Това ръководство ще ви преведе през настройването на Site-to-Site (S2S) VPN между два защитни стени, използвайки IKEv2 IPSec. Ще разгледаме както ръчното конфигуриране, така и използването на вграден помощник (wizard), както и как да конфигурирате VPN да обработва множество подмрежи в един и същи тунел.
В случай че търсите други VPN сценарии, съвети и трикове, разгледайте следните статии:
Общи:
- VPN конфигурация и предоставяне на услуги на USG-Firewall
- Zyxel Firewall [VPN] - Отстраняване на проблеми с Site-to-Site VPN [Самостоятелен режим]
Офис иска да се свърже сигурно със своя централ офис през интернет. И двата офиса имат USG / ZyWall / ATP / USG FLEX за достъп до интернет.
Забележка: Преди да започнете конфигурирането на VPN, уверете се, че двата сайта нямат еднакви подмрежи. Конфигурирането на VPN между сайтове с еднакви подмрежи от двете страни е технически възможно, но не е лесно и може да доведе до усложнения поради припокриващи се IP адреси. Когато и двата сайта имат една и съща подмрежа, това може да доведе до конфликти в маршрутизацията, защото VPN няма да знае към коя страна да изпрати трафика, когато види IP адрес, който съществува и в двете локации.
Метод с помощника (Wizard) за настройка на VPN
Най-лесният и удобен метод за установяване на Site-to-Site връзка е чрез използване на вградения помощник. В първия пример от тази статия ще ви преведем през процеса. Също така, ако сте имали проблеми при ръчното конфигуриране на VPN, можете да използвате помощника за настройване на VPN и да сравните настройките за целите на отстраняване на проблеми.
Настройки на централния офис (Wizard)
- Влезте в Web GUI на защитната стена на централния офис и отидете в секцията Quick Setup Wizard в лявото меню.
- Кликнете на "VPN Setup"
Можете да изберете между Express (VPN с подразбиращи се стойности) или Advanced (ръчна настройка на криптография и др.). За пример в тази статия сме избрали опцията "Advanced".
- Препоръчваме силно използването на IKEv2 вместо IKEv1 за подобряване на сигурността, ускоряване на установяването на връзката, стабилност, поддръжка на мобилност и повишаване на ефективността при обработка на мрежови промени.
- Дайте разбираемо име и изберете Site-to-Site VPN.
- Кликнете "Next"
Настройки за Фаза 1
- В следващата стъпка въведете “Secure Gateway” – това е WAN адресът на вашата втора защитна стена; в този случай това е IP адресът на клоновия офис. (Когато започнете конфигурирането на втората защитна стена, ще трябва да попълните WAN IP адреса на тази защитна стена.)
- Настройте предложенията за Фаза 1 според желанието. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за ключова група.
Настройки за Фаза 2
- Уверете се, че настройките за Фаза 2 са същите като тези за Фаза 1 (т.е. AES256, SHA512).
-
Локална политика и отдалечена политика - Локалните и отдалечени политики определят кой трафик се криптира в site-to-site VPN, осигурявайки сигурна, ефективна и правилно маршрутизирана комуникация между мрежите.
Забележка: Моля, първо проверете дали IP адресът на отдалечената подмрежа вече не съществува в локалната подмрежа, за да избегнете двойна конфигурация на IP адреси. Когато отдалечената подмрежа е подобна на локалната, ще можете да достигнете само локалната мрежа.
- След като всички данни са въведени правилно, кликнете “Next,” проверете отново всички настройки, кликнете "Save" и продължете с конфигурирането на втората защитна стена.
Настройки на клоновия офис (Wizard)
Трябва да следвате точно същата процедура за защитната стена във втория офис. Основната разлика е само в някои настройки.
- Gateway IP трябва да бъде посочен като WAN IP на устройството в централния офис
-
Локална политика и отдалечена политика също ще са различни. Пример по-долу:
Централен офис
Локална политика: 192.168.40.1
Отдалечена политика: 192.168.70.1
Клонов офис:
Локална политика: 192.168.70.1
Отдалечена политика: 192.168.40.1
- Ако всичко е конфигурирано правилно и няма проблеми с връзката, други настройки или конструкцията, VPN връзката ще бъде установена автоматично веднага след запазване на настройките.
Ръчен метод за настройка на VPN - VPN Gateway - Ръчни настройки за централния офис
- Влезте в Web GUI на защитната стена на централния офис
Отидете в Configuration -> VPN -> VPN Ge -> Add
- Отметнете полето Enable
- Дайте ясно име
- Изберете IKE версия
Препоръчваме силно използването на IKEv2 вместо IKEv1 за подобряване на сигурността, ускоряване на установяването на връзката, стабилност, поддръжка на мобилност и повишаване на ефективността при обработка на мрежови промени.
- My Address (Интерфейс) - задава вашия WAN IP адрес.
