Vigtig meddelelse: |
Artiklen indeholder en trinvis vejledning i opsætning af en IPSec site-to-site VPN-tunnel ved hjælp af VPN Setup Wizard på ZyWALL/USG-enheder. Den forklarer, hvordan man konfigurerer VPN-tunnelen mellem to steder, herunder et sted bag en NAT-router, og sikrer sikker adgang. Processen involverer brug af guiden VPN-indstillinger til at oprette en VPN-regel med standardfaseindstillinger, konfigurere sikre gateway-IP'er og indstille lokale og eksterne politikker. Den dækker også verifikationstrin for at teste tunnelens funktionalitet og adresserer potentielle problemer, der kan opstå, såsom uoverensstemmende indstillinger eller sikkerhedspolitiske konfigurationer.
Opsætning af ZyWALL/USG IPSec VPN-tunnel til virksomhedsnetværk (HQ)
1. I ZyWALL/USG skal du bruge guiden VPN-indstillinger til at oprette en VPN-regel, der kan bruges med FortiGate. Klik på Næste.
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen
2. Vælg Express for at oprette en VPN-regel med standardindstillingerne for fase 1 og fase 2 og bruge en forhåndsdelt nøgle som godkendelsesmetode. Klik på Næste.
Hurtig opsætning > Guiden til VPN-opsætning > Guidetype
3. Skriv det regelnavn, der bruges til at identificere denne VPN-forbindelse (og VPN-gateway). Du kan bruge 1-31 alfanumeriske tegn. Denne værdi skelner mellem store og små bogstaver. Vælg den regel, der skal være Site-to-site. Klik på Næste.
Hurtig opsætning > VPN-opsætningsguide > Guidetype > VPN-indstillinger (scenarie)
4. Konfigurer Secure Gateway IP som afdelingens WAN-IP-adresse (i eksemplet 172.100.30.40). Skriv derefter en sikker forhåndsdelt nøgle (8-32 tegn).
Indstil Local Policy til at være IP-adresseområdet for det netværk, der er forbundet med ZyWALL/USG (HQ), og Remote Policy til at være IP-adresseområdet for det netværk, der er forbundet med ZyWALL/USG (Branch).
Hurtig opsætning > VPN-opsætningsguide > Guidetype > VPN-indstillinger (konfiguration)
5. Denne skærm giver en skrivebeskyttet oversigt over VPN-tunnelen. Klik på Gem.
Hurtig opsætning > Guiden VPN-opsætning > Velkommen > Guidetype > VPN-indstillinger (Resumé)
6. Nu er reglen konfigureret på ZyWALL/USG. Indstillingerne for fasereglerne vises her
Fase 1: VPN > IPSec VPN > VPN Gateway Fase 2: VPN > IPSec VPN > VPN-forbindelse Hurtig opsætning > Guiden til VPN-opsætning > Velkommen > Guiden type > VPN-indstillinger > Guiden afsluttet
7. Konfigurer Peer ID Type som Enhver for at lade ZyWALL/USG ikke behøve at kontrollere identitetsindholdet i den eksterne IPSec-router.
KONFIGURATION > VPN > IPSec VPN > VPN Gateway > Vis avancerede indstillinger > Godkendelse > Peer ID-type
Opsætning af ZyWALL/USG IPSec VPN-tunnel til virksomhedsnetværk (filial)
1. I ZyWALL/USG skal du bruge guiden VPN-indstillinger til at oprette en VPN-regel, der kan bruges med FortiGate. Klik på Næste.
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen
2. Vælg Express for at oprette en VPN-regel med standardindstillingerne for fase 1 og fase 2 og bruge en forhåndsdelt nøgle som godkendelsesmetode. Klik på Næste.
Hurtig opsætning > Guiden til VPN-opsætning > Guidetype
3. Skriv det regelnavn, der bruges til at identificere denne VPN-forbindelse (og VPN-gateway). Du kan bruge 1-31 alfanumeriske tegn. Denne værdi skelner mellem store og små bogstaver. Vælg den regel, der skal være Site-to-site. Klik på Næste.
Hurtig opsætning > VPN-opsætningsguide > Guidetype > VPN-indstillinger (scenarie)
4. Konfigurer Secure Gateway IP som afdelingens WAN-IP-adresse (i eksemplet 172.100.20.30). Skriv derefter en sikker forhåndsdelt nøgle (8-32 tegn).
