Důležité upozornění: |
Článek obsahuje průvodce krok za krokem nastavením IPSec site-to-site VPN tunelu pomocí Průvodce nastavením VPN na zařízení ZyWALL/USG. Vysvětluje, jak nakonfigurovat tunel VPN mezi dvěma lokalitami, včetně lokality za směrovačem NAT, a zajistit tak bezpečný přístup. Postup zahrnuje použití Průvodce nastavením VPN k vytvoření pravidla VPN s výchozím nastavením fáze, konfiguraci IP adres zabezpečené brány a nastavení místních a vzdálených zásad. Zahrnuje také ověřovací kroky k otestování funkčnosti tunelu a zabývá se možnými problémy, které mohou nastat, jako je například nesprávné nastavení nebo konfigurace zásad zabezpečení.
Nastavení IPSec VPN tunelu ZyWALL/USG podnikové sítě (HQ)
1. V zařízení ZyWALL/USG vytvořte pomocí průvodce Nastavení VPN pravidlo VPN, které lze použít s bránou FortiGate. Klepněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Vítejte.
2. Zvolte možnost Express, chcete-li vytvořit pravidlo VPN s výchozím nastavením fáze 1 a fáze 2 a jako metodu ověřování použít předsdílený klíč. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Typ průvodce
3. Zadejte název pravidla, který se použije k identifikaci tohoto připojení VPN (a brány VPN). Můžete použít 1-31 alfanumerických znaků. U této hodnoty se rozlišují velká a malá písmena. Vyberte pravidlo, které má být Site-to-site. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (scénář)
4. Nakonfigurujte IP adresu zabezpečené brány jako IP adresu WAN pobočky (v příkladu 172.100.30.40). Poté zadejte zabezpečený předsdílený klíč (8-32 znaků).
5. Nastavte místní zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (centrála) a vzdálené zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (pobočka).
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (konfigurace)
5. Na této obrazovce je uveden přehled tunelu VPN pouze pro čtení. Klepněte na tlačítko Uložit.
Rychlé nastavení > Průvodce nastavením sítě VPN > Uvítání > Typ průvodce > Nastavení sítě VPN (shrnutí)
6. Nyní je pravidlo nakonfigurováno v zařízení ZyWALL/USG. Zde se zobrazí nastavení pravidel fáze
Fáze 1: VPN > IPSec VPN > VPN Gateway Fáze 2: VPN > IPSec VPN > VPN Connection Rychlé nastavení > Průvodce nastavením VPN > Uvítání > Typ průvodce > Nastavení VPN > Průvodce dokončen.
7. Nastavte Peer ID Type jako Any, aby ZyWALL/USG nemusel kontrolovat obsah identity vzdáleného IPSec směrovače.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type (Konfigurace > VPN > IPSec VPN > Brána VPN > Zobrazit pokročilá nastavení > Ověřování > Typ ID peera).
Nastavení tunelu IPSec VPN ZyWALL/USG pro podnikovou síť (pobočku)
1. V zařízení ZyWALL/USG vytvořte pomocí průvodce nastavením VPN pravidlo VPN, které lze použít s bránou FortiGate. Klepněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Vítejte.
2. Zvolte možnost Express, chcete-li vytvořit pravidlo VPN s výchozím nastavením fáze 1 a fáze 2 a jako metodu ověřování použít předsdílený klíč. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením VPN > Typ průvodce
3. Zadejte název pravidla, který se použije k identifikaci tohoto připojení VPN (a brány VPN). Můžete použít 1-31 alfanumerických znaků. U této hodnoty se rozlišují velká a malá písmena. Vyberte pravidlo, které má být Site-to-site. Klikněte na tlačítko Další.
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (scénář)
4. Nakonfigurujte IP adresu zabezpečené brány jako IP adresu WAN pobočky (v příkladu 172.100.20.30). Poté zadejte zabezpečený předsdílený klíč (8-32 znaků).
5. Nastavte místní zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (centrála) a vzdálené zásady na rozsah IP adres sítě připojené k zařízení ZyWALL/USG (pobočka).
