Zyxel Firewall řady H – Tailscale VPN

Firewally Zyxel USG FLEX H Series nyní podporují integraci s Tailscale, řešením VPN od třetí strany, které umožňuje bezpečné, šifrované peer-to-peer připojení mezi zařízeními a sítěmi. To uživatelům poskytuje flexibilní a škálovatelnou možnost VPN kromě vestavěných funkcí VPN společnosti Zyxel.

Vezměte prosím na vědomí, že ačkoli řada USG FLEX H nabízí kompatibilitu s Tailscale, neobsahuje licenci Tailscale. Uživatelé, kteří chtějí využívat služby Tailscale, musí získat licenci přímo od Tailscale.

Co je Tailscale VPN?

Tailscale je moderní, bezpečné peer-to-peer VPN řešení navržené tak, aby síťové propojení mezi zařízeními bylo jednoduché a plynulé. Na rozdíl od tradičních VPN, které se spoléhají na centralizované servery a složité konfigurace, Tailscale využívá síťovou architekturu typu mesh k přímému a bezpečnému propojení vašich zařízení – bez nutnosti statických IP adres, přesměrování portů nebo složitých pravidel firewallu.

Jádro Tailscale je založeno na protokolu WireGuard, který zajišťuje rychlou, šifrovanou komunikaci mezi zařízeními, a to i v případě, že se nacházejí za NAT routery.

Začínáme s Tailscale na firewallu

1. Vytvořte si účet
   Navštivte znalostní databázi Tailscale, kde se můžete zaregistrovat a začít používat svůj účet Tailscale.
2. Vygenerujte ověřovací klíč
   Po přihlášení přejděte do Nastavení → Osobní nastavení → Klíče a klikněte na Generovat ověřovací klíč. Tento klíč se používá k ověření vaší brány firewall nebo jiných zařízení při připojení k síti Tailscale.

3. Zadejte libovolný popisný název a z bezpečnostních důvodů deaktivujte možnost „Opakovaně použitelné“ a klikněte na „Generovat klíč“.

Klíč zkopírujte.

4. Přihlaste se do firewallu a přejděte do části „VPN → Tailscale“, vložte klíč do pole „Ověřovací klíče“.

• Pokud chcete klíč změnit, klikněte na Odhlásit se.
• Zónu si můžete vybrat sami. Doporučujeme použít zónu Tailscale pro některé předdefinované pravidla.

5. Vraťte se na stránku správce Tailscale. Uvidíte zařízení Firewall.

Klikněte na „Disable key expiry“ (Zakázat vypršení platnosti klíče) pro všechny klienty, abyste zabránili ztrátě připojení při vypršení platnosti.

Scénář

Máme dvě podsítě, 192.168.168.0/24 a 192.168.160.0/24, které se nacházejí za firewally. Firewally i klient A jsou součástí sítě Tailscale VPN. Cíle jsou následující:

Případ 1: Povolit klientovi A přístup k podsítím 192.168.168.0/24 a 192.168.160.0/24
1. Oznámit 192.168.168.0/24 v bráně firewall A.

2. Oznámit 192.168.160.0/24 v bráně firewall B.

3. Ujistěte se, že obě podsítě byly schváleny z portálu Tailscale.

Otestujte výsledek
Nyní klient A ví, jak směrovat provoz, a může přistupovat k adresám 192.168.168.1 a 192.168.160.1.

Případ 2: Umožněte klientovi A přístup k internetu přes bránu firewall

1. Vezměme si jako příklad firewall A. Povolte „Exit Node“ a „Default SNAT“.

2. Ujistěte se, že byl výstupní uzel povolen na portálu Tailscale.

3. Klient A musí vybrat bránu firewall A jako výstupní uzel.

Otestujte výsledek
Internetový provoz bude odeslán do brány firewall A.

Případ 3: Zařízení v podsítích 192.168.168.0/24 a 192.168.160.0/24 mohou mezi sebou komunikovat
Jakmile dokončíte nastavení inzerovaných sítí, můžete mezi sebou komunikovat.
Otestujte výsledek
Test ping z firewallu A

Test ping z firewallu B