Преглед

VPN (виртуална частна мрежа) осигурява сигурна комуникация между сайтове без разходите за наети линии. VPN се използват за пренос на трафик през интернет на несигурна мрежа, която използва TCP/IP комуникации. VPN за отдалечен достъп (от клиент до сайт) позволява на пътуващи служители или на работещи от разстояние да получат сигурен достъп до мрежовите ресурси на компанията. Съществуват множество видове VPN протоколи/технологии, които могат да се използват за установяване на сигурна връзка с фирмената мрежа: L2TP, PPTP, SSL, OpenVPN и др. В това ръководство ще бъде посочен протоколът IPSec за създаване на защитен VPN тунел между външни хостове (потребители, свързани към интернет извън структурата на фирмената мрежа) и маршрутизатора ZyWALL. За установяването на VPN връзката е необходим IPSec софтуер на трети страни, тъй като в настоящите операционни системи липсва вграден IPSec клиент.

1. VPN шлюз (Фаза 1)
2. VPN връзка (Фаза 2)
3. Предоставяне на конфигурация
4. ZyWALL VPN клиент
5. Тестване и отстраняване на неизправности

VPN шлюз (Фаза 1)

Влезте в уеб страницата за конфигуриране на ZyWALL и отидете в менюто Configuration → VPN → IPSec VPN. В менюто IPSec VPN щракнете върху VPN Gateway таба, за да добавите Фаза 1 от настройката на тунела. Щракнете върху бутона Add (Добавяне), за да вмъкнете ново правило. В горния ляв ъгъл на прозореца щракнете върху бутона Show Advanced Settings (Покажи разширени настройки) , за да видите всички опции в менюто.

• Поставете отметка в квадратчето, за да разрешите VPN правилото, и посочете име
• Изберете WAN интерфейса, който искате да използвате за свързване на VPN, в падащото поле My Address
• Уверете се, че Peer Gateway Address е зададен на "Dynamic Address" (Динамичен адрес).
• Въведете/създайте VPN удостоверение "Pre-Shared Key" (предварително споделен ключ)
• В полето Phase 1 Settings (Настройки на фаза 1) задайте в падащото поле Negotiation Mode (Режим на договаряне) да се използва режим "Main" (Основен)
• Задайте предложенията "Encryption" (Криптиране) и "Authentication" (Удостоверяване), които желаете да използвате (опциите за криптиране са DES, 3DES, AES128, AES192, AES256) (опциите за удостоверяване са MD5, SHA1, SHA256, SHA512)
• Изберете ключовата група Diffie-Hellman (опциите са DH1, DH2, DH5)
  
  Забележка: Символът за предупреждение вдясно ще се появи в областите, в които се изисква въвеждане на данни или е допусната грешка при въвеждането, например незаконни/неподдържани символи.
  

VPN връзка (Фаза 2)

Сега, след като е създадено правилото за VPN шлюз (Фаза 1), щракнете върху раздела VPN Connection (VPN връзка) , за да въведете правилото за Фаза 2 за VPN тунела. Щракнете върху бутона Add (Добавяне), за да вмъкнете правило. В горния ляв ъгъл на прозореца щракнете върху бутона Show Advanced Settings (Покажи разширени настройки) , за да видите всички опции в менюто.

• Поставете отметка в квадратчето, за да активирате правилото, и му дайте име
• Задайте сценария на приложението VPN Gateway да използва "Отдалечен достъп (роля на сървър)".
• За сценария на приложението задайте падащото меню VPN Gateway да използва политиката Фаза 1, създадена в предишната стъпка. (RoadWarrior за този пример)
• Превъртете надолу до опцията Policy (Политика ) и задайте Local Policy (Местна политика) да използва адресния обект "LAN1_SUBNET". Това ще даде на VPN потребителя достъп до всички устройства, свързани към LAN1
• Активният протокол под Phase 2 Setting трябва да бъде зададен на "ESP"
• Капсулирането е "Tunnel".
• Задайте предложението за "Encryption" (Криптиране) и "Authentication" (Удостоверяване), което желаете да използвате (Опциите за криптиране са DES, 3DES, AES128, AES192, AES256) (Опциите за удостоверяване са MD5, SHA1, SHA256, SHA512)
• Perfect Forward Secrecy (PFS) е допълнително ниво на криптиране. Не е необходимо да го включвате, но ако желаете да използвате допълнителното ниво на криптиране, опциите са None (Няма), DH1, DH2 и/или DH5.
• Под Related Settings (Свързани настройки), се уверете, че зоната е зададена за "IPSec_VPN".
  
  

Сега, след като Фаза 1 и Фаза 2 на VPN правилото са завършени, махнете отметката от квадратчето "Use Policy Route to control dynamic IPSec rules" (Използвай маршрута на политиката за управление на динамичните IPSec правила). Премахването на тази опция ще позволи на ZyWALL да създава маршрути за свързаните VPN потребители автоматично.

Предоставяне на конфигурацията

Някои VPN клиенти, като например "ZyWALL IPSec VPN Client" и "TheGreenBow VPN Client", имат опция за провизиране, която им позволява да изтеглят настройките, които сте конфигурирали за VPN правилото, вместо да се налага да конфигурирате клиента ръчно. За да настроим VPN провизирането за динамичното VPN правило на RoadWarrior, просто създадохме раздела Configuration Provisioning (Провизиране на конфигурацията) в менюто IPSec VPN(Configuration → VPN → IPSec VPN).

