Важно известие: |
Това ръководство ще ви запознае с настройката на Site-to-Site (S2S) VPN между две защитни стени с помощта на IKEv2 IPSec. Ще разгледаме както ръчното конфигуриране, така и използването на вградения съветник, а също и как да конфигурирате VPN мрежата за работа с множество подмрежи в рамките на един и същи тунел.
В случай че търсите други сценарии, съвети и трикове за VPN, разгледайте следните статии:
Обща информация:
- Избор на правилния тип VPN за вашия домашен офис (+полезни връзки и уроци)
- Предоставяне на VPN конфигурация в USG-Firewall
- Zyxel Firewall [VPN] - Отстраняване на неизправности в Site-to-Site VPN [самостоятелен режим]
Nebula:
Един офис иска да се свърже сигурно с централата си чрез интернет. И двата офиса разполагат с USG / ZyWall / ATP / USG FLEX за достъп до интернет.
Забележка: Преди да започнете да конфигурирате VPN, уверете се, че двата офиса нямат едни и същи подмрежи. Конфигурирането на VPN между сайтове с една и съща подмрежа от двете страни е технически възможно, но не е лесно и може да доведе до усложнения поради припокриващи се IP адреси. Когато и двата сайта имат една и съща подмрежа, това може да доведе до конфликти в маршрутизацията, тъй като VPN мрежата няма да знае към коя страна да изпрати трафика, когато види IP адрес, който съществува и на двете места.
Метод на съветника за настройка на VPN
Най-простият и удобен метод за установяване на връзка между сайтове е чрез използване на вградения съветник. В първия пример от тази статия ще ви преведем през този процес. Също така, ако сте имали проблеми при ръчно конфигуриране на VPN, можете да използвате съветника, за да настроите VPN и да сравните настройките с цел отстраняване на проблеми.
Настройки на сайта на централата (Wizzard)
- Влезте в уеб графичния потребителски интерфейс на защитната стена HQ Site и отидете в раздела Quick Setup Wizard (Съветник за бърза настройка) в лявото меню.
- Щракнете върху "Настройка на VPN".
Можете да избирате между Експресна (VPN със стойности по подразбиране) или Разширена (Ръчна настройка на криптографията и т.н...). За да ви дадем пример от тази статия, избрахме опцията "Разширено".
- Силно препоръчваме да използвате IKEv2 вместо IKEv1, за да подобрите сигурността, да ускорите установяването на връзката, да осигурите стабилност, да поддържате мобилност и да увеличите ефективността при обработката на промени в мрежата.
- Дайте разбираемо име и изберете Site-to-Site VPN.
- Щракнете върху "Напред".
Настройки на фаза 1
- На следващия ред въведете "Secure Gateway" Това е Wan адресът на вашата втора защитна стена; в този случай това е IP адресът на сайта на клона. (Когато започнете да конфигурирате втората защитна стена, ще трябва да попълните WAN IP адреса на тази защитна стена. )
- Задайте предложенията на Фаза 1 по желание. От съображения за сигурност изберете силна парола и предложения с добро шифроване/удостоверяване, например AES256 за шифроване, SHA512 за удостоверяване и DH14 за група ключове.
Настройки на фаза 2
- Уверете се, че настройките на фаза 2 са същите като тези на фаза 1. (т.е. AES256, SHA512)
-
Локална политика и отдалечена политика - Локалните и отдалечените политики определят кой трафик се криптира във VPN мрежата от сайт до сайт, като осигуряват сигурна, ефективна и правилно маршрутизирана комуникация между мрежите.
Забележка: Моля, първо проверете дали IP адресът на отдалечената подмрежа вече не съществува в локалната подмрежа, за да избегнете двойно конфигуриране на IP адрес. Когато отдалечената подмрежа е подобна на една локална подмрежа, ще можете да достигнете само до локалната мрежа.
- След като всички данни са въведени правилно, щракнете върху "Напред", проверете отново всички настройки, щракнете върху"Запази" и продължете да конфигурирате втората защитна стена.
Настройки на сайта на клона (Wizzard)
Трябва да следвате абсолютно същата процедура за защитната стена във втория офис. Основната разлика е само в някои настройки.
- IP адресът на шлюза трябва да бъде зададен като WAN IP адрес на устройството в централния сайт
-
Местната политика и отдалечената политика също ще бъдат различни. Пример по-долу:
Сайтът на централата
Местна политика: 192.168.40.1
Отдалечена политика: 192.168.70.1
Филиал:
Местна политика: 192.168.70.1
Отдалечена политика: 192.168.40.1
- Ако всичко е конфигурирано правилно и няма проблеми с връзката, други настройки или изграждането, VPN връзката ще бъде установена автоматично веднага след запазване на настройките.
Ръчен метод за настройка на VPN
Ръководство за настройки на VPN шлюз - сайт на централата
- Влезте в уеб графичния интерфейс на защитната стена на HQ Site
Go to Configuration -> VPN -> VPN Ge -> Add
- Поставете отметка в квадратчето Enable (Включване)
- Дайте ясно име
- Изберете версия на IKE
Силно препоръчваме да използвате IKEv2 вместо IKEv1, за да подобрите сигурността, да ускорите установяването на връзка, да осигурите стабилност, да поддържате мобилност и да увеличите ефективността при обработката на мрежови промени.
- My Address (Interface) (Моят адрес (интерфейс)) - задава вашия wan IP адрес.
