Firewall Zyxel [Směrování VPN] - Směrování provozu z tunelu VPN do jiné lokality VPN [Směrování VPN]

Tento článek vysvětluje, jak směrovat provoz z tunelu site-to-site do jiného tunelu, aby bylo možné dosáhnout zařízení za připojením site-to-site. Vysvětluje, jak směrovat provoz z lokality A do lokality B přes firewall / bránu HQ (směrování site-to-site přes site-to-site tunel), řešení problémů/problémů, pravidla směrování, pokud chcete, aby vaše klientské sítě VPN dosáhly na server, který se nachází na jiné lokalitě (klient-to-site přes site-to-site), konfigurace SecuExtender IPSec.

Alternativa 1: Směrování provozu ze vzdáleného tunelu VPN do jiné sítě VPN site-to-site

1) Nastavení tunelů VPN

Předpoklad: Mezi lokalitami již musí být vytvořeno spojení.

Jakmile je tunel vytvořen, propojíme jej pomocí protokolu L2TP přes IPSec.

Pokyny k nastavení sítě VPN naleznete na adrese:

VPN - Konfigurace IPSec Site-To-Site VPN

Zde najdete informace o protokolu L2TP přes IPSec:

V této sekci naleznete další informace: VPN - Konfigurace L2TP přes IPSec VPN pomocí PSK [samostatný režim].

Pro zjednodušení procesu můžete použít průvodce pro vytvoření tunelu VPN a L2TP over IPSec.

2) Konfigurace zásad směrování

Abyste umožnili provoz mezi hlavní centrálou (HQ) a lokalitou B, musíte nastavit zásady a trasy pro tunel VPN.

Na bráně firewall centrály:

1. Vytvořte trasu zásad, která bude směrovat příchozí požadavky z tunelu L2TP do tunelu pro lokalitu B. Jedná se o směrování příchozích požadavků z tunelu L2TP přes bránu HQ Firewall do tunelu Site B.

   • Zdroj: Podsíť klienta L2TP
   • Cíl: Místo B: podsíť lokality B
   • Next-hop: VPN tunel "Site B tunnel".

Všimněte si, že cílová adresa je adresa našeho klienta.

2. Vytvořte zásadu, která povoluje odpovědi z lokality B a směruje je do tunelu do lokality B. To je rozhodující pro provoz vracející se z lokality B do centrály.

• • Zdroj: Jakýkoli
  • Cílová stanice: Tunel L2TP
  • Next-hop: Tunel VPN "L2TP Tunnel"

Na lokalitě B:

1. Vytvořte také trasu zásad, která povolí příchozí požadavky z centrály a přesměruje je do tunelu na lokalitu B. Vytvořte tedy trasu zásad, která povolí odpovědi z centrály a přesměruje je do tunelu na lokalitu B:

Zajistěte, aby bylo povoleno asymetrické směrování pro bezproblémové připojení. Tuto možnost najdete zde:

Konfigurace > Zásady zabezpečení > Řízení zásad

Povolením této funkce se aktivuje "trojúhelníková" trasa, což bráně firewall umožňuje používat asymetrickou topologii trasy v síti a zabraňuje obnovení spojení při zpětných odpovědích.

Dodržením těchto kroků můžete efektivně směrovat provoz mezi tunely VPN a udržovat hladké a bezpečné spojení mezi centrálou a lokalitou B.

Alternativa 2: Směrování z tunelu VPN do jiné lokality VPN

1) Směrování provozu z lokality A do lokality B přes lokalitu centrály

Pokud chcete, aby se z lokality A dostávalo do lokality B a naopak, musíte na každém firewallu vytvořit směry zásad, aby firewall HQ věděl, kam má posílat příchozí požadavky a kam má posílat odpovědi.

1.1 Trasy zásad - brána HQ Firewall

Na firewallu HQ je třeba nejprve nakonfigurovat pravidlo, které povolí požadavky přicházející z lokality A, které směřují do lokality B. Ty je třeba směrovat v tunelu do lokality B, což je důležité jak pro požadavky ICMP (přicházející z lokality A), ale také pro odpovědi ICMP (přicházející z lokality B a nyní se vracejí zpět do lokality B).

