Zyxel Firewall VPN - Konfigurer IPSec Site-To-Site VPN på Zyxel Firewall i Stand-alone-tilstand

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Denne vejledning guider dig gennem opsætningen af en Site-to-Site (S2S) VPN mellem to firewalls ved brug af IKEv2 IPSec. Vi dækker både manuel konfiguration og brugen af en indbygget guide samt hvordan VPN’en konfigureres til at håndtere flere subnet inden for den samme tunnel.

Hvis du leder efter andre VPN-scenarier, tips og tricks, kan du se følgende artikler:

Generelt:

Nebula:

Et kontor ønsker at oprette en sikker forbindelse til sit hovedkontor via internettet. Begge kontorer har en USG / ZyWall / ATP / USG FLEX til internetadgang.

Bemærk: Før du begynder at konfigurere VPN’en, skal du sikre dig, at begge lokationer ikke har de samme subnet. Det er teknisk muligt at konfigurere en VPN mellem lokationer med samme subnet på begge sider, men det er ikke nemt og kan føre til komplikationer på grund af overlappende IP-adresser. Når begge lokationer har samme subnet, kan det føre til routingkonflikter, fordi VPN’en ikke ved, hvilken side trafikken skal sendes til, når den ser en IP-adresse, der findes begge steder.

Guide-metode til opsætning af VPN

Den mest ligetil og bekvemme metode til at etablere en Site-to-Site-forbindelse er ved at bruge den indbyggede guide. I det første eksempel i denne artikel guider vi dig gennem processen. Hvis du tidligere har haft problemer med manuel konfiguration af VPN, kan du bruge guiden til at opsætte VPN’en og sammenligne indstillingerne til fejlfinding.

Indstillinger for HQ-lokation (Guide)

  • Log ind på din HQ-lokations firewall Web GUI og gå til sektionen Quick Setup Wizard i venstremenuen.
  • Klik på "VPN Setup"

Du kan vælge mellem Express (VPN med standardværdier) eller Advanced (manuel indstilling af kryptering mv.). For at give dig et eksempel i denne artikel har vi valgt "Advanced"-muligheden.

  • Vi anbefaler kraftigt at bruge IKEv2 i stedet for IKEv1 for at forbedre sikkerheden, fremskynde forbindelsesetablering, øge stabiliteten, understøtte mobilitet og øge effektiviteten ved håndtering af netværksændringer.
  • Giv et forståeligt navn og vælg Site-to-Site VPN.
  • Klik på "Next"

Fase 1 Indstillinger

  • Indtast på næste side “Secure Gateway”. Dette er WAN-adressen på din anden firewall; i dette tilfælde er det Branch-lokalitetens IP-adresse. (Når du begynder at konfigurere den anden firewall, skal du udfylde WAN IP-adressen på denne firewall.)
  • Indstil Fase 1-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til nøglegruppe.

Fase 2 Indstillinger

  • Sørg for, at fase 2-indstillingerne er de samme som fase 1-indstillingerne (dvs. AES256, SHA512).
  • Lokal politik og fjernpolitik - Lokal og fjern politik definerer, hvilken trafik der krypteres i en site-to-site VPN, hvilket sikrer sikker, effektiv og korrekt routet kommunikation mellem netværk.

    Bemærk: Kontroller først, om IP-adressen for det fjerne subnet ikke allerede findes på det lokale subnet for at undgå dobbelt IP-adressekonfiguration. Hvis det fjerne subnet ligner et lokalt subnet, vil du kun kunne nå det lokale netværk.
  • Når alle data er indtastet korrekt, klik på “Next”, tjek alle indstillinger igen, klik "Save" og fortsæt med at konfigurere den anden firewall.

Indstillinger for Branch-lokation (Guide)

Du skal følge præcis den samme procedure for firewallen på det andet kontor. Den største forskel er kun i nogle få indstillinger.

  • Gateway IP skal angives som WAN IP-adressen på enheden i HQ-lokationen
  • Lokal politik og fjernpolitik vil også være forskellige. Eksempel nedenfor:
    HQ-lokation
    Lokal politik: 192.168.40.1
    Fjernpolitik: 192.168.70.1
    Branch-lokation:
    Lokal politik: 192.168.70.1
    Fjernpolitik: 192.168.40.1
  • Hvis alt er konfigureret korrekt, og der ikke er problemer med forbindelsen, andre indstillinger eller konstruktion, vil VPN-forbindelsen automatisk blive etableret straks efter gemning af indstillingerne.

Manuel metode til opsætning af VPN

VPN Gateway - Manuelle indstillinger for HQ-lokation

  • Log ind på din HQ-lokations Firewall Web GUI
Gå til Configuration -> VPN -> VPN Ge -> Add
  • Marker Enable afkrydsningsfeltet
  • Giv et klart navn
  • Vælg IKE version

Vi anbefaler kraftigt at bruge IKEv2 i stedet for IKEv1 for at forbedre sikkerheden, fremskynde forbindelsesetablering, øge stabiliteten, understøtte mobilitet og øge effektiviteten ved håndtering af netværksændringer.

