Důležité upozornění: |
Tento příklad ukazuje, jak pomocí Průvodce nastavením VPN vytvořit tunel IPSec Site to Site VPN mezi zařízeními ZyWALL/USG. Příklad poskytuje návod, jak nakonfigurovat tunel VPN mezi jednotlivými lokalitami, zatímco jedna lokalita je za směrovačem NAT (tzv. Double-NAT). Po konfiguraci tunelu IPSec Site to Site VPN lze bezpečně přistupovat ke každé lokalitě.
Obsah
| 1 Nastavení tunelu VPN IPSec | 2 Nastavení tunelu IPSec VPN | Nastavení směrovače Nat | Otestujte výsledek |
| 1 Rychlé nastavení | 1 Rychlé nastavení | 1 pravidlo Nat | 1 Kontrola připojení |
| 2 Průvodce | 2 Průvodce | 2 Přesměrování IP | 2 Sledování |
| 3 Nastavení sítě VPN | 3 Nastavení sítě VPN | 3 pokus o ping | |
| 4 Místní/vzdálené zásady | 4 Místní/vzdálené zásady | ||
| 5 Shrnutí nastavení sítě VPN | 5 Shrnutí nastavení sítě VPN | ||
| 6 Průvodce dokončen | 6 Průvodce je dokončen | ||
| 7 Typ ID partnera | 7 Typ ID partnera |
POSTUP NASTAVENÍ/KROK ZA KROKEM:
Nastavení IPSec VPN tunelu ZyWALL/USG podnikové sítě (HQ)
1. V zařízení ZyWALL/USG vytvořte pomocí průvodce nastavením VPN pravidlo VPN, které lze použít s bránou FortiGate. Klepněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Vítejte.
2. Zvolte možnost Express, chcete-li vytvořit pravidlo VPN s výchozím nastavením fáze 1 a fáze 2 a jako metodu ověřování použít předsdílený klíč. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Typ průvodce
3. Zadejte název pravidla, který se použije k identifikaci tohoto připojení VPN (a brány VPN). Můžete použít 1-31 alfanumerických znaků. U této hodnoty se rozlišují velká a malá písmena. Vyberte pravidlo, které má být Site-to-site. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (scénář)
4. Nakonfigurujte IP adresu zabezpečené brány jako IP adresu WAN pobočky (v příkladu 172.100.30.40). Poté zadejte zabezpečený předsdílený klíč (8-32 znaků).
5. Nastavte místní zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (centrála) a vzdálené zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (pobočka).
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (konfigurace)
5. Na této obrazovce je uveden přehled tunelu VPN pouze pro čtení. Klepněte na tlačítko Uložit.
Rychlé nastavení > Průvodce nastavením sítě VPN > Uvítání > Typ průvodce > Nastavení sítě VPN (shrnutí )
6. Nyní je pravidlo nakonfigurováno v zařízení ZyWALL/USG. Zde se zobrazí nastavení pravidel fáze
Fáze 1 : VPN > IPSec VPN > VPN Gateway
Fáze 2: VPN > IPSec VPN > VPN Connection
Rychlé nastavení > Průvodce nastavením VPN > Uvítání > Typ průvodce > Nastavení VPN > Průvodce dokončen.
7. Nakonfigurujte Peer ID Type jako Any, aby ZyWALL/USG nemusel kontrolovat obsah identity vzdáleného IPSec směrovače.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type (Konfigurace > VPN > IPSec VPN > Brána VPN > Zobrazit pokročilá nastavení > Ověřování > Typ ID peera).
Nastavení tunelu IPSec VPN ZyWALL/USG pro podnikovou síť (pobočku)
1. V zařízení ZyWALL/USG vytvořte pomocí průvodce nastavením VPN pravidlo VPN, které lze použít s bránou FortiGate. Klepněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Vítejte.
2. Zvolte možnost Express, chcete-li vytvořit pravidlo VPN s výchozím nastavením fáze 1 a fáze 2 a jako metodu ověřování použít předsdílený klíč. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Typ průvodce
3. Zadejte název pravidla, který se použije k identifikaci tohoto připojení VPN (a brány VPN). Můžete použít 1-31 alfanumerických znaků. U této hodnoty se rozlišují velká a malá písmena. Vyberte pravidlo, které má být Site-to-site. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (scénář)
4. Nakonfigurujte IP adresu zabezpečené brány jako IP adresu WAN pobočky (v příkladu 172.100.20.30). Poté zadejte zabezpečený předsdílený klíč (8-32 znaků).