Преди да настроим провизирането, трябва да създадем потребителски акаунт, който да позволи изтеглянето на настройките. Отидете на Configuration (Конфигурация) → Object (Обект) → User/Group (Потребител/група) и щракнете върху бутона Add (Добавяне) , за да вмъкнете акаунт на ниво "User" (Потребител). Административните акаунти не могат да използват опцията за изтегляне на конфигурацията provisioning.

Сега, след като потребителският акаунт е създаден, отидете на Configuration → VPN → IPSec VPN и щракнете върху Configuration Provisioning таба, за да вмъкнете правило, което да позволи изтеглянето на настройките на VPN клиента RoadWarrior VPN.

• Активиране на менюто VPN Configuration Provisioning
• Щракнете върху бутона Add (Добавяне) , за да създадете правило, което да позволи предоставянето на "RoadWarrior_Connection" VPN Connection (VPN връзка) за "VPN-user" Allowed User (Разрешен потребител). Уверете се, че правилото е разрешено, и щракнете върху Apply , за да запазите настройките.
  

ZyWALL VPN клиент

За да изтеглите настройките за осигуряване на VPN конфигурация, конфигурирани на маршрутизатора, отворете клиентския софтуер, щракнете върху менюто Configuration и изберете опцията "Get from Server" (Получаване от сървъра).

Въведете публичния IP адрес, името на домейна или името на DDNS, свързани с маршрутизатора ZyWALL. Клиентът изтегля настройката чрез SSL. По подразбиране ZyWALL е програмиран да използва порт 443 за SSL. Ако сте променили порта, моля, посочете новия SSL порт. Въведете потребителското име и паролата, свързани с конфигурацията за осигуряване, и щракнете върху Next (Напред).

Забележка: Това работи само докато е разрешено дистанционното управление на маршрутизатора ZyWALL, ако дистанционното управление е деактивирано, функцията за осигуряване на конфигурацията няма да може да извлича автоматично настройките на VPN конфигурацията от маршрутизатора ZyWALL.

Клиентът ще изпрати заявка за изтегляне на настройките на VPN конфигурацията към маршрутизатора ZyWALL.

Сега, след като конфигурацията е изтеглена, можете да създадете VPN тунел между вашия компютър и ZyWALL маршрутизатора. Щракнете с десния бутон на мишката върху частта от фаза 2 на конфигурацията и изберете "Open Tunnel" (Отворен тунел), за да стартирате VPN набирателя.

За да настроите пълно или разделено тунелиране за VPN трафика, просто погледнете тук:

Пълно/разделено тунелиране на VPN

Тестване и отстраняване на неизправности

Опитайте се да установите VPN връзка към маршрутизатора. След като връзката е установена, опитайте да изпратите пинг или да получите достъп до ресурси от отдалечената мрежа.

1. Ако не можете да получите трафик през VPN тунела:

• Деактивирайте защитната стена на отдалечения хост, за да се уверите, че тя не блокира заявката.
• Опитвате се да получите достъп до ресурси, използвайки името на компютъра? Опитайте вместо това да използвате IP адреса, присвоен на компютъра. Използването на име на хост на компютъра изисква протокола NetBIOS за излъчване, за да се определи IP адресът на компютъра; стандартът IPSec не поддържа излъчване. Тъй като стандартът IPSec VPN не поддържа излъчвания, не можем да гарантираме, че използването на хост имена вместо IP адреси ще работи. Заобикаляне на това ограничение на стандарта IPSec би било да се използва WINS сървър.
• Деактивирайте защитната стена на маршрутизатора ZyWALL.
• Уверете се, че няма конфликти на IP адреси. Ако мрежата на ZyWALL е конфигурирана да използва мрежата 192.168.1.0/24 и отдалеченият потребител също използва същата IP схема, трафикът няма да премине правилно през VPN тунела.
• Проверете шлюза на мрежата на хоста, ако местният маршрутизатор (не ZyWALL) няма активиран VPN pass-through (преминаване през VPN) или не са отворени необходимите портове, VPN може да не функционира правилно.
• Свържете се с техническата поддръжка за допълнителна помощ.
• VPN тунелът не се установява/свързва:

• Уверете се, че вашият мрежов маршрутизатор позволява преминаването на IPSec портовете (UDP:500 и UDP:4500) или не забравяйте да активирате VPN pass-through, ако маршрутизаторът поддържа тази опция. Възможно е да заобиколите маршрутизатора, за да се уверите, че той не причинява проблема.
• Уверете се, че вашият доставчик на интернет услуги не блокира портовете на VPN; някои доставчици блокират портовете на VPN от своя страна.
• Уверете се, че защитната стена на компютъра ви позволява комуникациите от VPN клиента.
• Актуализирайте драйверите на мрежовите си карти (Ethernet и/или Wi-Fi).
• Проверете VPN настройките на ZyWALL и се уверете, че те съвпадат с конфигурацията на софтуерния клиент.
• Свържете се с техническата поддръжка за допълнителна помощ.

Видео:

+++ Можете да закупите лицензи за вашите Zyxel VPN клиенти (SSL VPN, IPsec) с незабавна доставка чрез 1 клик: Zyxel Webstore +++