Zyxel Firewall [VPN] - Konfigurer IPSec Site-To-Site VPN på Zyxel Firewall [Stand-alone-tilstand].

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Denne vejledning vil lede dig gennem opsætning af en Site-to-Site (S2S) VPN mellem to firewalls ved hjælp af IKEv2 IPSec. Vi dækker både manuel konfiguration og brugen af en indbygget guide, samt hvordan man konfigurerer VPN'en til at håndtere flere undernet inden for den samme tunnel.

Hvis du er på udkig efter andre VPN-scenarier, tips og tricks, kan du kigge på følgende artikler:

Generelt:

Nebula:

Et kontor ønsker at oprette en sikker forbindelse til sit hovedkvarter via internettet. Begge kontorer har en USG / ZyWall / ATP / USG FLEX for at få adgang til internettet.

Bemærk: Før du begynder at konfigurere VPN'en, skal du sørge for, at begge steder ikke har de samme undernet. Det er teknisk muligt at konfigurere en VPN mellem steder med samme subnet på begge sider, men det er ikke let og kan føre til komplikationer på grund af overlappende IP-adresser. Når begge sider har samme subnet, kan det føre til routingkonflikter, fordi VPN'en ikke ved, hvilken side den skal sende trafik til, når den ser en IP-adresse, der findes begge steder.

Guiden til opsætning af VPN

Den mest ligetil og bekvemme metode til at etablere en Site-to-Site-forbindelse er at bruge den indbyggede guide. I det første eksempel i denne artikel vil vi guide dig gennem processen. Hvis du har haft problemer med at konfigurere en VPN manuelt, kan du også bruge guiden til at opsætte VPN'en og sammenligne indstillingerne med henblik på fejlfinding.

Indstillinger for HQ-site (Wizzard)

  • Log ind på din HQ Site-firewalls Web GUI, og gå til sektionen Quick Setup Wizard i menuen til venstre.
  • Klik på "VPN-opsætning"

Du kan vælge mellem Express (VPN med standardværdier) eller Advanced (manuel indstilling af kryptografi osv.). For at give dig et eksempel på denne artikel har vi valgt indstillingen "Avanceret".

  • Vi anbefaler på det kraftigste at bruge IKEv2 i stedet for IKEv1 for at forbedre sikkerheden, gøre det hurtigere at etablere en forbindelse, øge stabiliteten, understøtte mobilitet og øge effektiviteten i håndteringen af netværksændringer.
  • Giv et forståeligt navn, og vælg Site-to-Site VPN.
  • Klik på "Næste"

Indstillinger for fase 1

  • På den næste side skal du indtaste "Secure Gateway" Dette er Wan-adressen på din anden firewall; i dette tilfælde er det IP-adressen på Branch site. (Når du begynder at konfigurere den anden firewall, skal du udfylde WAN-IP-adressen for denne firewall. )
  • Indstil fase 1-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til en nøglegruppe.

Indstillinger for fase 2

  • Sørg for, at fase 2-indstillingerne er de samme som fase 1-indstillingerne. (dvs. AES256, SHA512)
  • Lokal politik og fjernpolitik - Lokale og fjernpolitikker definerer, hvilken trafik der krypteres i en site-to-site-VPN, hvilket sikrer sikker, effektiv og korrekt dirigeret kommunikation mellem netværk.

    Bemærk: Tjek først, om IP-adressen for det eksterne subnet ikke allerede findes på det lokale subnet for at undgå dobbelt IP-adressekonfiguration. Når det eksterne subnet svarer til et lokalt subnet, vil du kun kunne nå det lokale netværk.
  • Når alle data er indtastet korrekt, skal du klikke på "Next", kontrollere alle indstillingerne igen, klikke på"Save" og fortsætte med at konfigurere den anden firewall.

Indstillinger for filialsite (Wizzard)

Du skal følge nøjagtig den samme procedure for firewallen i det andet kontor. Den største forskel ligger kun i nogle indstillinger.

  • Gateway-IP skal angives som WAN-IP for enheden på hovedkontoret.
  • Lokal politik og fjernpolitik vil også være forskellige. Eksempel nedenfor:
    Hovedkvarter
    Lokal politik: 192.168.40.1
    Ekstern politik: 192.168.70.1
    Afdelingssite:
    Lokal politik: 192.168.70.1
    Ekstern politik: 192.168.40.1
  • Hvis alt er konfigureret korrekt, og der ikke er problemer med forbindelsen, andre indstillinger eller konstruktionen, vil der automatisk blive oprettet en VPN-forbindelse umiddelbart efter, at indstillingerne er gemt.

Manuel metode til opsætning af VPN

Manual til indstillinger for VPN-gateway - HQ-site

  • Log ind på din HQ Site Firewall Web GUI
Go to Configuration -> VPN -> VPN Ge -> Add
  • Marker afkrydsningsfeltet Aktiver
  • Giv et klart navn
  • Vælg IKE-version

Vi anbefaler kraftigt at bruge IKEv2 i stedet for IKEv1 for at forbedre sikkerheden, fremskynde forbindelsesetablering, stabilitet, understøtte mobilitet og øge effektiviteten i håndteringen af netværksændringer.

