Brána Zyxel Firewall [VPN] - Konfigurace sítě IPSec Site-To-Site VPN na bráně Zyxel Firewall [samostatný režim]

Vytvořeno - Aktualizováno
Serhii Boiarynov
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Tato příručka vás provede nastavením sítě VPN typu Site-to-Site (S2S) mezi dvěma firewally pomocí protokolu IPSec IKEv2. Budeme se zabývat ruční konfigurací i použitím vestavěného průvodce a také tím, jak nakonfigurovat VPN tak, aby zvládala více podsítí v rámci jednoho tunelu.

V případě, že hledáte další scénáře, tipy a triky pro VPN, podívejte se na následující články:

Obecné:

Nebula:

Kancelář se chce bezpečně připojit ke svému ústředí prostřednictvím internetu. Obě kanceláře mají k dispozici zařízení USG / ZyWall / ATP / USG FLEX pro přístup k internetu.

Poznámka: Než začnete konfigurovat síť VPN, ujistěte se, že obě pracoviště nemají stejné podsítě. Konfigurace VPN mezi lokalitami se stejnou podsítí na obou stranách je technicky možná, ale není snadná a může vést ke komplikacím kvůli překrývání IP adres. Pokud mají obě lokality stejnou podsíť, může to vést ke konfliktům ve směrování, protože síť VPN nebude vědět, na kterou stranu má posílat provoz, když uvidí adresu IP, která existuje v obou lokalitách.

Metoda průvodce Nastavení VPN

Nejjednodušší a nejpohodlnější metodou pro vytvoření připojení mezi lokalitami je použití vestavěného průvodce. V prvním příkladu tohoto článku vás tímto procesem provedeme. Také pokud jste měli problémy při ruční konfiguraci VPN, můžete použít průvodce nastavením VPN a porovnat nastavení pro účely řešení problémů.

Nastavení webu HQ (Wizzard)

  • Přihlaste se do webového grafického rozhraní brány firewall HQ Site a přejděte do části Průvodce rychlým nastavením v levé nabídce.
  • Klikněte na položku "VPN Setup" (Nastavení sítě VPN)

Můžete si vybrat mezi expresním (VPN s výchozími hodnotami) nebo pokročilým (ruční nastavení kryptografie atd...). Pro příklad tohoto článku jsme zvolili možnost "Pokročilé".

  • Důrazně doporučujeme používat IKEv2 namísto IKEv1 pro zvýšení bezpečnosti, rychlosti navázání spojení, stability, podpory mobility a zvýšení efektivity při zpracování změn v síti.
  • Zadejte srozumitelný název a vyberte možnost Site-to-Site VPN.
  • Klepněte na tlačítko "Další".

Nastavení fáze 1

  • V dalším kroku zadejte "Secure Gateway" Toto je Wanova adresa vašeho druhého firewallu; v tomto případě je to IP adresa pobočky. (Až začnete konfigurovat druhou bránu firewall, budete muset vyplnit IP adresu WAN této brány firewall. )
  • Nastavte návrhy fáze 1 podle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrým šifrováním/ověřováním, například AES256 pro šifrování, SHA512 pro ověřování a DH14 pro skupinu klíčů.

Nastavení fáze 2

  • Ujistěte se, že nastavení fáze 2 je stejné jako nastavení fáze 1. (tj. AES256, SHA512).
  • Místní a vzdálené zásady - Místní a vzdálené zásady definují, který provoz je šifrován v síti VPN mezi lokalitami, a zajišťují tak bezpečnou, efektivní a správně směrovanou komunikaci mezi sítěmi.

    Poznámka: Nejprve zkontrolujte, zda IP adresa vzdálené podsítě již neexistuje v místní podsíti, abyste se vyhnuli dvojí konfiguraci IP adres. Pokud je vzdálená podsíť podobná jedné místní podsíti, bude možné dosáhnout pouze místní sítě.
  • Po správném zadání všech údajů klikněte na tlačítko "Další", znovu zkontrolujte všechna nastavení, klikněte na tlačítko"Uložit" a pokračujte v konfiguraci druhé brány firewall.

Nastavení pobočky (Wizzard)

Pro bránu firewall v druhé pobočce je třeba postupovat úplně stejně. Hlavní rozdíl je pouze v některých nastaveních.

  • IP adresa brány musí být zadána jako IP adresa WAN zařízení v sídle centrály.
  • Místní zásady a vzdálené zásady se budou také lišit. Příklad níže:
    Příklad: Lokalita HQ
    Místní zásady: 192.168.40.1
    Vzdálená politika: 192.168.70.1
    Pobočka:
    Local Policy: 192.168.70.1
    Vzdálená zásada: 192.168.40.1
  • Pokud bylo vše správně nakonfigurováno a nedošlo k žádným problémům s připojením, jinými nastaveními nebo konstrukcí, bude připojení VPN navázáno automaticky ihned po uložení nastavení.

Ruční metoda nastavení sítě VPN

Brána VPN - ruční nastavení lokality HQ

  • Přihlaste se do webového grafického rozhraní brány firewall HQ Site.
dyn_repppp_0
  • Zaškrtněte políčko Povolit
  • Zadejte jednoznačný název
  • Vyberte verzi IKE

Důrazně doporučujeme používat IKEv2 namísto IKEv1, aby se zlepšilo zabezpečení, zrychlilo navazování spojení, zvýšila stabilita, podpora mobility a efektivita při zpracování změn v síti.

