Zyxel Firewall VPN - Конфигуриране на IPSec Site-To-Site VPN на Zyxel Firewall в самостоятелен режим

Имате още въпроси? Подаване на заявка

Това ръководство ще ви преведе през настройването на Site-to-Site (S2S) VPN между два защитни стени, използвайки IKEv2 IPSec. Ще разгледаме както ръчното конфигуриране, така и използването на вграден помощник (wizard), както и как да конфигурирате VPN да обработва множество подмрежи в един и същи тунел.

В случай че търсите други VPN сценарии, съвети и трикове, разгледайте следните статии:

Общи:

Офис иска да се свърже сигурно със своя централ офис през интернет. И двата офиса имат USG / ZyWall / ATP / USG FLEX за достъп до интернет. 

Забележка: Преди да започнете конфигурирането на VPN, уверете се, че двата сайта нямат еднакви подмрежи. Конфигурирането на VPN между сайтове с еднакви подмрежи от двете страни е технически възможно, но не е лесно и може да доведе до усложнения поради припокриващи се IP адреси. Когато и двата сайта имат една и съща подмрежа, това може да доведе до конфликти в маршрутизацията, защото VPN няма да знае към коя страна да изпрати трафика, когато види IP адрес, който съществува и в двете локации.

Метод с помощника (Wizard) за настройка на VPN

Най-лесният и удобен метод за установяване на Site-to-Site връзка е чрез използване на вградения помощник. В първия пример от тази статия ще ви преведем през процеса. Също така, ако сте имали проблеми при ръчното конфигуриране на VPN, можете да използвате помощника за настройване на VPN и да сравните настройките за целите на отстраняване на проблеми.

Настройки на централния офис (Wizard)

  • Влезте в Web GUI на защитната стена на централния офис и отидете в секцията Quick Setup Wizard в лявото меню.
  • Кликнете на "VPN Setup"
VPN Setup

Можете да изберете между Express (VPN с подразбиращи се стойности) или Advanced (ръчна настройка на криптография и др.). За пример в тази статия сме избрали опцията "Advanced".

VPN Setup
  • Препоръчваме силно използването на IKEv2 вместо IKEv1 за подобряване на сигурността, ускоряване на установяването на връзката, стабилност, поддръжка на мобилност и повишаване на ефективността при обработка на мрежови промени.
  • Дайте разбираемо име и изберете Site-to-Site VPN.
  • Кликнете "Next"
VPN Setup

Настройки за Фаза 1

  • В следващата стъпка въведете “Secure Gateway” – това е WAN адресът на вашата втора защитна стена; в този случай това е IP адресът на клоновия офис. (Когато започнете конфигурирането на втората защитна стена, ще трябва да попълните WAN IP адреса на тази защитна стена.)
  • Настройте предложенията за Фаза 1 според желанието. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за ключова група.
VPN Setup

Настройки за Фаза 2

  • Уверете се, че настройките за Фаза 2 са същите като тези за Фаза 1 (т.е. AES256, SHA512).
  • Локална политика и отдалечена политика - Локалните и отдалечени политики определят кой трафик се криптира в site-to-site VPN, осигурявайки сигурна, ефективна и правилно маршрутизирана комуникация между мрежите.

    Забележка: Моля, първо проверете дали IP адресът на отдалечената подмрежа вече не съществува в локалната подмрежа, за да избегнете двойна конфигурация на IP адреси. Когато отдалечената подмрежа е подобна на локалната, ще можете да достигнете само локалната мрежа.
VPN Setup
  • След като всички данни са въведени правилно, кликнете “Next,” проверете отново всички настройки, кликнете "Save" и продължете с конфигурирането на втората защитна стена.
VPN Setup
VPN Setup

Настройки на клоновия офис (Wizard)

Трябва да следвате точно същата процедура за защитната стена във втория офис. Основната разлика е само в някои настройки.

  • Gateway IP трябва да бъде посочен като WAN IP на устройството в централния офис
  • Локална политика и отдалечена политика също ще са различни. Пример по-долу:
    Централен офис
    Локална политика: 192.168.40.1
    Отдалечена политика: 192.168.70.1
    Клонов офис:
    Локална политика: 192.168.70.1
    Отдалечена политика: 192.168.40.1
VPN Setup
  • Ако всичко е конфигурирано правилно и няма проблеми с връзката, други настройки или конструкцията, VPN връзката ще бъде установена автоматично веднага след запазване на настройките.
VPN Setup
VPN Setup

Ръчен метод за настройка на VPN - VPN Gateway - Ръчни настройки за централния офис

  • Влезте в Web GUI на защитната стена на централния офис
Отидете в Configuration -> VPN -> VPN Ge -> Add
  • Отметнете полето Enable
  • Дайте ясно име
  • Изберете IKE версия

Препоръчваме силно използването на IKEv2 вместо IKEv1 за подобряване на сигурността, ускоряване на установяването на връзката, стабилност, поддръжка на мобилност и повишаване на ефективността при обработка на мрежови промени.