  • My Address (Interface) - indstiller din wan-IP-adresse.
  • Peer Gateway Address - Dette er WAN-adressen på din anden firewall; i dette tilfælde er det IP-adressen på Branch site. (Når du begynder at konfigurere den anden firewall, skal du udfylde WAN-IP-adressen for denne firewall.
  • Pre-Shared Key - Opret en stærk adgangskode (du skal også bruge denne nøgle på den eksterne enhed).
  • Fase 1-indstillinger -Indstil fase 1-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til en nøglegruppe.

VPN-tunnel - Manual til indstillinger for HQ-site

Configuration > VPN > IPSec VPN > VPN Connection > Add

Det første, du skal gøre, er at oprette et objekt til "Remote Policy" ved at klikke på "Create New Object" og vælge "IPV4 Address".

  • Navn - indtast et tydeligt navn
  • Adressetype - "SUBNET"
  • Netværk - den lokale netværksadresse på fjernstedet
  • Netmask - subnetmaske for det eksterne websted
  • Klik derefter på "OK"

Nu kan vi fortsætte med at udfylde de andre felter.

  • Sæt kryds i afkrydsningsfeltet Enable
  • Giv et tydeligt navn
  • Vælg Site-To-Site VPN
  • VPN-gateway - Vælg den VPN-gateway, der blev oprettet i det foregående trin
  • Lokal politik og fjernpolitik vil være forskellige.
  • Fase 2-indstillinger -Indstil fase 2-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til en nøglegruppe.
  • Klik på "Ok"

Nu kan vi begynde at konfigurere Branch-sitet. Det gør du ved at følge de samme trin som for hovedkontoret, men med nogle dataændringer.

VPN-gateway - Indstillinger for filialsite Manual

Configuration > VPN > IPSec VPN > VPN Gateway

Gentag HQ-trinene for at konfigurere VPN-gatewayen

  • Da du konfigurerede VPN-gatewayen på firewallen på HQ-sitet, angav du WAN-IP'en dit Branch-site i feltet "Peer Gateway Address Static Address". Når du nu konfigurerer filialen, skal du angive WAN-IP'en for dit hovedkvarter i feltet "Peer Gateway Address StaticAddress ".
  • Pre-Shared Key - skal være den sammefor begge sites.

Manual til indstillinger for VPN-tunnel - filial

Configuration > VPN > IPSec VPN > VPN Connection

Gentag HQ-trinnene for at konfigurere VPN-tunnelen

  • Bortset fra nogle få forskelle specificerede du netværket på filialstedet i Remote Policy, da du konfigurerede HQ-sitet. Når du nu konfigurerer filialen, skal du angive netværket fra hovedkontoret i feltet Remote Policy.

Sæt kryds ved "Nailed-Up" for at etablere VPN-tunnelen og oprette forbindelse automatisk.

Test resultatet

  • Forbind VPN-tunnelen manuelt første gang. Bagefter bør den scanne forbindelsen igen og oprette forbindelse automatisk.
  • Du kan se, at VPN-tunnelen er forbundet, når jordsymbolet er grønt.

Bemærk: Tjek dine firewall-regler for at sikre, at standardreglerne IPSec-to-Device og IPSec-to-Any findes.
Ellers kan trafikken mellem tunnelerne blive blokeret.
Screenshot_2021-05-26_173435.png

Begrænsning - Brug flere undernet

På Zyxel-firewalls er der en begrænsning, hvor du ikke kan vælge flere undernet i en VPN-tunnel. Den lokale politik (subnet) og fjernpolitikken (subnet) kan kun konfigureres med ét subnet hver. 

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

For at omgå dette problem kan du konfigurere en politikrute til at dirigere andre undernet ind i tunnelen manuelt.

Opret denne politikrute:

Bemærk! Det kan være nødvendigt at route svarpakkerne tilbage gennem tunnelen på fjernstedet.

Fejlfinding

Almindelige problemer og løsninger:

  • Forkert forhåndsdelt nøgle: Dobbelttjek den forhåndsdelte nøgle på begge enheder.
  • Forkert konfiguration af subnet: Sørg for, at de korrekte lokale og eksterne subnet er konfigureret i VPN-indstillingerne.
  • Fase 1- og fase 2-indstillinger:

Nøgleindstillinger, der skal kontrolleres for at sikre, at de er de samme på begge sider

  • Godkendelsesmetode: Typisk bruges en forhåndsdelt nøgle.
  • Krypteringsalgoritme: Almindelige muligheder omfatter AES (128/256 bits), 3DES.
  • Hash-algoritme: Typisk SHA-256 eller SHA-512 eller SHA-1.
  • DH-gruppe (Diffie-Hellman-gruppe): Garanterer sikker nøgleudveksling (f.eks. gruppe 2, gruppe 14).
  • Levetid: Levetid:

For mere detaljerede instruktioner om fejlfinding, se linket:

Zyxel Firewall [VPN] - Fejlfinding af Site-to-Site VPN [Stand-alone-tilstand]

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
10 ud af 19 fandt dette nyttigt
Del