Tento průvodce vás provede nastavením Site-to-Site (S2S) VPN mezi dvěma firewally pomocí IKEv2 IPSec. Pokryjeme jak manuální konfiguraci, tak použití vestavěného průvodce, stejně jako konfiguraci VPN pro zpracování více podsítí v rámci jednoho tunelu.
Pokud hledáte jiné scénáře VPN, tipy a triky, podívejte se na následující články:
Obecné:
- Provisioning konfigurace VPN na USG-Firewallu
- Zyxel Firewall [VPN] - Řešení problémů se Site-to-Site VPN [Samostatný režim]
Kancelář chce bezpečně připojit ke své centrále přes internet. Obě kanceláře mají USG / ZyWall / ATP / USG FLEX pro přístup k internetu.
Poznámka: Než začnete konfigurovat VPN, ujistěte se, že obě lokality nemají stejné podsítě. Konfigurace VPN mezi lokalitami se stejnou podsítí na obou stranách je technicky možná, ale není jednoduchá a může vést ke komplikacím kvůli překrývajícím se IP adresám. Když mají obě lokality stejnou podsíť, může to vést ke konfliktům směrování, protože VPN nebude vědět, na kterou stranu má provoz poslat, když uvidí IP adresu, která existuje na obou místech.
Nastavení VPN pomocí průvodce
Nejjednodušší a nejpohodlnější metodou pro vytvoření Site-to-Site spojení je použití vestavěného průvodce. V prvním příkladu tohoto článku vás provedeme tímto procesem. Také pokud jste měli problémy s manuální konfigurací VPN, můžete použít průvodce k nastavení VPN a porovnat nastavení pro účely řešení problémů.
Nastavení centrály (průvodce)
- Přihlaste se do Web GUI firewallu vaší centrály a přejděte do sekce Rychlý průvodce v levém menu.
- Klikněte na „Nastavení VPN“
Můžete si vybrat mezi Express (VPN s výchozími hodnotami) nebo Advanced (manuální nastavení kryptografie atd.). Pro příklad v tomto článku jsme zvolili možnost „Advanced“.
- Důrazně doporučujeme používat IKEv2 místo IKEv1 pro zvýšení bezpečnosti, rychlosti navázání spojení, stability, podporu mobility a zvýšení efektivity při zpracování změn v síti.
- Zadejte srozumitelný název a zvolte Site-to-Site VPN.
- Klikněte na „Další“
Nastavení fáze 1
- Na další obrazovce zadejte „Secure Gateway“. Toto je WAN adresa vašeho druhého firewallu; v tomto případě je to IP adresa pobočky. (Při konfiguraci druhého firewallu budete muset zadat WAN IP adresu tohoto firewallu.)
- Nastavte návrhy fáze 1 dle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrou šifrou/autentizací, například AES256 pro šifrování, SHA512 pro autentizaci a DH14 pro skupinu klíčů.
Nastavení fáze 2
- Ujistěte se, že nastavení fáze 2 jsou stejná jako nastavení fáze 1 (např. AES256, SHA512).
-
Lokální politika a vzdálená politika - Lokální a vzdálené politiky určují, který provoz je šifrován v site-to-site VPN, čímž zajišťují bezpečnou, efektivní a správně směrovanou komunikaci mezi sítěmi.
Poznámka: Nejprve zkontrolujte, zda IP adresa vzdálené podsítě již neexistuje v lokální podsíti, aby nedošlo k duplikaci IP adres. Pokud je vzdálená podsíť stejná jako některá lokální podsíť, budete moci dosáhnout pouze lokální sítě.
- Jakmile jsou všechna data zadána správně, klikněte na „Další“, zkontrolujte všechna nastavení, klikněte na „Uložit“ a pokračujte v konfiguraci druhého firewallu.
Nastavení pobočky (průvodce)
Musíte postupovat přesně stejným způsobem pro firewall v druhé kanceláři. Hlavní rozdíl je pouze v některých nastaveních.
- Gateway IP musí být zadána jako WAN IP zařízení v centrále
-
Lokální politika a vzdálená politika budou také odlišné. Příklad níže:
Centrála
Lokální politika: 192.168.40.1
Vzdálená politika: 192.168.70.1
Pobočka:
Lokální politika: 192.168.70.1
Vzdálená politika: 192.168.40.1
- Pokud je vše správně nakonfigurováno a nejsou žádné problémy s připojením, ostatními nastaveními nebo konstrukcí, VPN spojení se automaticky naváže ihned po uložení nastavení.
Manuální metoda nastavení VPN - VPN Gateway - manuální nastavení centrály
- Přihlaste se do Web GUI firewallu centrály
Přejděte na Konfigurace -> VPN -> VPN Ge -> Přidat
- Zaškrtněte políčko Povolit
- Zadejte jasný název
- Vyberte verzi IKE
Důrazně doporučujeme používat IKEv2 místo IKEv1 pro zvýšení bezpečnosti, rychlosti navázání spojení, stability, podporu mobility a zvýšení efektivity při zpracování změn v síti.
- Moje adresa (rozhraní) - nastavuje vaši WAN IP adresu.
