Vigtig meddelelse: |
Dette eksempel viser, hvordan du bruger guiden til VPN-opsætning til at oprette en IPSec Site to Site VPN-tunnel mellem ZyWALL/USG-enheder. Eksemplet anviser, hvordan du konfigurerer VPN-tunnelen mellem hvert sted, mens det ene sted er bag en NAT-router (alias Double-NAT). Når IPSec Site to Site VPN-tunnelen er konfigureret, kan der være sikker adgang til hvert enkelt sted.
Indhold
| 1 Opsætning af IPSec VPN-tunnel | 2 Opsætning af IPSec VPN-tunnel | Opsætning af Nat-routeren | Test resultatet |
| 1 Hurtig opsætning | 1 Hurtig opsætning | 1 Nat-regel | 1 Kontroller forbindelsen |
| 2 Guiden | 2 guiden | 2 IP viderestilling | 2 Overvågning |
| 3 VPN-indstillinger | 3 VPN-indstillinger | 3 Prøv at pinge | |
| 4 Lokal/fjernpolitik | 4 Lokal/fjernpolitik | ||
| 5 Opsummering af VPN-opsætning | 5 Opsætning af VPN-opsætning - Resumé | ||
| 6 Guiden er afsluttet | 6 Guiden er afsluttet | ||
| 7 Peer ID-type | 7 Peer ID-type |
OPSÆTNING/TRIN FOR TRIN PROCEDURE:
Opsætning af ZyWALL/USG IPSec VPN-tunnel til virksomhedsnetværket (HQ)
1. I ZyWALL/USG skal du bruge guiden VPN Settings til at oprette en VPN-regel, der kan bruges med FortiGate. Klik på Next (Næste).
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen
2. Vælg Express for at oprette en VPN-regel med standardindstillingerne for fase 1 og fase 2 og bruge en forhåndsdelt nøgle som godkendelsesmetode. Klik på Næste.
Hurtig opsætning > Guiden VPN-opsætning > Guiden Type
3. Skriv det regelnavn, der bruges til at identificere denne VPN-forbindelse (og VPN-gateway). Du kan bruge 1-31 alfanumeriske tegn. Denne værdi er stregfølsom. Vælg den regel, der skal være Site-to-site. Klik på Næste.
Hurtig opsætning > Guiden til VPN-opsætning > Guiden Type > VPN-indstillinger (scenarie)
4. Konfigurer Secure Gateway IP som filialens WAN-IP-adresse (i eksemplet 172.100.30.40). Indtast derefter en sikker Pre-Shared Key (8-32 tegn).
Indstil Local Policy til at være IP-adresseområdet for det netværk, der er forbundet til ZyWALL/USG (HQ), og Remote Policy til at være IP-adresseområdet for det netværk, der er forbundet til ZyWALL/USG (filial).
Hurtig opsætning > Guiden til VPN-opsætning > Guiden Type > VPN-indstillinger (konfiguration)
5. Dette skærmbillede giver en skrivebeskyttet oversigt over VPN-tunnelen. Klik på Save (Gem).
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen > Guiden Type > VPN-indstillinger (Oversigt)
6. Nu er reglen konfigureret på ZyWALL/USG. Indstillingerne for Fase-reglerne vises her
Fase 1 : VPN > IPSec VPN > VPN Gateway
Fase 2: VPN > IPSec VPN > VPN-forbindelse
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed (Hurtig opsætning > VPN Setup Wizard > Velkommen > Wizard Type > VPN Settings > Wizard Completed )
7. Konfigurer Peer ID Type som Any for at lade ZyWALL/USG ikke behøver at kontrollere identitetsindholdet af den eksterne IPSec-router.
KONFIGURATION > VPN > IPSec VPN > IPSec VPN > VPN Gateway > Vis avancerede indstillinger > Autentifikation > Peer ID Type
Opsætning af ZyWALL/USG IPSec VPN-tunnel for virksomhedsnetværk (filial)
1. I ZyWALL/USG skal du bruge guiden VPN Settings wizard til at oprette en VPN-regel, der kan bruges sammen med FortiGate. Klik på Next (Næste).
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen
2. Vælg Express for at oprette en VPN-regel med standardindstillingerne for fase 1 og fase 2 og bruge en forhåndsdelt nøgle som godkendelsesmetode. Klik på Næste.
Hurtig opsætning > Guiden VPN-opsætning > Guiden Type
3. Skriv det regelnavn, der bruges til at identificere denne VPN-forbindelse (og VPN-gateway). Du kan bruge 1-31 alfanumeriske tegn. Denne værdi er stregfølsom. Vælg den regel, der skal være Site-to-site. Klik på Næste.