Příchozí: libovolný - Zdroj: "Místo A -> Cíl: "Site B subnet" - Next-hop Tunnel - "Site B VPN tunnel"

Za druhé je třeba nakonfigurovat pravidlo, které povolí odpovědi přicházející z webu B, které směřují do webu A (když jste poslali požadavek z webu A), a ty musí být směrovány do tunelu webu A. To je důležité jak pro požadavky ICMP (přicházející z lokality B), ale také pro odpovědi ICMP (přicházející z lokality B a nyní se opět vracejí do lokality A).

Příchozí: libovolný - Zdroj: Cíl: "Site B subnet" -> Destination: "Site A subnet" - Next-hop Tunnel - "Site A VPN tunnel".

1.2 Zásady směrování - brána firewall lokality A

Poté je třeba nakonfigurovat pravidlo, které povolí požadavky přicházející z webu B, které směřují do webu A (pokud jste odeslali požadavek z webu B). Ty je třeba směrovat"zpět" do tunelu Site A, což je důležité jak pro požadavky ICMP (přicházející z Site B), ale také pro odpovědi ICMP (přicházející z Site B a nyní se opět vracejí do Site B).

Příchozí: libovolný - Zdroj: Cíl: "Site B subnet" -> Destination: "Site A subnet" - Next-hop "Site A VPN tunnel"

1.3 Zásady směrování - brána firewall lokality B

Poté je třeba nakonfigurovat pravidlo, které povolí požadavky přicházející z webu A, které směřují do webu B (pokud jste odeslali požadavek z webu A). Ty musí být směrovány"zpět" do tunelu Site B, což je důležité jak pro požadavky ICMP (přicházející z Site A), ale také pro odpovědi ICMP (přicházející z Site A a nyní se vracejí opět do Site A).

Příchozí: libovolný - Zdroj: Cíl: "Site A subnet" -> Destination: "Site B subnet" - Next-hop "Site B VPN tunnel"

2) Ověření / řešení problémů

Po nakonfigurování všech tras zásad je důležité ověřit, zda směrování skutečně funguje. Možná máte v pravidlech brány firewall konfliktní trasy (překrývání podsítí, existující zásady/statické trasy atd.) nebo je něco jiného špatně.

Všimněte si, že to může být velmi matoucí, protože existuje mnoho tras, o které je třeba se postarat. Nejjednodušší způsob je ručně si na papíře zmapovat všechny toky paketů (PC -> brána A - brána musí směrovat do centrály, centrála musí směrovat do lokality B - lokalita B musí směrovat odpověď opět do centrály ... atd), položit si otázku - "kdo je zodpovědný za směrování a je směrování na místě?".

Níže najdete dva scénáře, kdy bude možná nutné změnit konfiguraci, aby směrování fungovalo.

2.1 Test pingem na bránu firewall

Prvním z nich je testování pomocí pingů z počítače v lokalitě A na server nebo počítač v lokalitě B:

Červená šipka - požadavek ICMP [ping]

Zelená šipka - odpověď ICMP [ping]

2.2mRuty zásad - Firewall webu A

Pokud na bránu webu B posíláte ping z brány webu A (vestavěný nástroj ICMP), směrování zásad na bráně webu A se nepoužije pro odpovědi zpět z brány webu B, pokud se brána webu B snaží poslat ping na bránu webu A.