- Adresa brány protějšku - Toto je WAN adresa vašeho druhého firewallu; v tomto případě IP adresa pobočky. (Při konfiguraci druhého firewallu budete muset zadat WAN IP adresu tohoto firewallu.)
- Předem sdílený klíč - Vytvořte silné heslo (tento klíč použijete také na vzdáleném zařízení).
- Nastavení fáze 1 - Nastavte návrhy fáze 1 dle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrou šifrou/autentizací, například AES256 pro šifrování, SHA512 pro autentizaci a DH14 pro skupinu klíčů.
VPN tunel - manuální nastavení centrály
Konfigurace > VPN > IPSec VPN > VPN spojení > Přidat
Nejprve je potřeba vytvořit objekt pro „Vzdálenou politiku“ kliknutím na „Vytvořit nový objekt“ a výběrem „IPV4 adresa“.
- Název - zadejte jasný název
- Typ adresy - „PODSÍŤ“
- Síť - lokální síťová adresa vzdáleného místa
- Maska sítě - maska podsítě vzdáleného místa
- Poté klikněte na „OK“
Nyní můžeme pokračovat ve vyplňování dalších polí.
- Zaškrtněte políčko Povolit
- Zadejte jasný název
- Vyberte Site-To-Site VPN
- VPN Gateway - Vyberte VPN Gateway vytvořenou v předchozím kroku
- Lokální politika a vzdálená politika budou odlišné.
- Nastavení fáze 2 - Nastavte návrhy fáze 2 dle potřeby. Z bezpečnostních důvodů zvolte silné heslo a návrhy s dobrou šifrou/autentizací, například AES256 pro šifrování, SHA512 pro autentizaci a DH14 pro skupinu klíčů.
- Klikněte na „OK“
Nyní můžeme začít konfigurovat pobočku. Postupujte stejnými kroky jako u centrály, ale s některými změnami dat.
VPN Gateway - manuální nastavení pobočky
Konfigurace > VPN > IPSec VPN > VPN Gateway
Opakujte kroky centrály pro konfiguraci VPN Gateway
- Při konfiguraci VPN Gateway na firewallu v centrále jste zadali WAN IP adresu pobočky do pole "Adresa brány protějšku Statická adresa”. Nyní při konfiguraci pobočky musíte do pole "Adresa brány protějšku Statická adresa” zadat WAN IP adresu centrály.
- Předem sdílený klíč - musí být stejný pro obě lokality.
VPN tunel - manuální nastavení pobočky
Konfigurace > VPN > IPSec VPN > VPN spojení
Opakujte kroky centrály pro konfiguraci VPN tunelu
- S výjimkou několika rozdílů: při konfiguraci centrály jste zadali síť pobočky do pole Vzdálená politika. Nyní při konfiguraci pobočky musíte zadat síť centrály do pole Vzdálená politika.
Zaškrtněte možnost "Nailed-Up" pro automatické navázání VPN tunelu a jeho udržování.
Otestujte výsledek
- VPN tunel připojte poprvé ručně. Poté by měl automaticky znovu zkontrolovat dostupnost a znovu se připojit.
- VPN tunel je připojen, když je ikona země zelená.
Poznámka: Zkontrolujte pravidla firewallu, zda existují výchozí pravidla IPSec-to-Device a IPSec-to-Any.
Jinak může být provoz mezi tunely blokován.
Omezení - Použití více podsítí
Na Zyxel firewallech existuje omezení, kdy nelze v jednom VPN tunelu vybrat více podsítí. Lokální politika (podsíť) a vzdálená politika (podsíť) mohou být nakonfigurovány pouze s jednou podsítí každá.
Konfigurace -> VPN -> IPSec VPN -> VPN spojení -> Politika
Pro obejití tohoto omezení můžete ručně nakonfigurovat směrovací politiku, která nasměruje další podsítě do tunelu.
Vytvořte tuto směrovací politiku:
Poznámka! Může být potřeba směrovat odpovědní pakety zpět tunelem na vzdálené straně.
Řešení problémů
Časté problémy a řešení:
- Nesprávný předem sdílený klíč: Důkladně zkontrolujte předem sdílený klíč na obou zařízeních.
- Nesprávná konfigurace podsítě: Ujistěte se, že jsou v nastavení VPN správně nakonfigurovány lokální a vzdálené podsítě.
- Nastavení fáze 1 a fáze 2:
Klíčová nastavení, která je potřeba zkontrolovat, aby byla stejná na obou lokalitách
- Metoda autentizace: Obvykle se používá předem sdílený klíč.
- Šifrovací algoritmus: Běžné možnosti zahrnují AES (128/256 bitů), 3DES.
- Hash algoritmus: Obvykle SHA-256 nebo SHA-512 nebo SHA-1.
- DH skupina (Diffie-Hellman skupina): Zajišťuje bezpečnou výměnu klíčů (např. skupina 2, skupina 14).
- Doba platnosti (Lifetime):
Pro podrobnější instrukce k řešení problémů viz odkaz:
Zyxel Firewall [VPN] - Řešení problémů se Site-to-Site VPN [Samostatný režim]

Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.