Zyxel Firewall VPN - Конфигуриране на IPSec Site-To-Site VPN на Zyxel Firewall в самостоятелен режим

Това ръководство ще ви преведе през настройването на Site-to-Site (S2S) VPN връзка между два фаервола, използвайки IKEv2 IPSec. Ще разгледаме както ръчното конфигуриране, така и използването на вграден съветник, както и как да конфигурирате VPN, за да поддържа множество подсети в един и същ тунел.

В случай че търсите други VPN сценарии, съвети и трикове, разгледайте следните статии:

Общи:

• Ръководство за VPN - Избор на правилния тип VPN за вашия домашен офис (+Полезни връзки и уроци)
• Конфигуриране на VPN Provisioning на USG-Firewall
• Zyxel Firewall [VPN] - Отстраняване на проблеми с Site-to-Site VPN [Самостоятелен режим]

Nebula:

• Създаване на Site-to-Site VPN в Nebula между два Nebula шлюза (NSG)

Офис иска да се свърже сигурно с главния офис през интернет. И двата офиса имат USG / ZyWall / ATP / USG FLEX за достъп до интернет.

Забележка: Преди да започнете с конфигурирането на VPN, уверете се, че и двата сайта нямат еднакви подсети. Конфигурирането на VPN между сайтове с еднакви подсети технически е възможно, но не е лесно и може да доведе до усложнения поради припокриващи се IP адреси. Когато и двата сайта имат една и съща подсистема, това може да доведе до конфликти в маршрутизацията, защото VPN няма да знае към коя страна да изпрати трафика при срещане на IP адрес, който съществува и на двата адреса.

Метод със съветник за настройка на VPN

Най-простият и удобен метод за установяване на Site-to-Site връзка е чрез използване на вградения съветник. В първия пример от тази статия ще ви преведем през процеса. Ако сте имали проблеми при ръчното конфигуриране на VPN, можете да използвате съветника, за да настроите VPN и да сравните настройките за целите на отстраняване на проблеми.

Настройки за главния офис (съветник)

• Влезте в уеб интерфейса на фаервола на главния офис и отидете в секцията Quick Setup Wizard в лявото меню.
• Кликнете "VPN Setup"

Можете да изберете между Express (VPN с подразбиращи се стойности) или Advanced (ръчно задаване на криптография и др.). За пример в тази статия сме избрали опцията "Advanced".

• Препоръчваме силно използването на IKEv2 вместо IKEv1 за подобряване на сигурността, ускоряване на установяването на връзката, стабилност, поддръжка на мобилност и повишаване на ефективността при работа с мрежови промени.
• Дайте разбираемо име и изберете Site-to-Site VPN.
• Кликнете "Next"

Настройки за Фаза 1

• В следващата стъпка въведете “Secure Gateway” – това е WAN адресът на втория ви фаервол; в този случай е IP адресът на офис клона. (Когато започнете конфигурирането на втория фаервол, трябва да въведете WAN IP адреса на този фаервол.)
• Задайте предложенията за Фаза 1 по желание. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за група ключове.

Настройки за Фаза 2

• Уверете се, че настройките за Фаза 2 са същите като тези за Фаза 1 (напр. AES256, SHA512).
• Локална политика и отдалечена политика – Локалната и отдалечената политика определят кой трафик се криптира в site-to-site VPN, осигурявайки сигурна, ефективна и правилно маршрутизирана комуникация между мрежите.
  
  Забележка: Моля, първо проверете дали IP адресът на отдалечената подсистема не съществува вече в локалната подсистема, за да избегнете двойна конфигурация на IP адреси. Когато отдалечената подсистема е подобна на локалната, ще можете да достигнете само локалната мрежа.

• След като всички данни са въведени правилно, кликнете “Next”, прегледайте отново всички настройки, кликнете "Save" и продължете с конфигурирането на втория фаервол.

Настройки за офис клона (съветник)

Трябва да следвате точно същата процедура за фаервола във втория офис. Основната разлика е само в някои настройки.

• Gateway IP трябва да бъде зададен като WAN IP на устройството в главния офис
• Локална политика и отдалечена политика също ще са различни. Пример по-долу:
  Главен офис
  Локална политика: 192.168.40.1
  Отдалечена политика: 192.168.70.1
  Офис клон:
  Локална политика: 192.168.70.1
  Отдалечена политика: 192.168.40.1

• Ако всичко е конфигурирано правилно и няма проблеми с връзката, другите настройки или конструкцията, VPN връзката ще бъде установена автоматично веднага след запазване на настройките.

Ръчен метод за настройка на VPN

VPN Gateway - Ръчни настройки за главния офис

• Влезте в уеб интерфейса на фаервола на главния офис

Отидете на Configuration -> VPN -> VPN Ge -> Add

• Отметнете полето Enable
• Дайте ясно име
• Изберете IKE версия

Препоръчваме силно използването на IKEv2 вместо IKEv1 за подобряване на сигурността, ускоряване на установяването на връзката, стабилност, поддръжка на мобилност и повишаване на ефективността при работа с мрежови промени.