Hurtig opsætning > Guiden til VPN-opsætning > Guiden Type > VPN-indstillinger (scenarie)
4. Konfigurer Secure Gateway IP som filialens WAN-IP-adresse (i eksemplet 172.100.20.30). Indtast derefter en sikker Pre-Shared Key (8-32 tegn).
Indstil Local Policy til at være IP-adresseområdet for det netværk, der er forbundet til ZyWALL/USG (HQ), og Remote Policy til at være IP-adresseområdet for det netværk, der er forbundet til ZyWALL/USG (filial).
Hurtig opsætning > Guiden til VPN-opsætning > Guiden Type > VPN-indstillinger (konfiguration)
5. Dette skærmbillede giver en skrivebeskyttet oversigt over VPN-tunnelen. Klik på Save (Gem).
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen > Guiden Type > VPN-indstillinger (Oversigt)
6. Nu er reglen konfigureret på ZyWALL/USG. Indstillingerne for Fase-reglerne vises her
Fase 1 : VPN > IPSec VPN > VPN Gateway
Fase 2: VPN > IPSec VPN > VPN-forbindelse
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed (Hurtig opsætning > VPN Setup Wizard > Velkommen > Wizard Type > VPN Settings > Wizard Completed)
7. Konfigurer Peer ID Type som Any for at lade ZyWALL/USG ikke behøver at kontrollere identitetsindholdet af den eksterne IPSec-router.
KONFIGURATION > VPN > IPSec VPN > IPSec VPN > VPN Gateway > Vis avancerede indstillinger > Autentifikation > Peer ID Type
Opsætning af NAT-routeren (Brug ZyWALL USG-enheden i dette eksempel)
1. Vælg den indgående grænseflade, som pakker til NAT-reglen skal modtages på. 2. Angiv feltet Brugerdefineret oprindelig IP og Indtast den oversatte destinations-IP-adresse, som denne NAT-regel understøtter.
KONFIGURATION > Netværk > NAT > NAT > Tilføj
2. IP forwarding skal være aktiveret på firewallen for følgende IP-protokoller og UDP-porte:
IP-protokol = 50 → Bruges af datastien (ESP)
IP-protokol = 51 → Bruges af datastien (AH)
UDP-portnummer = 500 → Bruges af IKE (IPSec-kontrolvej)
UDP-portnummer = 4500 → Anvendes af NAT-T (IPsec NAT traversal)
KONFIGURATION > Sikkerhedspolitik > Politikstyring
VERIFICATION:
Test IPSec VPN-tunnelen
1. Gå til
KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse
klik på Connect (Forbind) på den øverste bjælke. Statusforbindelsesikonet er tændt, når grænsefladen er forbundet.
2. 2. Kontroller tunnelen Up Time og Inbound(Bytes)/Outbound(Bytes) Traffic (Indgående(Bytes)/udgående(Bytes) Trafik).
MONITOR > VPN Monitor > IPSec
3. For at teste, om en tunnel fungerer, skal du pinge fra en computer på det ene sted til en computer på det andet sted. Sørg for, at begge computere har internetadgang (via IPSec-enheder).
PC bag ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC bag ZyWALL/USG (filial) > Vindue 7 > cmd > ping 10.10.10.10.33
Hvad kan gå galt?
1. Hvis du ser nedenstående [info] eller [error] logmeddelelse, skal du kontrollere ZyWALL/USG Phase 1 Settings. Både ZyWALL/USG på hovedkvarteret og filialerne skal bruge den samme Pre-Shared Key, Kryptering, Autentificeringsmetode, DH-nøglegruppe og ID Type til at oprette IKE SA.
MONITOR > Log
2. Hvis du kan se, at fase 1 IKE SA-processen er afsluttet, men stadig får nedenstående [info] logmeddelelse, skal du kontrollere ZyWALL/USG Phase 2 Settings (fase 2-indstillinger). Både ZyWALL/USG på hovedkvarteret og filialerne skal bruge den samme protokol, indkapsling, kryptering, autentificeringsmetode og PFS til at oprette IKE SA'en.
MONITOR > Log
3. Sørg for, at både ZyWALL/USG på hovedkvarterets og filialens sikkerhedspolitikker tillader IPSec VPN-trafik. IKE bruger UDP-port 500, AH bruger IP-protokol 51, og ESP bruger IP-protokol 50.
4. Standard NAT traversal er aktiveret på ZyWALL/USG, sørg for, at den eksterne IPSec-enhed også skal have NAT traversal aktiveret.
Også interessant:
Vil du kigge direkte på en af vores testenheder? Tag et kig her i vores virtuelle laboratorium:
Virtual LAB - Site to Site VPN
KB-00167