Zyxel H Series Firewall [next-hop in Policy Routes] Hvorfor rutebaseret VPN erstatter politikbaseret VPN - og hvorfor det er en god ting

Oprettet 5. juni 2025 13:04 - Opdateret 26. juni 2025 15:11

Serhii Boiarynov

Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Med introduktionen af Zyxel UOS-operativsystemet og udgivelsen af den nye H-serie har Zyxel moderniseret den måde, VPN-forbindelser håndteres på. I modsætning til tidligere generationer af enheder som USG- og ATP-serierne understøtter H-serien ikke længere brug af VPN-tunneler som next-hop i Policy Routes.

Det er ikke en begrænsning, men snarere et skift til en moderne, interface-baseret VPN-arkitektur, der bruger rutebaseret VPN med VTI (Virtual Tunnel Interface). Denne artikel forklarer forskellen mellem policy-baseret og route-baseret VPN, og hvorfor denne nye tilgang anses for at være mere pålidelig, skalerbar og lettere at administrere.

Fordele ved rutebaseret VPN med VTI på Zyxel USG FLEX H

VPN-tunneler oprettes som virtuelle grænseflader (VTI) og deltager i routing ligesom fysiske porte.
Deter ikke nødvendigt at definere VPN som next-hop i Policy Routes, hvilket reducerer konfigurationskompleksiteten og risikoen for fejlkonfiguration.
Bedre integration med Zyxels zonebaserede sikkerhedsmodel.

Scenarie:

Hovedkvarteret bruger flere interne subnet:
- 192.168.10.0/24 - Administration
- 192.168.20.0/24 - Regnskab
- 192.168.30.0/24 - Lager
Filialkontoret skal have adgang til dem alle via VPN.

Problemer med politikbaseret VPN:

Kræver oprettelse af en separat tunnel eller politik for hvert subnet.
Enhver netværksændring (f.eks. et nyt subnet) betød manuel omkonfiguration af politikker og tunneler.

Brug af VTI på USG FLEX H:

Du opretter en enkelt VPN-tunnel mellem siderne.
Konfigurer statiske standardruter:

dst: 192.168.10.0/24 → via VTI-Office dst: 192.168.20.0/24 → via VTI-Office dst: 192.168.30.0/24 → via VTI-Office

Når et nyt subnet (f.eks. 192.168.40.0/24) tilføjes, skal du bare tilføje en rute, ingen VPN-rekonfiguration er nødvendig.
Adgangskontrol styres gennem sikkerhedspolitikker i stedet for statisk rutelogik.

Opsætning af IPSec VPN-tunnel til uOS

Dette eksempel viser, hvordan man bruger VPN Setup Wizard til at konfigurere en rutebaseret site-to-site VPN-tunnel med en ZLD-enhed som peer-gateway, hvilket muliggør sikker adgang mellem de to sites, når tunnelen er etableret.

Naviger tilVPN > IPSec VPN > Site to Site VPN > Add. og gå gennem alle trin i guiden, og udfyld de relevante felter:

Navn:
IKE-version: IKEv2
I feltet Min adresse skal du vælge den ønskede WAN-grænseflade
I feltet Peer Gateway Address skal du indtaste den offentlige IP-adresse på den eksterne enhed (filial).
Zone: IPSec_VPN
Vælg Pre-Shared Key (PSK) under Authentication Method.

Vælg under Type: Rutebaseret.

I Remote Subnet skal du indtaste manuelt: 192.168.88.0/27.
I VTI Interface skal du indtaste: 169.254.63.164/255.255.255.255.
Kontrollér, at diagrammet viser forbindelsen fra den lokale grænseflade ge1 til den eksterne IP 93.159.250.211.

Under Phase 1 Settings og Phase 2 Settings:

Forslag: AES128 / SHA1
DH-gruppe: DH2 / DH14

Klik på OK.

Konfigurer VTI-grænsefladen

Konfiguration > Netværk > Grænseflade > VTI

Opsæt en IPSec VPN-tunnel til ZLD

Naviger til Konfiguration > VPN > IPSec VPN > VPN Gateway.

Klik på Tilføj og marker Aktiver.
Indtast navnet på VPN-gatewayen:
Vælg IKE-version: IKEv2
Under Min adresse: Vælg Interface: ge1 (med din offentlige IP).
Under Peer Gateway Address: indtast den offentlige IP-adresse på den eksterne (HQ) enhed
Under Authentication: Vælg Pre-Shared Key, og indtast den samme nøgle, som bruges på Flex-enheden.