5. Nastavte místní zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (centrála) a vzdálené zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (pobočka).
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (konfigurace)
5. Na této obrazovce je uveden přehled tunelu VPN pouze pro čtení. Klepněte na tlačítko Uložit.
Rychlé nastavení > Průvodce nastavením sítě VPN > Uvítání > Typ průvodce > Nastavení sítě VPN (shrnutí)
6. Nyní je pravidlo nakonfigurováno v zařízení ZyWALL/USG. Zde se zobrazí nastavení pravidel fáze
Fáze 1 : VPN > IPSec VPN > VPN Gateway
Fáze 2: VPN > IPSec VPN > VPN Connection
Rychlé nastavení > Průvodce nastavením VPN > Uvítání > Typ průvodce > Nastavení VPN > Průvodce dokončen.
7. Nakonfigurujte Peer ID Type jako Any, aby ZyWALL/USG nemusel kontrolovat obsah identity vzdáleného IPSec směrovače.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type (Konfigurace > VPN > IPSec VPN > Brána VPN > Zobrazit pokročilá nastavení > Ověřování > Typ ID peera ).
Nastavení směrovače NAT (v tomto příkladu použijte zařízení ZyWALL USG)
1. Vyberte příchozí rozhraní, na kterém musí být přijímány pakety pro pravidlo NAT. 2. Určete pole User-Defined Original IP (Původní IP definovaná uživatelem) a zadejte přeloženou cílovou IP adresu, kterou toto pravidlo NAT podporuje.
KONFIGURACE > Síť > NAT > Přidat
2. Na bráně firewall musí být povoleno předávání IP pro následující protokoly IP a porty UDP:
Protokol IP = 50 → Používá se datovou cestou (ESP).
Protokol IP = 51 → Používá se datovou cestou (AH).
Číslo portu UDP = 500 → Používá IKE (řídicí cesta IPSec).
Číslo portu UDP = 4500 → Používá NAT-T (IPsec NAT traversal).
KONFIGURACE > Zásady zabezpečení > Řízení zásad
OVĚŘENÍ:
Testování tunelu IPSec VPN
1. Přejděte na
CONFIGURATION > VPN > IPSec VPN > Připojení VPN
klikněte na tlačítko Připojit na horní liště. Pokud je rozhraní připojeno, svítí ikona Stav připojení.
2. Ověřte čas zprovoznění tunelu a příchozí(bajty)/odchozí(bajty) provoz.
MONITOR > VPN Monitor > IPSec
3. Chcete-li otestovat, zda tunel funguje, pošlete ping z počítače v jedné lokalitě na počítač v druhé lokalitě. Ujistěte se, že oba počítače mají přístup k internetu (prostřednictvím zařízení IPSec).
Počítač za zařízením ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC za ZyWALL/USG (pobočka) > Window 7 > cmd > ping 10.10.10.33
Co se může pokazit?
1. Pokud se zobrazí níže uvedená zpráva protokolu [info] nebo [error], zkontrolujte nastavení 1. fáze ZyWALL/USG. Oba systémy ZyWALL/USG v ústředí i v pobočkách musí pro vytvoření IKE SA používat stejný předsdílený klíč, šifrování, metodu ověřování, skupinu klíčů DH a typ ID.
MONITOR > Protokol
2. Pokud vidíte, že proces fáze 1 IKE SA byl dokončen, ale stále se zobrazuje níže uvedená zpráva protokolu [info], zkontrolujte nastavení fáze 2 ZyWALL/USG. Zařízení ZyWALL/USG v centrále i v pobočkách musí k vytvoření IKE SA používat stejný protokol, zapouzdření, šifrování, metodu ověřování a PFS.
MONITOR > Protokol
3. Ujistěte se, že zásady zabezpečení obou zařízení ZyWALL/USG v centrále i v pobočce povolují provoz IPSec VPN. IKE používá port UDP 500, AH používá protokol IP 51 a ESP používá protokol IP 50.
4. Ve výchozím nastavení je na ZyWALL/USG povoleno překonávání NAT, ujistěte se, že vzdálené zařízení IPSec musí mít rovněž povoleno překonávání NAT.
Zajímavé jsou také následující informace:
Chcete se podívat přímo na jedno z našich testovacích zařízení? Podívejte se zde v naší virtuální laboratoři:
Virtuální laboratoř - Site to Site VPN
KB-00167