Firewall Zyxel řady H [další krok v zásadách směrování] Proč síť VPN založená na směrování nahrazuje síť VPN založenou na zásadách - a proč je to dobře?

Společnost Zyxel zavedením operačního systému Zyxel UOS a vydáním nové řady H modernizovala způsob zpracování připojení VPN. Na rozdíl od zařízení dřívější generace, jako je řada USG a ATP, řada H již nepodporuje používání tunelů VPN jako dalšího kroku v zásadách směrování.

Nejedná se o omezení, ale spíše o posun směrem k moderní architektuře VPN založené na rozhraní s využitím VPN založené na směrování s VTI (Virtual Tunnel Interface). Tento článek vysvětluje rozdíl mezi VPN založenou na zásadách a VPN založenou na trasách a vysvětluje, proč je tento nový přístup považován za spolehlivější, škálovatelnější a snadněji spravovatelný.

Výhody sítě VPN založené na směrování s VTI v zařízení Zyxel USG FLEX H

• Tunely VPN jsou vytvářeny jako virtuální rozhraní (VTI) a účastní se směrování stejně jako fyzické porty.
• Není třeba definovat VPN jako next-hop v zásadách směrování, což snižuje složitost konfigurace a riziko chybné konfigurace.
• Lepší integrace se zónovým modelem zabezpečení společnosti Zyxel.

Scénář:

• Ústředí používá více interních podsítí:
  • 192.168.10.0/24 - Správa
  • 192.168.20.0/24 - účtování
  • 192.168.30.0/24 - Skladiště
• Pobočka potřebuje ke všem těmto podsítím přístup přes VPN.

Problémy s VPN na základě zásad:

• Vyžadovaly vytvoření samostatného tunelu nebo zásad pro každou podsíť.
• Jakákoli změna sítě (např. nová podsíť) znamenala ruční rekonfiguraci zásad a tunelů.

Použití VTI v zařízení USG FLEX H:

• Vytvoříte jediný tunel VPN mezi lokalitami.
• Nakonfigurujte standardní statické trasy:

dst: 192.168.10.0/24 → přes VTI-Office dst: 192.168.20.0/24 → přes VTI-Office dst: 192.168.30.0/24 → přes VTI-Office  

• Při přidání nové podsítě (např. 192.168.40.0/24) - stačí přidat trasu, není nutná žádná rekonfigurace VPN.
• Řízení přístupu je řízeno prostřednictvím zásad zabezpečení namísto logiky statických tras.

Nastavení tunelu IPSec VPN pro uOS

Tento příklad ukazuje, jak pomocí Průvodce nastavením VPN nakonfigurovat tunel VPN mezi lokalitami založený na směrování se zařízením ZLD jako rovnocennou bránou, který po vytvoření tunelu umožní bezpečný přístup mezi oběma lokalitami.

Přejděte do nabídkyVPN > IPSec VPN > Site to Site VPN > Add. a projděte všechny kroky průvodce a vyplňte příslušná pole:

• Vyplňte následující položky: Název:
• IKE Version: IKEv2
• V poli Moje adresa vyberte požadované rozhraní WAN.
• Do pole Peer Gateway Address zadejte veřejnou IP adresu vzdáleného (pobočkového) zařízení.
• Zóna: IPSec_VPN
• V poli Authentication Method (Metoda ověřování) vyberte možnost Pre-Shared Key (PSK).

V poli Type (Typ) vyberte následující možnost: Route-Based.

1. Do pole Vzdálená podsíť zadejte ručně: 192.168.88.0/27.
2. Do pole VTI Interface zadejte: 169.254.63.164/255.255.255.255.
3. Ověřte, zda je v diagramu zobrazeno spojení z místního rozhraní ge1 na vzdálenou IP adresu 93.159.250.211.

V části Nastavení fáze 1 a Nastavení fáze 2:

• Návrh: AES128 / SHA1
• DH Group: DH2 / DH14

Klikněte na OK.

• Konfigurace rozhraní VTI

Konfigurace > Síť > Rozhraní > VTI

Nastavení tunelu IPSec VPN pro ZLD

Přejděte do nabídky Konfigurace > VPN > IPSec VPN > Brána VPN.

• Klikněte na tlačítko Přidat a zaškrtněte políčko Povolit.
• Zadejte název brány VPN:
• Vyberte verzi IKE: IKEv2
• Pod položkou Moje adresa: Vyberte Interface: ge1 (s vaší veřejnou IP adresou).
• V položce Peer Gateway Address: zadejte veřejnou IP adresu vzdáleného zařízení (HQ).
• Do pole Authentication (Ověřování): Vyberte položku Pre-Shared Key a zadejte stejný klíč, který se používá v zařízení Flex.

• Konfigurace rozhraní VTI

Konfigurace > Síť > Rozhraní > VTI