Zyxel Firewall VPN - Konfigurer IPSec Site-To-Site VPN på Zyxel Firewall i Stand-alone-tilstand

Har du flere spørgsmål? Indsend en anmodning

Denne vejledning guider dig gennem opsætningen af en Site-to-Site (S2S) VPN mellem to firewalls ved brug af IKEv2 IPSec. Vi dækker både manuel konfiguration og brugen af en indbygget guide samt hvordan du konfigurerer VPN’en til at håndtere flere subnet inden for den samme tunnel.

Hvis du leder efter andre VPN-scenarier, tips og tricks, kan du kigge på følgende artikler:

Generelt:

Et kontor ønsker at oprette en sikker forbindelse til sit hovedkontor via internettet. Begge kontorer har en USG / ZyWall / ATP / USG FLEX til internetadgang.

Bemærk: Før du begynder at konfigurere VPN’en, skal du sikre dig, at begge lokationer ikke har de samme subnet. Det er teknisk muligt at konfigurere en VPN mellem steder med samme subnet på begge sider, men det er ikke nemt og kan føre til komplikationer på grund af overlappende IP-adresser. Når begge steder har samme subnet, kan det føre til routingkonflikter, fordi VPN’en ikke ved, hvilken side trafikken skal sendes til, når den ser en IP-adresse, der findes på begge lokationer.

Guide-metode til opsætning af VPN

Den mest ligetil og bekvemme metode til at etablere en Site-to-Site-forbindelse er ved at bruge den indbyggede guide. I det første eksempel i denne artikel vil vi guide dig gennem processen. Hvis du har haft problemer med manuel konfiguration af en VPN, kan du også bruge guiden til at opsætte VPN’en og sammenligne indstillingerne for fejlfinding.

Indstillinger for hovedkontorets lokation (Guide)

  • Log ind på firewallens web-GUI for hovedkontorets lokation og gå til sektionen Quick Setup Wizard i venstremenuen.
  • Klik på "VPN Setup"

Du kan vælge mellem Express (VPN med standardværdier) eller Advanced (manuel indstilling af kryptografi osv.). For at give et eksempel i denne artikel har vi valgt "Advanced"-muligheden.

  • Vi anbefaler kraftigt at bruge IKEv2 i stedet for IKEv1 for at forbedre sikkerheden, fremskynde oprettelsen af forbindelsen, øge stabiliteten, understøtte mobilitet og øge effektiviteten i håndtering af netværksændringer.
  • Giv et forståeligt navn og vælg Site-to-Site VPN.
  • Klik på "Next"

Indstillinger for fase 1

  • Indtast “Secure Gateway”. Dette er WAN-adressen på din anden firewall; i dette tilfælde er det IP-adressen på filialens lokation. (Når du begynder at konfigurere den anden firewall, skal du udfylde WAN-IP-adressen på denne firewall.)
  • Indstil fase 1-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til nøglegruppe.

Indstillinger for fase 2

  • Sørg for, at indstillingerne for fase 2 er de samme som for fase 1 (dvs. AES256, SHA512).
  • Lokal politik og fjernpolitik - Lokal og fjern politik definerer, hvilken trafik der krypteres i en site-to-site VPN, hvilket sikrer sikker, effektiv og korrekt routet kommunikation mellem netværk.

    Bemærk: Kontroller først, at IP-adressen på det fjernede subnet ikke allerede findes på det lokale subnet for at undgå dobbelt IP-adressekonfiguration. Når det fjernede subnet er identisk med et lokalt subnet, vil du kun kunne nå det lokale netværk.
  • Når alle data er indtastet korrekt, klik på “Next”, tjek alle indstillinger igen, klik på "Save" og fortsæt med at konfigurere den anden firewall.

Indstillinger for filialens lokation (Guide)

Du skal følge præcis samme procedure for firewallen i det andet kontor. Den største forskel er kun i nogle få indstillinger.

  • Gateway IP skal angives som WAN-IP på enheden i hovedkontorets lokation
  • Lokal politik og fjernpolitik vil også være forskellige. Eksempel nedenfor:
    Hovedkontor
    Lokal politik: 192.168.40.1
    Fjernpolitik: 192.168.70.1
    Filial:
    Lokal politik: 192.168.70.1
    Fjernpolitik: 192.168.40.1
  • Hvis alt er konfigureret korrekt, og der ikke er problemer med forbindelsen, andre indstillinger eller konstruktionen, vil en VPN-forbindelse blive etableret automatisk umiddelbart efter, at indstillingerne er gemt.

Manuel metode til opsætning af VPN

VPN Gateway - Hovedkontorets lokation, manuel indstilling

  • Log ind på firewallens web-GUI for hovedkontorets lokation
Gå til Configuration -> VPN -> VPN Ge -> Add
  • Sæt flueben i Enable
  • Giv et klart navn
  • Vælg IKE-version

Vi anbefaler kraftigt at bruge IKEv2 i stedet for IKEv1 for at forbedre sikkerheden, fremskynde oprettelsen af forbindelsen, øge stabiliteten, understøtte mobilitet og øge effektiviteten i håndtering af netværksændringer.