  • My Address (Interface) - sætter din WAN IP-adresse.
  • Peer Gateway Address - Dette er WAN-adressen på din anden firewall; i dette tilfælde er det Branch-lokalitetens IP-adresse. (Når du begynder at konfigurere den anden firewall, skal du udfylde WAN IP-adressen på denne firewall.)
  • Pre-Shared Key - Opret en stærk adgangskode (du skal også bruge denne nøgle på den fjerne enhed).
  • Fase 1 Indstillinger - Indstil Fase 1-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til nøglegruppe. 

VPN Tunnel - Manuelle indstillinger for HQ-lokation

Configuration > VPN > IPSec VPN > VPN Connection > Add

Det første, du skal gøre, er at oprette et objekt for “Remote Policy” ved at klikke på “Create New Object” og vælge “IPV4 Address.”

  • Navn - indtast et klart navn
  • Address Type - “SUBNET”
  • Netværk - den lokale netværksadresse for den fjerne lokation
  • Netmask - subnetmaske for den fjerne lokation
  • Klik derefter på “OK

Nu kan vi fortsætte med at udfylde de øvrige felter.

  • Marker Enable afkrydsningsfeltet
  • Giv et klart navn
  • Vælg Site-To-Site VPN
  • VPN Gateway - Vælg den VPN Gateway, der blev oprettet i det foregående trin
  • Lokal politik og fjernpolitik vil være forskellige.
  • Fase 2 Indstillinger - Indstil Fase 2-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til nøglegruppe. 
  • Klik "Ok"

Nu kan vi begynde at konfigurere Branch-lokationen. Følg de samme trin som for HQ-lokationen, men med nogle ændringer i data.

VPN Gateway - Manuelle indstillinger for Branch-lokation

Configuration > VPN > IPSec VPN > VPN Gateway

Gentag HQ-trinene for at konfigurere VPN Gateway

  • Når du konfigurerer VPN Gateway på firewallen i HQ-lokationen, angav du WAN IP’en for din Branch-lokation i feltet "Peer Gateway Address Static Address”. Når du nu konfigurerer Branch-lokationen, skal du angive WAN IP’en for din HQ-lokation i feltet "Peer Gateway Address Static Address”.
  • Pre-Shared Key - skal være den samme for begge lokationer.

VPN Tunnel - Manuelle indstillinger for Branch-lokation

Configuration > VPN > IPSec VPN > VPN Connection

Gentag HQ-trinene for at konfigurere VPN Tunnel

  • Med undtagelse af nogle få forskelle: da du konfigurerede HQ-lokationen, angav du netværket for Branch-lokationen i Remote Policy. Når du konfigurerer Branch-lokationen, skal du angive netværket fra HQ-lokationen i Remote Policy-feltet.

Sæt flueben ved "Nailed-Up"-muligheden for at etablere VPN-tunnelen og forbinde automatisk.

Test resultatet

  • Forbind VPN-tunnelen manuelt første gang. Derefter bør den automatisk genfinde forbindelsen og genoprette forbindelsen.
  • Du kan se, at VPN-tunnelen er forbundet, når jord-symbolet er grønt.

 

Bemærk: Kontroller dine firewall-regler for at sikre, at standardreglerne IPSec-to-Device og IPSec-to-Any findes.
Ellers kan trafikken mellem tunnelerne blive blokeret.
Screenshot_2021-05-26_173435.png

Begrænsning - Brug af flere subnet

På Zyxel firewalls er der en begrænsning, hvor du ikke kan vælge flere subnet i en VPN-tunnel. Den lokale politik (subnet) og den fjerne politik (subnet) kan kun konfigureres med ét subnet hver.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

For at omgå dette problem kan du konfigurere en policy route til manuelt at rute andre subnet ind i tunnelen.

Opret denne policy route:

Bemærk! Det kan være nødvendigt at rute svarpakkerne tilbage gennem tunnelen på den fjerne lokation.

Fejlfinding

Almindelige problemer og løsninger:

  • Forkert Pre-shared Key: Dobbelttjek pre-shared key på begge enheder.
  • Forkert subnetkonfiguration: Sørg for, at korrekte lokale og fjerne subnet er konfigureret i VPN-indstillingerne.
  • Fase 1 og Fase 2 indstillinger:

Vigtige indstillinger, der skal kontrolleres for at sikre, at de er ens på begge lokationer

  • Autentificeringsmetode: Typisk bruges en pre-shared key.
  • Krypteringsalgoritme: Almindelige muligheder inkluderer AES (128/256 bits), 3DES.
  • Hash-algoritme: Typisk SHA-256, SHA-512 eller SHA-1.
  • DH-gruppe (Diffie-Hellman gruppe): Sikrer sikker nøgleudveksling (f.eks. Gruppe 2, Gruppe 14).
  • Levetid: 

For mere detaljerede instruktioner om fejlfinding, se linket:

Zyxel Firewall [VPN] - Fejlfinding af Site-to-Site VPN [Stand-alone-tilstand]
 

 

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
10 ud af 19 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.