- Peer Gateway Address - Това е WAN адресът на вашата втора защитна стена; в този случай това е IP адресът на клоновия офис. (Когато започнете конфигурирането на втората защитна стена, ще трябва да попълните WAN IP адреса на тази защитна стена.)
- Pre-Shared Key - Създайте силна парола (ще използвате този ключ и на отдалеченото устройство).
- Настройки за Фаза 1 - Настройте предложенията за Фаза 1 според желанието. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за ключова група.
VPN тунел - Ръчни настройки за централния офис
Configuration > VPN > IPSec VPN > VPN Connection > Add
Първото нещо, което трябва да направите, е да създадете обект за “Отдалечена политика” като кликнете на “Create New Object” и изберете “IPV4 Address.”
- Име - въведете ясно име
- Тип адрес - “SUBNET”
- Мрежа - локалният мрежов адрес на отдалечения сайт
- Маска на мрежата - подмрежовата маска на отдалечения сайт
- След това кликнете “OK”
Сега можем да продължим с попълването на останалите полета.
- Отметнете полето Enable
- Дайте ясно име
- Изберете Site-To-Site VPN
- VPN Gateway - Изберете VPN Gateway, създаден на предишната стъпка
- Локална политика и отдалечена политика ще са различни.
- Настройки за Фаза 2 - Настройте предложенията за Фаза 2 според желанието. По съображения за сигурност изберете силна парола и предложения с добра криптиране/автентикация, като AES256 за криптиране, SHA512 за автентикация и DH14 за ключова група.
- Кликнете "Ok"
Сега можем да започнем конфигурирането на клоновия офис. За целта следвайте същите стъпки, които направихте за централния офис, но с някои промени в данните.
VPN Gateway - Ръчни настройки за клоновия офис
Configuration > VPN > IPSec VPN > VPN Gateway
Повторете стъпките за централния офис, за да конфигурирате VPN Gateway
- Когато конфигурирахте VPN Gateway на защитната стена в централния офис, посочихте WAN IP на клоновия офис в полето "Peer Gateway Address Static Address”. Сега, при конфигурирането на клоновия офис, трябва да посочите WAN IP на централния офис в полето "Peer Gateway Address Static Address”.
- Pre-Shared Key - трябва да е еднакъв и за двата сайта.
VPN тунел - Ръчни настройки за клоновия офис
Configuration > VPN > IPSec VPN > VPN Connection
Повторете стъпките за централния офис, за да конфигурирате VPN тунел
- С изключение на няколко разлики, когато конфигурирахте централния офис, посочихте мрежата на клоновия офис в Отдалечена политика. Сега, при конфигурирането на клоновия офис, трябва да посочите мрежата на централния офис в полето Отдалечена политика.
Отметнете опцията "Nailed-Up", за да установите VPN тунела и да се свързвате автоматично.
Тествайте резултата
- Свържете VPN тунела ръчно за първи път. След това той трябва да сканира връзката и да се свързва автоматично.
- Ще видите, че VPN тунелът е свързан, когато символът на земното кълбо е зелен.
Забележка: Моля, проверете правилата на защитната стена, за да се уверите, че съществуват подразбиращите се правила IPSec-to-Device и IPSec-to-Any.
В противен случай трафикът между тунелите може да бъде блокиран.
Ограничение - Използване на няколко подмрежи
На защитните стени Zyxel има ограничение, при което не можете да изберете няколко подмрежи в един VPN тунел. Локалната политика (подмрежа) и отдалечената политика (подмрежа) могат да бъдат конфигурирани само с по една подмрежа всяка.
Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy
За да заобиколите този проблем, можете ръчно да конфигурирате маршрутна политика, която да насочва други подмрежи през тунела.
Създайте тази маршрутна политика:
Забележка! Може да се наложи да маршрутирате обратно отговорните пакети през тунела на отдалечения сайт.
Отстраняване на проблеми
Чести проблеми и решения:
- Грешен предварително споделен ключ: Проверете двойно предварително споделения ключ на двете устройства.
- Грешна конфигурация на подмрежата: Уверете се, че правилните локални и отдалечени подмрежи са конфигурирани в настройките на VPN.
- Настройки за Фаза 1 и Фаза 2:
Ключови настройки, които трябва да се проверят, за да са еднакви и на двата сайта
- Метод на автентикация: Обикновено се използва предварително споделен ключ.
- Криптографски алгоритъм: Често срещани опции са AES (128/256 бита), 3DES.
- Хеш алгоритъм: Обикновено SHA-256 или SHA-512 или SHA-1.
- DH група (Diffie-Hellman група): Осигурява сигурен обмен на ключове (например група 2, група 14).
- Време на живот (Lifetime):
За по-подробни инструкции за отстраняване на проблеми вижте връзката:
Zyxel Firewall [VPN] - Отстраняване на проблеми с Site-to-Site VPN [Самостоятелен режим]

Коментари
0 коментараВлезте в услугата, за да оставите коментар.