Как да конфигурираме маршрутизиране за L2TP over IPSec клиенти към отдалечен офис чрез IPSec тунел на хардуерни шлюзове от серията ZyWALL USG?
(Използване на ZyWALL USG 50 като пример)
Нека разгледаме следната топология:
Има 2 офиса, А и Б (във всеки офис е инсталиран хардуерен шлюз от серия ZyWALL USG). Те са свързани чрез IPSec VPN тунел. Отдалечени L2TP over IPSec клиенти се свързват с всеки офис през Интернет.
Задачата: конфигуриране на маршрутизиране така, че всички L2TP over IPSec клиенти да имат достъп до локалната подсистема на офисите А и Б, независимо към кой офис се свързва клиентът.
Същността на конфигурацията се свежда до създаването на два маршрута и на двата защитни шлюза:
1. Целият трафик (с произволни IP адреси на източника), насочен към отдалечената подсистема, ще бъде маршрутизиран през IPSec VPN тунела. Този маршрут е необходим, защото IP адресите на L2TP over IPSec клиентите не са в обхвата, посочен в VPN Connections за връзката между двата офиса. Трафикът няма да бъде автоматично маршрутизиран в тунела.
2. Вторият маршрут ще указва на шлюза, че трафик с дестинационни IP адреси от отдалечения обхват на L2TP over IPSec клиентите трябва да се изпраща през IPSec тунела между офисите, или трафик, предназначен за отдалечени L2TP over IPSec клиенти, трябва да се маршрутизира през IPSec тунела между офисите. Без този маршрут отговорите на заявките няма да бъдат доставени.
Нека разгледаме параметрите на нашата тестова конфигурация:
| ZyWALL USG 50 (Офис А) | ZyWALL USG 100 (Офис Б) |
wan1: 10.0.0.2 (в реална конфигурация това трябва да е глобален статичен IP адрес) | wan1: 10.0.1.2 (в реална конфигурация това трябва да е глобален статичен IP адрес) |
Конфигуриране на ZyWALL USG 50 от Офис А
За да конфигурирате интерфейсите, отидете на Configuration > Network > Interface и изберете таба Ethernet.
За да създадете обектите, необходими за конфигурацията на маршрутизацията, отидете на Configuration > Object > Address.
Освен подсистемите за L2TP over IPSec клиентите, трябва да създадете и обект от тип INTERFACE IP за интерфейса wan1 и обект от тип SUBNET, който дефинира отдалечената подсистема на Офис Б. Това е необходимо за конфигуриране на L2TP over IPSec тунела и IPSec тунела между офисите.
L2TP over IPSec тунелът и IPSec тунелът между офисите трябва да бъдат конфигурирани в Configuration > VPN > IPSec VPN > VPN Gateway и Configuration > VPN > IPSec VPN > VPN Connection.
За да конфигурирате правила за маршрутизиране, отидете на Configuration > Network > Routing > Policy Route.
Настройки на първия маршрут:
Настройки на втория маршрут:
След това трябва да конфигурирате защитната стена. За да конфигурирате правила на защитната стена, отидете на Configuration > Network > Firewall.
В нашата конфигурация основното условие за разрешаване на пакети през защитната стена е свързването на двата тунела към една и съща зона, където е разрешен трафикът между интерфейсите в зоната (Block Intra-zone – no).
Трябва да има и правила, позволяващи трафик от тази зона към локалната мрежа и от локалната мрежа към тази зона.
Конфигуриране на ZyWALL USG 100 от Офис Б
За да конфигурирате интерфейсите, отидете на Configuration > Network > Interface и изберете таба Ethernet.
За да създадете обектите, необходими за конфигурацията на маршрутизацията, отидете на Configuration > Object > Address.
Освен подсистемите за L2TP over IPSec клиентите, трябва да създадете и обект от тип INTERFACE IP за интерфейса wan1 и обект от тип SUBNET, който дефинира отдалечената подсистема на Офис А. Това е необходимо за конфигуриране на L2TP over IPSec тунела и IPSec тунела между офисите.
L2TP over IPSec тунелът и IPSec тунелът между офисите трябва да бъдат конфигурирани в Configuration > VPN > IPSec VPN > VPN Gateway и Configuration > VPN > IPSec VPN > VPN Connection.
За да конфигурирате правила за маршрутизиране, отидете на Configuration > Network > Routing > Policy Route.
Настройки на първия маршрут:
Настройки на втория маршрут:
След това трябва да конфигурирате защитната стена. За да конфигурирате правила на защитната стена, отидете на Configuration > Network > Firewall.
В нашата конфигурация основното условие за разрешаване на пакети през защитната стена е свързването на двата тунела към една и съща зона, където е разрешен трафикът между интерфейсите в зоната (Block Intra-zone – no).
Трябва да има и правила, позволяващи трафик от тази зона към локалната мрежа и от локалната мрежа към тази зона.
Коментари
0 коментараВлезте в услугата, за да оставите коментар.