Zyxel Firewall VPN - Konfigurace IPSec Site-To-Site VPN na Zyxel Firewall v samostatném režimu

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Tento průvodce vás provede nastavením Site-to-Site (S2S) VPN mezi dvěma firewally pomocí IKEv2 IPSec. Pokryjeme jak ruční konfiguraci, tak použití vestavěného průvodce, a také jak nakonfigurovat VPN pro zpracování více podsítí v rámci jednoho tunelu.

Pokud hledáte jiné scénáře VPN, tipy a triky, podívejte se na následující články:

Obecné:

Nebula:

Kancelář chce bezpečně připojit své pobočky k centrále přes internet. Obě kanceláře mají USG / ZyWall / ATP / USG FLEX pro přístup k internetu.

Poznámka: Než začnete s konfigurací VPN, ujistěte se, že obě lokality nemají stejné podsítě. Konfigurace VPN mezi lokalitami se stejnou podsítí na obou stranách je technicky možná, ale není snadná a může vést ke komplikacím kvůli překrývajícím se IP adresám. Pokud mají obě lokality stejnou podsíť, může to vést ke konfliktům v routování, protože VPN nebude vědět, na kterou stranu poslat provoz, když vidí IP adresu, která existuje na obou místech.

Nastavení VPN pomocí průvodce

Nejjednodušší a nejpohodlnější metodou pro vytvoření Site-to-Site spojení je použití vestavěného průvodce. V prvním příkladu tohoto článku vás provedeme tímto procesem. Také pokud jste měli problémy s ruční konfigurací VPN, můžete použít průvodce k nastavení VPN a porovnat nastavení pro účely řešení problémů.

Nastavení centrální lokality (průvodce)

  • Přihlaste se do webového rozhraní firewallu centrální lokality a přejděte do sekce Quick Setup Wizard v levém menu.
  • Klikněte na „VPN Setup“

Můžete si vybrat mezi Express (VPN s výchozími hodnotami) nebo Advanced (manuální nastavení kryptografie atd.). Pro příklad v tomto článku jsme zvolili možnost „Advanced“.

  • Důrazně doporučujeme používat IKEv2 místo IKEv1 pro zvýšení bezpečnosti, rychlosti navázání spojení, stability, podporu mobility a zvýšení efektivity při zpracování změn v síti.
  • Zadejte srozumitelný název a vyberte Site-to-Site VPN.
  • Klikněte na „Next“

Nastavení fáze 1

  • Na další stránce zadejte „Secure Gateway“. Toto je WAN adresa vašeho druhého firewallu; v tomto případě IP adresa pobočky. (Při konfiguraci druhého firewallu budete muset zadat WAN IP adresu tohoto firewallu.)
  • Nastavte návrhy fáze 1 dle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrým šifrováním/autentizací, například AES256 pro šifrování, SHA512 pro autentizaci a DH14 pro skupinu klíčů.

Nastavení fáze 2

  • Ujistěte se, že nastavení fáze 2 jsou stejná jako u fáze 1 (např. AES256, SHA512).
  • Místní politika a vzdálená politika – Místní a vzdálené politiky určují, který provoz je šifrován v site-to-site VPN, což zajišťuje bezpečnou, efektivní a správně směrovanou komunikaci mezi sítěmi.

    Poznámka: Nejprve zkontrolujte, zda IP adresa vzdálené podsítě již neexistuje v místní podsíti, abyste se vyhnuli dvojí konfiguraci IP adres. Pokud je vzdálená podsíť stejná jako některá místní podsíť, budete moci dosáhnout pouze místní sítě.
  • Jakmile jsou všechny údaje správně vyplněny, klikněte na „Next“, zkontrolujte všechna nastavení, klikněte na „Save“ a pokračujte v konfiguraci druhého firewallu.

Nastavení pobočky (průvodce)

Postupujte přesně stejným způsobem pro firewall v druhé kanceláři. Hlavní rozdíl je pouze v některých nastaveních.

  • IP brány musí být zadána jako WAN IP zařízení v centrální lokalitě.
  • Místní politika a vzdálená politika budou také odlišné. Příklad níže:
    Centrální lokalita
    Místní politika: 192.168.40.1
    Vzdálená politika: 192.168.70.1
    Pobočka:
    Místní politika: 192.168.70.1
    Vzdálená politika: 192.168.40.1
  • Pokud bylo vše správně nakonfigurováno a nejsou žádné problémy s připojením, ostatními nastaveními nebo konstrukcí, VPN spojení se po uložení nastavení automaticky naváže.

Ruční nastavení VPN

VPN brána – ruční nastavení centrální lokality

  • Přihlaste se do webového rozhraní firewallu centrální lokality
Přejděte do Konfigurace -> VPN -> VPN Ge -> Přidat
  • Zaškrtněte políčko Povolit
  • Zadejte jasný název
  • Vyberte verzi IKE

Důrazně doporučujeme používat IKEv2 místo IKEv1 pro zvýšení bezpečnosti, rychlosti navázání spojení, stability, podporu mobility a zvýšení efektivity při zpracování změn v síti.