Indstil Local Policy til at være IP-adresseområdet for det netværk, der er forbundet med ZyWALL/USG (HQ), og Remote Policy til at være IP-adresseområdet for det netværk, der er forbundet med ZyWALL/USG (Branch).
Hurtig opsætning > VPN-opsætningsguide > Guidetype > VPN-indstillinger (konfiguration)
5. Denne skærm giver en skrivebeskyttet oversigt over VPN-tunnelen. Klik på Gem.
Hurtig opsætning > Guiden til VPN-opsætning > Velkommen > Guidetype > VPN-indstillinger (Resumé)
6. Nu er reglen konfigureret på ZyWALL/USG. Indstillingerne for fasereglerne vises her
Fase 1: VPN > IPSec VPN > VPN Gateway Fase 2: VPN > IPSec VPN > VPN-forbindelse Hurtig opsætning > Guiden til VPN-opsætning > Velkommen > Guiden type > VPN-indstillinger > Guiden afsluttet
7. Konfigurer Peer ID Type som Enhver for at lade ZyWALL/USG ikke behøve at kontrollere identitetsindholdet i den eksterne IPSec-router.
KONFIGURATION > VPN > IPSec VPN > VPN Gateway > Vis avancerede indstillinger > Godkendelse > Peer ID-type
Opsæt NAT-routeren (Brug af ZyWALL USG-enhed i dette eksempel)
Bemærk: Disse indstillinger skal kun anvendes, hvis en af dine firewalls er bag en NAT. Disse indstillinger skal konfigureres på den NAT-router, der er placeret før din firewall, som kan være din ISP-router eller hovedrouteren i dit kontornetværk. Nedenfor giver vi et eksempel med en af vores enheder - det er kun til referenceformål.
1. Vælg den indgående grænseflade, som pakker til NAT-reglen skal modtages på. Angiv feltet User-Defined Original IP, og skriv den oversatte destinations-IP-adresse, som denne NAT-regel understøtter.
KONFIGURATION > Netværk > NAT > Tilføj
2. IP-videresendelse skal være aktiveret på firewallen for følgende IP-protokoller og UDP-porte:
IP-protokol = 50 → Bruges af datasti (ESP)
IP-protokol = 51 → Bruges af datasti (AH)
UDP-portnummer = 500 → bruges af IKE (IPSec-kontrolsti)
UDP-portnummer = 4500 → Bruges af NAT-T (IPsec NAT-traversal)
KONFIGURATION > Sikkerhedspolitik > Politikkontrol
VERIFIKATION:
Test IPSec VPN-tunnelen
1. Gå til KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse
Klik på Connect i den øverste bjælke. Statusforbindelsesikonet lyser, når grænsefladen er forbundet.
2. Bekræft tunnelens Up Time og Inbound(Bytes)/Outbound(Bytes) Traffic.
MONITOR > VPN Monitor > IPSec
3. For at teste, om en tunnel fungerer, skal du pinge fra en computer på det ene sted til en computer på det andet. Sørg for, at begge computere har internetadgang (via IPSec-enheder).
PC bag ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC bag ZyWALL/USG (Branch) > Window 7 > cmd > ping 10.10.10.33
Hvad kan der gå galt?
1. Hvis du ser nedenstående [info]- eller [fejl]-logmeddelelse, skal du kontrollere ZyWALL/USG fase 1-indstillingerne. Både ZyWALL/USG på hovedkontoret og filialerne skal bruge den samme Pre-Shared Key, kryptering, godkendelsesmetode, DH-nøglegruppe og ID-type til at etablere IKE SA.
MONITOR > Log
2. Hvis du kan se, at fase 1 IKE SA-processen er færdig, men stadig får nedenstående [info]-logmeddelelse, skal du kontrollere ZyWALL/USG fase 2-indstillingerne. Både ZyWALL/USG på hovedkontoret og filialerne skal bruge den samme protokol, indkapsling, kryptering, godkendelsesmetode og PFS til at etablere IKE SA.
OVERVÅGNING > Log
3. Sørg for, at sikkerhedspolitikkerne for både ZyWALL/USG i hovedkvarteret og filialen tillader IPSec VPN-trafik. IKE bruger UDP-port 500, AH bruger IP-protokol 51, og ESP bruger IP-protokol 50.
4. Standard NAT-traversal er aktiveret på ZyWALL/USG, så sørg for, at den eksterne IPSec-enhed også har NAT-traversal aktiveret.