  • My Address (Interface) - nastaví vaši adresu IP wan.
  • Peer Gateway Address (Adresa partnerské brány) - jedná se o adresu WAN vaší druhé brány firewall; v tomto případě je to IP adresa pobočky. (Až začnete konfigurovat druhou bránu firewall, budete muset vyplnit IP adresu WAN této brány firewall.
  • Předem sdílený klíč - vytvořte silné heslo (tento klíč budete používat i na vzdáleném zařízení).
  • Nastavení fáze 1 - Nastavte návrhy fáze 1 podle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrým šifrováním/ověřováním, například AES256 pro šifrování, SHA512 pro ověřování a DH14 pro skupinu klíčů. .

Tunel VPN - Příručka nastavení lokality HQ

dyn_repppp_1

Nejprve je třeba vytvořit objekt pro "Vzdálenou politiku" kliknutím na "Vytvořit nový objekt" a výběrem "Adresa IPV4".

  • Název - zadejte jasný název
  • Typ adresy - "SUBNET"
  • Síť - adresa místní sítě vzdálené lokality
  • Síťová maska - maska podsítě vzdálené lokality
  • Poté klikněte na tlačítko "OK"

Nyní můžeme pokračovat ve vyplňování dalších polí.

  • Zaškrtněte políčko Povolit
  • Zadejte jednoznačný název
  • Vyberte možnost Site-To-Site VPN
  • Brána VPN - Vyberte bránu VPN vytvořenou v předchozím kroku.
  • Místní zásady a vzdálené zásady se budou lišit.
  • Nastavení fáze 2 - Nastavte návrhy fáze 2 podle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrým šifrováním/ověřováním, například AES256 pro šifrování, SHA512 pro ověřování a DH14 pro skupinu klíčů.
  • Klikněte na tlačítko "Ok".

Nyní můžeme začít konfigurovat web pobočky. Za tímto účelem postupujte stejně jako v případě webu centrály, ale s některými změnami údajů.

Brána VPN - Příručka nastavení pobočky

dyn_repppp_2

Pro konfiguraci brány VPN zopakujte kroky z centrály.

  • Při konfiguraci brány VPN na bráně Firewall v lokalitě HQ jste v poli "Peer Gateway Address Static Address " zadali IP adresu WAN lokality Branch. Nyní při konfiguraci pobočky musíte do pole "Peer Gateway Address Static Address " zadat IP adresu WAN pobočky HQ.
  • Pre-Shared Key - musí být stejný pro obě lokality.

Tunel VPN - Příručka nastavení pobočky

dyn_repppp_3

Pro konfiguraci tunelu VPN zopakujte kroky pro ústředí.

  • Až na několik rozdílů jste při konfiguraci lokality HQ zadali síť v lokalitě Pobočka v poli Vzdálené zásady. Nyní, když konfigurujete pobočku Branch site, musíte v poli Remote Policy zadat síť z HQ site.

Zaškrtnutím možnosti "Nailed-Up" vytvoříte tunel VPN a připojíte se automaticky.

Otestujte výsledek

  • Poprvé připojte tunel VPN ručně. Poté by mělo dojít k opětovnému vyhledání připojení a automatickému připojení.
  • Že je tunel VPN připojen, poznáte podle toho, že symbol země je zelený.

Poznámka: Zkontrolujte pravidla brány firewall, zda existují výchozí pravidla IPSec-to-Device a IPSec-to-Any.
V opačném případě může dojít k zablokování provozu mezi tunely.
Screenshot_2021-05-26_173435.png

Omezení - použití několika podsítí

U firewallů Zyxel existuje omezení, kdy nelze v tunelu VPN vybrat několik podsítí. Místní zásada (podsíť) a vzdálená zásada (podsíť) mohou být nakonfigurovány vždy pouze s jednou podsítí.

dyn_repppp_4

Chcete-li tento problém obejít, můžete ručně nakonfigurovat trasu zásad pro směrování dalších podsítí do tunelu.

Vytvořte tuto trasu zásad:

Poznámka! Může být potřeba směrovat pakety odpovědí zpět přes tunel na vzdálené lokalitě.

Řešení problémů

Běžné problémy a jejich řešení:

  • Nesprávný předsdílený klíč: Předsdílený klíč: Zkontrolujte dvakrát předsdílený klíč na obou zařízeních.
  • Nesprávná konfigurace podsítě: Zkontrolujte, zda jsou v nastavení VPN nakonfigurovány správné místní a vzdálené podsítě.
  • Nastavení fáze 1 a fáze 2:

Nastavení klíče, které je třeba zkontrolovat, abyste se ujistili, že jsou na obou místech stejné.

  • Způsob ověřování: Obvykle se používá předsdílený klíč.
  • Šifrovací algoritmus: Mezi běžné možnosti patří AES (128/256 bitů), 3DES.
  • Algoritmus hašování: Typicky SHA-256 nebo SHA-512 nebo SHA-1.
  • Skupina DH (Diffie-Hellmanova skupina): Zajišťuje bezpečnou výměnu klíčů (např. skupina 2, skupina 14).
  • Životnost: Důležité je, že se používá jako šifra:

Podrobnější pokyny k řešení problémů naleznete na tomto odkazu:

Zyxel Firewall [VPN] - Odstraňování potíží se sítí VPN mezi lokalitami [samostatný režim].

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 10 z 19
Sdílet