Jak nakonfigurovat směrování pro klienty L2TP přes IPSec do vzdálené kanceláře přes IPSec tunel na hardwarových bránách série ZyWALL USG?
(Používáme ZyWALL USG 50 jako příklad)
Uvažujme následující topologii:
Jsou zde 2 kanceláře, A a B (v každé kanceláři je nainstalována hardwarová brána ZyWALL USG). Jsou propojeny IPSec VPN tunelem. Vzdálení klienti L2TP přes IPSec se připojují do každé kanceláře přes internet.
Úkol: nakonfigurovat směrování tak, aby všichni klienti L2TP přes IPSec mohli přistupovat k lokální podsíti kanceláří A a B, bez ohledu na to, ke které kanceláři se klient připojí.
| ZyWALL USG 50 (kancelář A) | ZyWALL USG 100 (kancelář B) |
wan1: 10.0.0.2 (v reálném nasazení by měla být globální statická IP adresa) | wan1: 10.0.1.2 (v reálném nasazení by měla být globální statická IP adresa) |
Konfigurace ZyWALL USG 50 z kanceláře A
Pro konfiguraci rozhraní přejděte do Configuration > Network > Interface a vyberte záložku Ethernet.
Pro vytvoření objektů potřebných pro konfiguraci směrování přejděte do Configuration > Object > Address.
Kromě podsítí pro klienty L2TP přes IPSec je třeba vytvořit také objekt typu INTERFACE IP pro rozhraní wan1 a objekt typu SUBNET definující vzdálenou podsíť kanceláře B. To je nezbytné pro konfiguraci L2TP přes IPSec tunelu a IPSec tunelu mezi kancelářemi.
L2TP přes IPSec tunel a IPSec tunel mezi kancelářemi by měly být nakonfigurovány v Configuration > VPN > IPSec VPN > VPN Gateway a Configuration > VPN > IPSec VPN > VPN Connection.
Pro konfiguraci pravidel směrování přejděte do Configuration > Network > Routing > Policy Route.
Nastavení první trasy:
Nastavení druhé trasy:
Dále je třeba nakonfigurovat firewall. Pro konfiguraci pravidel firewallu přejděte do Configuration > Network > Firewall.
V naší konfiguraci je hlavní podmínkou pro povolení paketů přes firewall přiřazení obou tunelů do stejné zóny, kde je povolen provoz mezi rozhraními v zóně (Block Intra-zone – ne).
Měly by zde být také pravidla povolující provoz z této zóny do lokální sítě a z lokální sítě do této zóny.
Konfigurace ZyWALL USG 100 z kanceláře B
Pro konfiguraci rozhraní přejděte do Configuration > Network > Interface a vyberte záložku Ethernet.
Pro vytvoření objektů potřebných pro konfiguraci směrování přejděte do Configuration > Object > Address.
Kromě podsítí pro klienty L2TP přes IPSec je třeba vytvořit také objekt typu INTERFACE IP pro rozhraní wan1 a objekt typu SUBNET definující vzdálenou podsíť kanceláře A. To je nezbytné pro konfiguraci L2TP přes IPSec tunelu a IPSec tunelu mezi kancelářemi.
L2TP přes IPSec tunel a IPSec tunel mezi kancelářemi by měly být nakonfigurovány v Configuration > VPN > IPSec VPN > VPN Gateway a Configuration > VPN > IPSec VPN > VPN Connection.
Pro konfiguraci pravidel směrování přejděte do Configuration > Network > Routing > Policy Route.
Nastavení první trasy:
Nastavení druhé trasy:
Dále je třeba nakonfigurovat firewall. Pro konfiguraci pravidel firewallu přejděte do Configuration > Network > Firewall.
V naší konfiguraci je hlavní podmínkou pro povolení paketů přes firewall přiřazení obou tunelů do stejné zóny, kde je povolen provoz mezi rozhraními v zóně (Block Intra-zone – ne).
Měly by zde být také pravidla povolující provoz z této zóny do lokální sítě a z lokální sítě do této zóny.
Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.