Proto potřebujeme směrování zásad, které vypadá takto:

Příchozí: ZyWall- Zdroj: Cíl: "Site B subnet" -> Destination: "Site A subnet" - Next-hop "Site A VPN tunnel"

2.3 Zásady směrování - brána firewall lokality B

První test, který můžete provést, je ping na firewall, nicméně vzhledem k tomu, že směrování, které jste nyní vytvořili, je určeno POUZE pro příchozí (s výjimkou Zywall), znamená to, že směrování se neuplatní, pokud ping přichází z webu A, dosáhne firewallu webu B a firewall je pak zodpovědný za odpověď na tento požadavek. Odpověď ICMP pak bude vypadat takto:

ICMP Request

PC (požadavek ICMP) -> brána lokality A -> tunel VPN do centrály -> brána centrály odešle provoz na bránu lokality B

Odpověď ICMP

Brána webu B (odpověď ICMP) -> brána webu B -> tunel VPN do HQ -> brána HQ odesílá provoz bráně webu A -> brána webu A odesílá pakety zpět do PC

Proto je zapotřebí tato trasa zásad:

Příchozí: Zdroj: ZyWall- Zdroj: Cíl: "Site A subnet" -> Destination: "Site B subnet" - Next-hop "Site B VPN tunnel"

2.4 Testování pomocí pingování serveru / počítače

Protože PC je umístěno v síti 192.168.20.0/24 a server je umístěn v síti 192.168.30.0/24, server síť 192.168.20.0/24 nerozpozná, a proto bude s velkou pravděpodobností blokovat pakety ICMP přicházející z neznámých podsítí. Proto při provádění testů vždy:

• vypněte všechny integrované brány firewall (např. Windows Defender / Firewall).
• Vypněte ostatní antivirové programy a softwary pro zabezpečení koncových bodů nainstalované na serveru / počítači.

Směrování přenosů mezi klienty a lokalitou prostřednictvím tunelu mezi lokalitami

Pozor: Toto nefungovalo s dynamickou VPN! Vyberte prosím pouze Site2Site VPN!

1) Konfigurace služby SecuExtender IPSec VPN

Aby bylo možné směrovat klienty IPSec VPN do jiného tunelu, musí používat pevné IP adresy.

Pokud je potřeba směrovat mnoho různých klientů, doporučuje se použít IP adresy, které jsou blízko sebe, aby bylo možné vytvořit rozsah. Tím se sníží počet potřebných tras.

Podsíť, ve které se adresy IP nacházejí, nemusí být na bráně firewall přítomna.

Zadejte pevnou IP adresu na klientovi IPSec VPN

2) Konfigurace směrování brány firewall

V bráně firewall přejděte na

a klikněte na

a vytvořte rozsah IP adres klientů IPSec VPN.

Nyní můžeme přidat potřebné trasy pod

kliknutím na

Add

2.1 Brána firewall na místě A

Potřebujeme vytvořit dvě trasy:

• Jednu pro odchozí provoz, tedy z dynamického tunelu VPN-klient do vzdálené podsítě přes tunel site-to-site.

• Jeden pro příchozí provoz, tedy ze vzdálené podsítě přes tunel site-to-site do tunelu VPN-klient.

Nové trasy by měly vypadat podobně:

Dalším způsobem, jak může procházet příchozí provoz ze vzdálené podsítě přes vzdálený tunel VPN, je povolení "asymetrické trasy":

Tím se povolí "trojúhelníková" trasa, díky níž brána firewall povolí použití topologie asymetrické trasy v síti a po návratu odpovědi nevynuluje spojení.

2.2 Brána firewall v lokalitě B

Na vzdálené lokalitě může být nutné mít vytvořené podobné trasy, aby zařízení v hlavní lokalitě vědělo, jak má zpracovávat provoz od klientů VPN přicházejících z pobočky.

V hlavní lokalitě vytvoříme IP-rozsah pro vzdálené klienty VPN, abychom jej mohli použít pro směrování provozu.

Nyní vytvoříme odpovídající trasy také v lokalitě HQ.

Jednu odchozí trasu, tedy z podsítě HQ přes tunel site-to-site ke vzdáleným klientům VPN.

A jedna příchozí trasa, tedy z rozsahu vzdálených klientů VPN přes tunel site-to-site do místní sítě LAN centrály. Pokud je provoz směrován do místní podsítě, zvolíme jako next-hop "Auto", USG to zvládne automaticky.

Trasy by měly vypadat nějak takto:

+++ Licence pro klienty Zyxel VPN (SSL VPN, IPsec) můžete zakoupit s okamžitým dodáním jedním kliknutím: Zyxel Webstore +++