  • My Address (Интерфейс) - задава вашия WAN IP адрес.
  • Peer Gateway Address - Това е WAN адресът на вашата втора защитна стена; в този случай това е IP адресът на клоновия офис. (Когато започнете конфигурирането на втората защитна стена, ще трябва да попълните WAN IP адреса на тази защитна стена.)
  • Pre-Shared Key - Създайте силна парола (ще използвате този ключ и на отдалеченото устройство).
  • Настройки за Фаза 1 - Настройте предложенията за Фаза 1 според желанието. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за ключова група. 
VPN Gateway

VPN тунел - Ръчни настройки за централния офис

Configuration > VPN > IPSec VPN > VPN Connection > Add

Първото нещо, което трябва да направите, е да създадете обект за “Отдалечена политика” като кликнете на “Create New Object” и изберете “IPV4 Address.”

  • Име - въведете ясно име
  • Тип адрес - “SUBNET”
  • Мрежа - локалният мрежов адрес на отдалечения сайт
  • Маска на мрежата - подмрежовата маска на отдалечения сайт
  • След това кликнете “OK
HQ Site Settings

Сега можем да продължим с попълването на останалите полета.

  • Отметнете полето Enable
  • Дайте ясно име
  • Изберете Site-To-Site VPN
  • VPN Gateway - Изберете VPN Gateway, създаден на предишната стъпка
  • Локална политика и отдалечена политика ще са различни.
  • Настройки за Фаза 2 - Настройте предложенията за Фаза 2 според желанието. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за ключова група. 
  • Кликнете "Ok"
HQ Site Settings

Сега можем да започнем конфигурирането на клоновия офис. За целта следвайте същите стъпки, които направихте за централния офис, но с някои промени в данните.

VPN Gateway - Ръчни настройки за клоновия офис

Configuration > VPN > IPSec VPN > VPN Gateway

Повторете стъпките за централния офис, за да конфигурирате VPN Gateway

  • Когато конфигурирахте VPN Gateway на защитната стена в централния офис, посочихте WAN IP на клоновия офис в полето "Peer Gateway Address Static Address”. Сега, при конфигурирането на клоновия офис, трябва да посочите WAN IP на централния офис в полето "Peer Gateway Address Static Address”.
  • Pre-Shared Key - трябва да е еднакъв и за двата сайта.

VPN тунел - Ръчни настройки за клоновия офис

Configuration > VPN > IPSec VPN > VPN Connection

Повторете стъпките за централния офис, за да конфигурирате VPN тунел

  • С изключение на няколко разлики, когато конфигурирахте централния офис, посочихте мрежата на клоновия офис в Отдалечена политика. Сега, при конфигурирането на клоновия офис, трябва да посочите мрежата на централния офис в полето Отдалечена политика.
HQ Site Settings

Отметнете опцията "Nailed-Up", за да установите VPN тунела и да се свързвате автоматично.

Тествайте резултата

  • Свържете VPN тунела ръчно за първи път. След това той трябва да сканира връзката и да се свързва автоматично.
  • Ще видите, че VPN тунелът е свързан, когато символът на земното кълбо е зелен.
Test the result

 

Забележка: Моля, проверете правилата на защитната стена, за да се уверите, че съществуват подразбиращите се правила IPSec-to-Device и IPSec-to-Any.
В противен случай трафикът между тунелите може да бъде блокиран.
Screenshot_2021-05-26_173435.png

Ограничение - Използване на няколко подмрежи

На защитните стени Zyxel има ограничение, при което не можете да изберете няколко подмрежи в един VPN тунел. Локалната политика (подмрежа) и отдалечената политика (подмрежа) могат да бъдат конфигурирани само с по една подмрежа всяка.

Test the result

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

За да заобиколите този проблем, можете ръчно да конфигурирате маршрутна политика, която да насочва други подмрежи през тунела.

Създайте тази маршрутна политика:

Test the result

Забележка! Може да се наложи да маршрутирате обратно отговорните пакети през тунела на отдалечения сайт.

Отстраняване на проблеми

Чести проблеми и решения:

  • Грешен предварително споделен ключ: Проверете двойно предварително споделения ключ на двете устройства.
  • Грешна конфигурация на подмрежата: Уверете се, че правилните локални и отдалечени подмрежи са конфигурирани в настройките на VPN.
  • Настройки за Фаза 1 и Фаза 2:

Ключови настройки, които трябва да се проверят, за да са еднакви и на двата сайта

  • Метод на автентикация: Обикновено се използва предварително споделен ключ.
  • Криптографски алгоритъм: Често срещани опции са AES (128/256 бита), 3DES.
  • Хеш алгоритъм: Обикновено SHA-256 или SHA-512 или SHA-1.
  • DH група (Diffie-Hellman група): Осигурява сигурен обмен на ключове (например група 2, група 14).
  • Време на живот (Lifetime): 

За по-подробни инструкции за отстраняване на проблеми вижте връзката:

Zyxel Firewall [VPN] - Отстраняване на проблеми с Site-to-Site VPN [Самостоятелен режим]
 

 

Статии в този раздел

Беше ли полезна тази статия?
10 от 19 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.