  • Moje adresa (rozhraní) – nastavuje vaši WAN IP adresu.
  • Adresa brány protějšku – Toto je WAN adresa vašeho druhého firewallu; v tomto případě IP adresa pobočky. (Při konfiguraci druhého firewallu budete muset zadat WAN IP adresu tohoto firewallu.)
  • Předem sdílený klíč – Vytvořte silné heslo (tento klíč použijete také na vzdáleném zařízení).
  • Nastavení fáze 1nastavte návrhy fáze 1 dle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrým šifrováním/autentizací, například AES256 pro šifrování, SHA512 pro autentizaci a DH14 pro skupinu klíčů. 

VPN tunel – ruční nastavení centrální lokality

Konfigurace > VPN > IPSec VPN > VPN připojení > Přidat

Nejprve je potřeba vytvořit objekt pro „Vzdálenou politiku“ kliknutím na „Vytvořit nový objekt“ a výběrem „IPV4 adresa“.

  • Název – zadejte jasný název
  • Typ adresy – „SUBNET“
  • Síť – lokální síťová adresa vzdálené lokality
  • Maska sítě – maska podsítě vzdálené lokality
  • Poté klikněte na „OK

Nyní můžeme pokračovat v doplňování dalších polí.

  • Zaškrtněte políčko Povolit
  • Zadejte jasný název
  • Vyberte Site-To-Site VPN
  • VPN brána – vyberte VPN bránu vytvořenou v předchozím kroku
  • Místní politika a vzdálená politika budou odlišné.
  • Nastavení fáze 2nastavte návrhy fáze 2 dle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrým šifrováním/autentizací, například AES256 pro šifrování, SHA512 pro autentizaci a DH14 pro skupinu klíčů. 
  • Klikněte na „Ok

Nyní můžeme začít konfigurovat pobočku. Postupujte stejnými kroky jako u centrály, ale s některými změnami dat.

VPN brána – ruční nastavení pobočky

Konfigurace > VPN > IPSec VPN > VPN brána

Opakujte kroky centrály pro konfiguraci VPN brány

  • Při konfiguraci VPN brány na firewallu v centrální lokalitě jste zadali WAN IP pobočky do pole „Adresa brány protějšku“ (Peer Gateway Address) – statická adresa. Nyní při konfiguraci pobočky musíte zadat WAN IP centrály do stejného pole.
  • Předem sdílený klíč – musí být stejný pro obě lokality.

VPN tunel – ruční nastavení pobočky

Konfigurace > VPN > IPSec VPN > VPN připojení

Opakujte kroky centrály pro konfiguraci VPN tunelu

  • S výjimkou několika rozdílů – při konfiguraci centrály jste zadali síť pobočky do pole Vzdálená politika. Nyní při konfiguraci pobočky musíte zadat síť centrály do pole Vzdálená politika.

Zaškrtněte možnost Nailed-Up pro automatické navázání VPN tunelu a připojení.

Otestujte výsledek

  • Poprvé připojte VPN tunel ručně. Poté by měl automaticky kontrolovat spojení a znovu se připojovat.
  • Stav připojení VPN tunelu poznáte, když je symbol zeměkoule zelený.

 

Poznámka: Zkontrolujte pravidla firewallu, aby existovala výchozí pravidla IPSec-to-Device a IPSec-to-Any.
Jinak může být provoz mezi tunely blokován.
Screenshot_2021-05-26_173435.png

Omezení – použití více podsítí

Na Zyxel firewallech existuje omezení, kdy nelze v jednom VPN tunelu vybrat více podsítí. Místní politika (podsíť) a vzdálená politika (podsíť) mohou být nakonfigurovány vždy pouze s jednou podsítí.

Konfigurace -> VPN -> IPSec VPN -> VPN připojení -> Politika

Pro obejití tohoto omezení můžete ručně nakonfigurovat politikou trasu, která směruje další podsítě do tunelu.

Vytvořte tuto politiku trasování:

Poznámka! Může být potřeba směrovat odpovědní pakety zpět tunelem na vzdálené straně.

Řešení problémů

Běžné problémy a jejich řešení:

  • Nesprávný předem sdílený klíč: Zkontrolujte předem sdílený klíč na obou zařízeních.
  • Nesprávná konfigurace podsítí: Ujistěte se, že jsou správně nastaveny místní a vzdálené podsítě v nastavení VPN.
  • Nastavení fáze 1 a fáze 2:

Důležitá nastavení, která je třeba zkontrolovat, aby byla stejná na obou lokalitách

  • Metoda autentizace: Obvykle se používá předem sdílený klíč.
  • Šifrovací algoritmus: Běžné možnosti zahrnují AES (128/256 bitů), 3DES.
  • Hash algoritmus: Obvykle SHA-256 nebo SHA-512 či SHA-1.
  • DH skupina (Diffie-Hellman skupina): Zajišťuje bezpečnou výměnu klíčů (např. skupina 2, skupina 14).
  • Doba životnosti: 

Pro podrobnější instrukce k řešení problémů viz odkaz:

Zyxel Firewall [VPN] - Řešení problémů s Site-to-Site VPN [samostatný režim]
 

 

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 10 z 19
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.