• My Address (Интерфейс) - задава вашия WAN IP адрес.
• Peer Gateway Address - Това е WAN адресът на втория ви фаервол; в този случай е IP адресът на офис клона. (Когато започнете конфигурирането на втория фаервол, трябва да въведете WAN IP адреса на този фаервол.)
• Pre-Shared Key - Създайте силна парола (ще използвате този ключ и на отдалеченото устройство).
• Настройки за Фаза 1 - Задайте предложенията за Фаза 1 по желание. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за група ключове.

VPN тунел - Ръчни настройки за главния офис

Configuration > VPN > IPSec VPN > VPN Connection > Add

Първото нещо, което трябва да направите, е да създадете обект за “Отдалечена политика” като кликнете “Create New Object” и изберете “IPV4 Address.”

• Име - въведете ясно име
• Тип адрес - “SUBNET”
• Мрежа - локалният мрежов адрес на отдалечения сайт
• Мрежова маска - маска на подсетката на отдалечения сайт
• След това кликнете “OK”

Сега можем да продължим с попълването на другите полета.

• Отметнете полето Enable
• Дайте ясно име
• Изберете Site-To-Site VPN
• VPN Gateway - Изберете VPN Gateway, създаден на предишната стъпка
• Локална политика и отдалечена политика ще са различни.
• Настройки за Фаза 2 - Задайте предложенията за Фаза 2 по желание. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за група ключове.
• Кликнете "Ok"

Сега можем да започнем конфигурирането на офиса клон. За целта следвайте същите стъпки, както за главния офис, но с някои промени в данните.

VPN Gateway - Ръчни настройки за офис клона

Configuration > VPN > IPSec VPN > VPN Gateway

Повторете стъпките от главния офис за конфигуриране на VPN Gateway

• Когато конфигурирахте VPN Gateway на фаервола в главния офис, посочихте WAN IP на офиса клон в полето "Peer Gateway Address Static Address”. Сега, при конфигуриране на офиса клон, трябва да посочите WAN IP на главния офис в полето "Peer Gateway Address Static Address”.
• Pre-Shared Key - трябва да е еднакъв и за двата сайта.

VPN тунел - Ръчни настройки за офис клона

Configuration > VPN > IPSec VPN > VPN Connection

Повторете стъпките от главния офис за конфигуриране на VPN тунела

• С изключение на няколко разлики, когато конфигурирахте главния офис, посочихте мрежата на офиса клон в Remote Policy. Сега, когато конфигурирате офиса клон, трябва да посочите мрежата на главния офис в полето Remote Policy.

Отметнете опцията "Nailed-Up", за да установите VPN тунела и да се свързвате автоматично.

Тествайте резултата

• Свържете VPN тунела ръчно за първи път. След това той трябва да проверява свързаността и да се свързва автоматично.
• Можете да видите, че VPN тунелът е свързан, когато символът на земята е зелен.

Забележка: Моля, проверете правилата на вашия фаервол, за да се уверите, че съществуват подразбиращите се правила IPSec-to-Device и IPSec-to-Any.
В противен случай трафикът между тунелите може да бъде блокиран.

Ограничение - Използване на няколко подсети

На Zyxel фаерволите има ограничение, при което не можете да изберете няколко подсети в един VPN тунел. Локалната политика (подмрежа) и отдалечената политика (подмрежа) могат да бъдат конфигурирани само с една подсистема всяка.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

За да заобиколите този проблем, можете ръчно да конфигурирате политически маршрут, който да маршрутизира други подсети в тунела.

Създайте този политически маршрут:

Забележка! Възможно е да се наложи да маршрутирате отговарящите пакети обратно през тунела на отдалечения сайт.

Отстраняване на проблеми

Често срещани проблеми и решения:

• Грешен предварително споделен ключ: Проверете двойно предварително споделения ключ и на двете устройства.
• Грешна конфигурация на подсетите: Уверете се, че правилните локални и отдалечени подсети са конфигурирани в настройките на VPN.
• Настройки за Фаза 1 и Фаза 2:

Ключови настройки, които трябва да се проверят, за да са еднакви на двата сайта

• Метод на автентикация: Обикновено се използва предварително споделен ключ.
• Криптографски алгоритъм: Често използвани опции са AES (128/256 бита), 3DES.
• Хеш алгоритъм: Обикновено SHA-256 или SHA-512 или SHA-1.
• DH група (Diffie-Hellman група): Осигурява сигурен обмен на ключове (например група 2, група 14).
• Време на живот:

За по-подробни инструкции относно отстраняването на проблеми вижте връзката:

Zyxel Firewall [VPN] - Отстраняване на проблеми със Site-to-Site VPN [Самостоятелен режим]