Rychlé nastavení > Průvodce nastavením sítě VPN > Typ průvodce > Nastavení sítě VPN (konfigurace)
5. Na této obrazovce je uveden přehled tunelu VPN pouze pro čtení. Klepněte na tlačítko Uložit.
Rychlé nastavení > Průvodce nastavením sítě VPN > Uvítání > Typ průvodce > Nastavení sítě VPN (shrnutí)
6. Nyní je pravidlo nakonfigurováno v zařízení ZyWALL/USG. Zde se zobrazí nastavení pravidel fáze
Fáze 1 : VPN > IPSec VPN > VPN Gateway Fáze 2: VPN > IPSec VPN > VPN Connection Rychlé nastavení > Průvodce nastavením VPN > Uvítání > Typ průvodce > Nastavení VPN > Průvodce dokončen.
7. Nastavte Peer ID Type jako Any, aby ZyWALL/USG nemusel kontrolovat obsah identity vzdáleného IPSec směrovače.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type (Konfigurace > VPN > IPSec VPN > Brána VPN > Zobrazit pokročilá nastavení > Ověřování > Typ ID peera).
Nastavení směrovače NAT (v tomto příkladu se používá zařízení ZyWALL USG)
Poznámka: Tato nastavení by měla být použita pouze v případě, že je jeden z vašich firewallů za NAT. Tato nastavení by měla být nakonfigurována na směrovači NAT umístěném před bránou firewall, což může být směrovač poskytovatele internetu nebo hlavní směrovač v kancelářské síti. Níže uvádíme příklad s použitím jednoho z našich zařízení - slouží pouze pro referenční účely.
1. Vyberte příchozí rozhraní, na kterém musí být přijímány pakety pro pravidlo NAT. 2. Určete pole Původní IP definovaná uživatelem a zadejte přeloženou cílovou IP adresu, kterou toto pravidlo NAT podporuje.
KONFIGURACE > Síť > NAT > Přidat
2. Na bráně firewall musí být povoleno předávání IP pro následující protokoly IP a porty UDP:
IP protokol = 50 → Používá se datovou cestou (ESP).
Protokol IP = 51 → Používá se datovou cestou (AH).
Číslo portu UDP = 500 → Používá IKE (řídicí cesta IPSec).
Číslo portu UDP = 4500 → Používá NAT-T (IPsec NAT traversal).
KONFIGURACE > Zásady zabezpečení > Řízení zásad
OVĚŘENÍ:
Testování tunelu IPSec VPN
1. Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Connection (Připojení VPN).
klikněte na tlačítko Připojit na horní liště. Pokud je rozhraní připojeno, svítí ikona Stav připojení.
2. Ověřte čas zprovoznění tunelu a příchozí(bajty)/odchozí(bajty) provoz.
MONITOR > VPN Monitor > IPSec
3. Chcete-li otestovat, zda tunel funguje, pošlete ping z počítače v jedné lokalitě na počítač v druhé lokalitě. Ujistěte se, že oba počítače mají přístup k internetu (prostřednictvím zařízení IPSec).
Počítač za zařízením ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC za ZyWALL/USG (pobočka) > Window 7 > cmd > ping 10.10.10.33
Co se může pokazit?
1. Pokud se zobrazí níže uvedená zpráva protokolu [info] nebo [error], zkontrolujte nastavení 1. fáze ZyWALL/USG. Oba systémy ZyWALL/USG v ústředí i v pobočkách musí pro vytvoření IKE SA používat stejný předsdílený klíč, šifrování, metodu ověřování, skupinu klíčů DH a typ ID.
MONITOR > Protokol
2. Pokud vidíte, že proces fáze 1 IKE SA byl dokončen, ale stále se zobrazuje níže uvedená zpráva protokolu [info], zkontrolujte nastavení fáze 2 ZyWALL/USG. Zařízení ZyWALL/USG v centrále i v pobočkách musí k vytvoření IKE SA používat stejný protokol, zapouzdření, šifrování, metodu ověřování a PFS.
MONITOR > Protokol
3. Ujistěte se, že zásady zabezpečení obou zařízení ZyWALL/USG v centrále i v pobočce povolují provoz IPSec VPN. IKE používá port UDP 500, AH používá protokol IP 51 a ESP používá protokol IP 50.
4. Ve výchozím nastavení je na ZyWALL/USG povoleno překonávání NAT, ujistěte se, že vzdálené zařízení IPSec musí mít rovněž povoleno překonávání NAT.