Hvordan konfigureres routing for L2TP over IPSec-klienter til et fjernkontor via en IPSec-tunnel på ZyWALL USG-seriens hardware-gateways?
(Brug af ZyWALL USG 50 som eksempel)
Lad os betragte følgende topologi:
Der er 2 kontorer, A og B (hver kontor har en ZyWALL USG-serie hardware-gateway installeret). De er forbundet via en IPSec VPN-tunnel. Fjern-L2TP over IPSec-klienter forbinder til hvert kontor via internettet.
Opgaven: konfigurer routing, så alle L2TP over IPSec-klienter kan få adgang til det lokale subnet i kontorerne A og B, uanset hvilket kontor klienten forbinder til.
| ZyWALL USG 50 (Kontor A) | ZyWALL USG 100 (Kontor B) |
wan1: 10.0.0.2 (i en reel opsætning bør dette være en global statisk IP-adresse) | wan1: 10.0.1.2 (i en reel opsætning bør dette være en global statisk IP-adresse) |
Konfigurering af ZyWALL USG 50 fra Kontor A
For at konfigurere interfaces, gå til Configuration > Network > Interface og vælg fanen Ethernet.
For at oprette de objekter, der er nødvendige for routingkonfigurationen, gå til Configuration > Object > Address.
Ud over subnettene for L2TP over IPSec-klienter skal du også oprette et objekt af typen INTERFACE IP for wan1-interfacet og et objekt af typen SUBNET, der definerer det fjernede subnet for Kontor B. Dette er nødvendigt for konfigurationen af L2TP over IPSec-tunnelen og IPSec-tunnelen mellem kontorerne.
L2TP over IPSec-tunnelen og IPSec-tunnelen mellem kontorerne bør konfigureres i Configuration > VPN > IPSec VPN > VPN Gateway og Configuration > VPN > IPSec VPN > VPN Connection.
For at konfigurere routingregler, gå til Configuration > Network > Routing > Policy Route.
Indstillinger for den første rute:
Indstillinger for den anden rute:
Dernæst skal du konfigurere firewall. For at konfigurere firewallregler, gå til Configuration > Network > Firewall.
I vores opsætning er hovedbetingelsen for at tillade pakker gennem firewall at binde begge tunneler til samme zone, hvor trafik mellem interfaces i zonen er tilladt (Block Intra-zone – no).
Der skal også være regler, der tillader trafik fra denne zone til det lokale netværk og fra det lokale netværk til denne zone.
Konfigurering af ZyWALL USG 100 fra Kontor B
For at konfigurere interfaces, gå til Configuration > Network > Interface og vælg fanen Ethernet.
For at oprette de objekter, der er nødvendige for routingkonfigurationen, gå til Configuration > Object > Address.
Ud over subnettene for L2TP over IPSec-klienter skal du også oprette et objekt af typen INTERFACE IP for wan1-interfacet og et objekt af typen SUBNET, der definerer det fjernede subnet for Kontor A. Dette er nødvendigt for konfigurationen af L2TP over IPSec-tunnelen og IPSec-tunnelen mellem kontorerne.
L2TP over IPSec-tunnelen og IPSec-tunnelen mellem kontorerne bør konfigureres i Configuration > VPN > IPSec VPN > VPN Gateway og Configuration > VPN > IPSec VPN > VPN Connection.
For at konfigurere routingregler, gå til Configuration > Network > Routing > Policy Route.
Indstillinger for den første rute:
Indstillinger for den anden rute:
Dernæst skal du konfigurere firewall. For at konfigurere firewallregler, gå til Configuration > Network > Firewall.
I vores opsætning er hovedbetingelsen for at tillade pakker gennem firewall at binde begge tunneler til samme zone, hvor trafik mellem interfaces i zonen er tilladt (Block Intra-zone – no).
Der skal også være regler, der tillader trafik fra denne zone til det lokale netværk og fra det lokale netværk til denne zone.
Kommentarer
0 kommentarerLog ind for at kommentere.