSec маршрутизатор.
CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Gateway (VPN шлюз) > Show Advanced Settings (Показване на разширени настройки) > Authentication (Удостоверяване) > Peer ID Type (Тип идентификация на партньора)
Настройка на IPSec VPN тунела на ZyWALL/USG за корпоративна мрежа (клон)
1. В ZyWALL/USG използвайте съветника за настройки на VPN, за да създадете VPN правило, което може да се използва с FortiGate. Щракнете върху Next (Напред).
Бърза настройка > Съветник за настройка на VPN > Добре дошли
2. Изберете Express (Експресно), за да създадете VPN правило с настройки по подразбиране за фаза 1 и фаза 2 и да използвате предварително споделен ключ като метод за удостоверяване. Щракнете върху Напред.
Бърза настройка > Съветник за настройка на VPN > Тип на съветника
3. Въведете името на правилото, използвано за идентифициране на тази VPN връзка (и VPN шлюз). Можете да използвате 1-31 буквено-цифрови знака. Тази стойност е чувствителна към големи и малки букви. Изберете правилото да бъде Site-to-site (от място до място). Щракнете върху Next (Напред).
Бърза настройка > Съветник за настройка на VPN > Тип на съветника > Настройки на VPN (сценарий)
4. Конфигурирайте Secure Gateway IP като WAN IP адрес на клона (в примера 172.100.20.30). След това въведете защитен предварително запазен ключ (8-32 символа).
Задайте Local Policy (Локална политика) да бъде диапазонът от IP адреси на мрежата, свързана към ZyWALL/USG (централа), а Remote Policy (Отдалечена политика) да бъде диапазонът от IP адреси на мрежата, свързана към ZyWALL/USG (клон).
Бърза настройка > Съветник за настройка на VPN > Тип на съветника > Настройки на VPN (Конфигурация)
5. Този екран предоставя обобщение само за четене на VPN тунела. Щракнете върху Запазване.
Бърза настройка > Съветник за настройка на VPN > Добре дошли > Тип на съветника > VPN настройки (обобщение)
6. Сега правилото е конфигурирано в ZyWALL/USG. Тук ще се появят настройките на правилата за фаза
Фаза 1 : VPN > IPSec VPN > VPN Gateway Фаза 2: VPN > IPSec VPN > VPN Connection Бърза настройка > Съветник за настройка на VPN > Добре дошли > Тип съветник > VPN настройки > Съветник завършен
7. Конфигурирайте Peer ID Type (Тип на идентификация на партньор) като Any (Всякакъв), за да може ZyWALL/USG да не изисква да проверява съдържанието на идентичността на отдалечения IPSec маршрутизатор.
CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Gateway (VPN шлюз) > Show Advanced Settings (Показване на разширени настройки) > Authentication (Удостоверяване) > Peer ID Type (Тип идентификация на партньора)
Настройка на маршрутизатора NAT (в този пример се използва устройството ZyWALL USG)
Забележка: Тези настройки трябва да се прилагат само ако една от вашите защитни стени е зад NAT. Тези настройки трябва да бъдат конфигурирани на NAT маршрутизатора, разположен преди защитната стена, който може да бъде маршрутизатор на вашия доставчик на интернет услуги или основният маршрутизатор в офисната ви мрежа. По-долу предоставяме пример, използващ едно от нашите устройства - това е само за справка.
1. Изберете входящия интерфейс, на който трябва да се получават пакетите за правилото NAT. Посочете полето User-Defined Original IP (Определен от потребителя оригинален IP адрес) и Въведете преведения IP адрес на местоназначението, който това NAT правило поддържа.
КОНФИГУРАЦИЯ > Мрежа > NAT > Добавяне
2. В защитната стена трябва да е разрешено IP пренасочване за следните IP протоколи и UDP портове:
IP протокол = 50 → Използва се от пътя за данни (ESP)
IP протокол = 51 → Използва се от пътя за данни (AH)
Номер на UDP порт = 500 → Използва се от IKE (контролен път на IPSec)
Номер на UDP порт = 4500 → Използва се от NAT-T (IPsec NAT traversal)
КОНФИГУРАЦИЯ > Политика за сигурност > Контрол на политиката
ПОТВЪРЖДЕНИЕ:
Тестване на IPSec VPN тунела
1. Отидете в CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Connection (VPN връзка).
щракнете върху Connect (Свързване) в горната лента. Иконата за свързване на състоянието свети, когато интерфейсът е свързан.
2. Проверете времето за изработване на тунела и входящия (байтове)/изходящия (байтове) трафик.
MONITOR > VPN Monitor > IPSec
3. За да тествате дали тунелът работи или не, изпратете ping от компютър в единия сайт до компютър в другия. Уверете се, че и двата компютъра имат достъп до интернет (чрез IPSec устройства).
Компютър зад ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
Компютър зад ZyWALL/USG (клон) > Window 7 > cmd > ping 10.10.10.33
Какво може да се обърка?
1. Ако видите следното съобщение в дневника [info] или [error], моля, проверете настройките на ZyWALL/USG за фаза 1. И двата ZyWALL/USG в централата и филиала трябва да използват един и същ Pre-Shared Key (предварително споделен ключ), Encryption (криптиране), Authentication method (метод за удостоверяване), DH key group (група DH ключове) и ID Type (тип идентификатор) за създаване на IKE SA.
MONITOR > Log
2. Ако видите, че процесът на фаза 1 на IKE SA е завършен, но все още получавате долното [info] съобщение в дневника, моля, проверете настройките на фаза 2 на ZyWALL/USG. И двата ZyWALL/USG в централата и в клоновете трябва да използват един и същ протокол, капсулиране, криптиране, метод за удостоверяване и PFS за установяване на IKE SA.
MONITOR > Log
3. Уверете се, че политиките за сигурност на двата ZyWALL/USG в централата и филиала позволяват IPSec VPN трафик. IKE използва UDP порт 500, AH използва IP протокол 51, а ESP използва IP протокол 50.
4. В ZyWALL/USG по подразбиране е разрешено преминаването през NAT, моля, уверете се, че отдалеченото IPSec устройство също трябва да има разрешено преминаване през NAT.