- Peer Gateway Address (Адрес на партньорски шлюз) - това е WAN адресът на вашата втора защитна стена; в този случай това е IP адресът на филиала. (Когато започнете да конфигурирате втората защитна стена, ще трябва да попълните WAN IP адреса на тази защитна стена.
- Pre-Shared Key (Предварително споделен ключ) - Създайте силна парола (ще използвате този ключ и на отдалеченото устройство).
- Настройки на фаза 1 - Настройте предложенията на фаза 1 по желание. От съображения за сигурност изберете силна парола и предложения с добро криптиране/удостоверяване, като например AES256 за криптиране, SHA512 за удостоверяване и DH14 за група ключове.
VPN тунел - Ръководство за настройки на сайта на централата
Configuration > VPN > IPSec VPN > VPN Connection > Add
Първото нещо, което трябва да направите, е да създадете обект за "Отдалечена политика", като щракнете върху "Създаване на нов обект" и изберете "IPV4 адрес".
- Име - въведете ясно име
- Тип на адреса - "SUBNET"
- Network (Мрежа) - адресът на локалната мрежа на отдалечения обект
- Netmask (Маска на мрежата) - маска на подмрежата на отдалечения сайт
- След това щракнете върху "OK"
Сега можем да продължим да попълваме останалите полета.
- Поставете отметка в квадратчето Enable (Разрешаване)
- Дайте ясно име
- Изберете Site-To-Site VPN
- VPN шлюз - Изберете VPN шлюза, създаден в предишната стъпка
- Местната политика и отдалечената политика ще бъдат различни.
- Phase 2 Settings (Настройки на фаза 2) - Задайте предложенията за фаза 2 по желание. От съображения за сигурност изберете силна парола и предложения с добро шифроване/удостоверяване, като например AES256 за шифроване, SHA512 за удостоверяване и DH14 за група ключове.
- Щракнете върху "Ok".
Сега можем да започнем конфигурирането на сайта на клона. За да направите това, следвайте същите стъпки, както при сайта на централата, но с някои промени в данните.
Ръководство за настройки на VPN шлюз - филиал
Configuration > VPN > IPSec VPN > VPN Gateway
Повторете стъпките от централата, за да конфигурирате VPN Gateway
- При конфигурирането на VPN шлюза на защитната стена в сайта на централата сте посочили WAN IP адреса на вашия филиал в полето "Peer Gateway Address Static Address" (Статиченадрес на шлюза на партньора ). Сега, когато конфигурирате сайта на филиала, трябва да посочите WAN IP на сайта на централата в полето "Peer Gateway Address Static Address" (Статиченадрес на шлюза на партньора).
- Pre-Shared Key (предварително споделен ключ) - трябва да бъде един и същ за двата сайта.
VPN тунел - Ръководство за настройки на филиал
Configuration > VPN > IPSec VPN > VPN Connection
Повторете стъпките за централата, за да конфигурирате VPN тунела
- С изключение на няколко разлики, когато сте конфигурирали сайта на централата, сте посочили мрежата в сайта на клона в Отдалечената политика. Сега, когато конфигурирате сайта на Клона, трябва да посочите мрежата от сайта на HQ в полето Remote Policy (Отдалечена политика).
Поставете отметка на опцията "Nailed-Up" (Прикован), за да установите VPN тунела и да се свържете автоматично.
Тестване на резултата
- Свържете VPN тунела ръчно за първи път. След това той трябва да сканира отново свързаността и да се свърже автоматично.
- Можете да видите, че VPN тунелът е свързан, когато символът за земя е зелен
Забележка: Моля, проверете правилата на защитната стена, за да се уверите, че правилата по подразбиране IPSec-to-Device и IPSec-to-Any съществуват.
В противен случай трафикът между тунелите може да бъде блокиран.
Ограничение - Използване на няколко подмрежи
При защитните стени Zyxel има ограничение, при което не можете да изберете няколко подмрежи в един VPN тунел. Местната политика (подмрежа) и отдалечената политика (подмрежа) могат да бъдат конфигурирани само с по една подмрежа.
Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy
За да заобиколите този проблем, можете да конфигурирате маршрут на политиката, за да насочвате ръчно други подмрежи в тунела.
Създайте този маршрут на политиката:
Забележка! Може да се наложи да се маршрутизират пакетите за отговор обратно през тунела на отдалечения сайт.
Отстраняване на неизправности
Често срещани проблеми и решения:
- Неправилен предварително запазен ключ: Двойна проверка на предварително споделения ключ на двете устройства.
- Неправилна конфигурация на подмрежата: Уверете се, че в настройките на VPN са конфигурирани правилните локални и отдалечени подмрежи.
- Настройки на фаза 1 и фаза 2:
Ключови настройки, които трябва да бъдат проверени, за да се уверите, че са еднакви на двата сайта
- Метод на удостоверяване: Обикновено се използва предварително споделен ключ.
- Алгоритъм за криптиране: Обичайните опции включват AES (128/256 бита), 3DES.
- Алгоритъм за хеширане: Обикновено SHA-256, SHA-512 или SHA-1.
- DH група (Diffie-Hellman Group): Осигурява сигурен обмен на ключове (напр. Група 2, Група 14).
- Живот:
За по-подробни инструкции за отстраняване на неизправности вижте връзката:
Zyxel Firewall [VPN] - Отстраняване на неизправности в Site-to-Site VPN [Самостоятелен режим]