  • My Address (Interface) - angiver din WAN-IP-adresse.
  • Peer Gateway Address - Dette er WAN-adressen på din anden firewall; i dette tilfælde er det IP-adressen på filialens lokation. (Når du begynder at konfigurere den anden firewall, skal du udfylde WAN-IP-adressen på denne firewall.)
  • Pre-Shared Key - Opret en stærk adgangskode (du skal også bruge denne nøgle på den fjernede enhed).
  • Indstillinger for fase 1 - Indstil fase 1-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til nøglegruppe. 

VPN Tunnel - Hovedkontorets lokation, manuel indstilling

Configuration > VPN > IPSec VPN > VPN Connection > Add

Det første, du skal gøre, er at oprette et objekt for “Remote Policy” ved at klikke på “Create New Object” og vælge “IPV4 Address.”

  • Navn - indtast et klart navn
  • Address Type - “SUBNET”
  • Netværk - lokalnetværksadressen for den fjernede lokation
  • Netmaske - subnetmaske for den fjernede lokation
  • Klik derefter på “OK

Nu kan vi fortsætte med at udfylde de øvrige felter.

  • Sæt flueben i Enable
  • Giv et klart navn
  • Vælg Site-To-Site VPN
  • VPN Gateway - Vælg den VPN Gateway, der blev oprettet i det foregående trin
  • Lokal politik og fjernpolitik vil være forskellige.
  • Indstillinger for fase 2 - Indstil fase 2-forslag som ønsket. Af sikkerhedsmæssige årsager skal du vælge en stærk adgangskode og forslag med god kryptering/autentificering, såsom AES256 til kryptering, SHA512 til autentificering og DH14 til nøglegruppe. 
  • Klik på "Ok"

Nu kan vi begynde at konfigurere filialens lokation. Følg de samme trin som for hovedkontoret, men med nogle dataændringer.

VPN Gateway - Filialens lokation, manuel indstilling

Configuration > VPN > IPSec VPN > VPN Gateway

Gentag trin for hovedkontoret for at konfigurere VPN Gateway

  • Da du ved konfiguration af VPN Gateway på firewallen i hovedkontorets lokation angav WAN-IP’en for din filial i feltet "Peer Gateway Address Static Address”, skal du nu ved konfiguration af filialens lokation angive WAN-IP’en for hovedkontoret i feltet "Peer Gateway Address Static Address”.
  • Pre-Shared Key - skal være den samme for begge lokationer.

VPN Tunnel - Filialens lokation, manuel indstilling

Configuration > VPN > IPSec VPN > VPN Connection

Gentag trin for hovedkontoret for at konfigurere VPN Tunnel

  • Med undtagelse af nogle få forskelle: Når du konfigurerede hovedkontoret, angav du netværket for filialens lokation i Remote Policy. Når du konfigurerer filialens lokation, skal du angive netværket fra hovedkontoret i Remote Policy-feltet.

Sæt flueben ved "Nailed-Up" for at etablere VPN-tunnelen og forbinde automatisk.

Test resultatet

  • Opret VPN-tunnelen manuelt første gang. Derefter bør den automatisk genfinde forbindelsen og oprette forbindelse igen.
  • Du kan se, at VPN-tunnelen er tilsluttet, når jord-symbolet er grønt.

 

Bemærk: Kontroller dine firewall-regler for at sikre, at standardreglerne IPSec-to-Device og IPSec-to-Any findes.
Ellers kan trafikken mellem tunnelerne blive blokeret.
Screenshot_2021-05-26_173435.png

Begrænsning - Brug af flere subnet

På Zyxel-firewalls er der en begrænsning, hvor du ikke kan vælge flere subnet i en VPN-tunnel. Den lokale politik (subnet) og fjernpolitik (subnet) kan kun konfigureres med ét subnet hver.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

For at omgå dette problem kan du manuelt konfigurere en politikrute til at rute andre subnets ind i tunnelen.

Opret denne politikrute:

Bemærk! Det kan være nødvendigt at rute svarpakkerne tilbage gennem tunnelen på den fjernede lokation.

Fejlfinding

Almindelige problemer og løsninger:

  • Forkert Pre-shared Key: Dobbelttjek den pre-shared key på begge enheder.
  • Forkert subnetkonfiguration: Sørg for, at de korrekte lokale og fjernede subnet er konfigureret i VPN-indstillingerne.
  • Indstillinger for fase 1 og fase 2:

Vigtige indstillinger, der skal kontrolleres for at sikre, at de er ens på begge lokationer

  • Autentificeringsmetode: Typisk bruges en pre-shared key.
  • Krypteringsalgoritme: Almindelige muligheder inkluderer AES (128/256 bits), 3DES.
  • Hash-algoritme: Typisk SHA-256 eller SHA-512 eller SHA-1.
  • DH-gruppe (Diffie-Hellman-gruppe): Sikrer sikker nøgleudveksling (f.eks. gruppe 2, gruppe 14).
  • Levetid: 

For mere detaljerede instruktioner om fejlfinding, se linket:

Zyxel Firewall [VPN] - Fejlfinding af Site-to-Site VPN [Stand-alone-tilstand]
 

 

Artikler i denne sektion

Var denne artikel en hjælp?
10 ud af 19 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.