Zyxel Firewall H-serien – Tailscale VPN

Die Firewalls der USG FLEX H-Serie von Zyxel unterstützen nun die Integration mit Tailscale, einer VPN-Lösung eines Drittanbieters, die sichere, verschlüsselte Peer-to-Peer-Verbindungen zwischen Geräten und Netzwerken ermöglicht. Damit steht Benutzern zusätzlich zu den integrierten VPN-Funktionen von Zyxel eine flexible und skalierbare VPN-Option zur Verfügung.

Bitte beachten Sie , dass die USG FLEX H-Serie zwar mit Tailscale kompatibel ist, jedoch keine Tailscale-Lizenz enthält. Benutzer, die Tailscale-Dienste nutzen möchten, müssen eine Lizenz direkt von Tailscale erwerben.

Was ist Tailscale VPN?

Tailscale ist eine moderne, sichere Peer-to-Peer-VPN-Lösung, die entwickelt wurde, um die Vernetzung zwischen Geräten einfach und nahtlos zu gestalten. Im Gegensatz zu herkömmlichen VPNs, die auf zentralisierten Servern und komplizierten Konfigurationen basieren, verwendet Tailscale eine Mesh-Netzwerkarchitektur, um Ihre Geräte direkt und sicher zu verbinden – ohne statische IPs, Portweiterleitung oder komplexe Firewall-Regeln.

Im Kern basiert Tailscale auf dem WireGuard-Protokoll, das eine schnelle, verschlüsselte End-to-End-Kommunikation zwischen Geräten gewährleistet – selbst wenn diese hinter NAT-Routern stehen.

Erste Schritte mit Tailscale auf einer Firewall

1. Erstellen Sie ein Konto
   Besuchen Sie die Tailscale-Wissensdatenbank, um sich anzumelden und mit Ihrem Tailscale-Konto zu beginnen.
2. Erstellen Sie einen Authentifizierungsschlüssel
   Melden Sie sich an, gehen Sie zu „Einstellungen“ → „Persönliche Einstellungen“ → „Schlüssel“ und klicken Sie auf „Authentifizierungsschlüssel generieren“. Dieser Schlüssel wird zur Authentifizierung Ihrer Firewall oder anderer Geräte verwendet, wenn Sie sich mit Ihrem Tailscale-Netzwerk verbinden.

3. Geben Sie einen beliebigen Namen ein und deaktivieren Sie aus Sicherheitsgründen die Option „Wiederverwendbar“. Klicken Sie anschließend auf „Schlüssel generieren“.

Kopieren Sie den Schlüssel.

4. Melden Sie sich bei der Firewall an, navigieren Sie zu „VPN → Tailscale“ und fügen Sie den Schlüssel unter „Authentifizierungsschlüssel“ ein.

• Wenn Sie den Schlüssel ändern möchten, klicken Sie bitte auf „Abmelden“.
• Sie können die Zone selbst auswählen. Wir empfehlen die Verwendung der Tailscale-Zone für einige vordefinierte Regeln.

5. Kehren Sie zur Tailscale-Verwaltungsseite zurück. Dort sehen Sie das Firewall-Gerät.

Klicken Sie für alle Clients auf „Disable key expiry“ (Schlüsselablauf deaktivieren), um zu verhindern, dass die Verbindung bei Ablauf unterbrochen wird.

Szenario

Wir haben zwei Subnetze, 192.168.168.0/24 und 192.168.160.0/24, die sich hinter Firewalls befinden. Sowohl die Firewalls als auch Client A sind Teil des Tailscale-VPN-Netzwerks. Die Ziele sind wie folgt:

Fall 1: Client A den Zugriff auf die Subnetze 192.168.168.0/24 und 192.168.160.0/24 ermöglichen
1. 192.168.168.0/24 in Firewall A angekündigt.

2. 192.168.160.0/24 in Firewall B angekündigt.

3. Stellen Sie sicher, dass beide Subnetze im Tailscale-Portal genehmigt wurden.

Testen Sie das Ergebnis
Jetzt weiß Client A, wie der Datenverkehr weitergeleitet wird, und kann auf 192.168.168.1 und 192.168.160.1 zugreifen.

Fall 2: Client A den Zugriff auf das Internet über die Firewall ermöglichen

1. Nehmen wir Firewall A als Beispiel. Aktivieren Sie „Exit Node“ und „Default SNAT“.

2. Stellen Sie sicher, dass der Exit-Node im Tailscale-Portal aktiviert wurde.

3. Client A muss Firewall A als Exit-Knoten auswählen.

Testen Sie das Ergebnis
Der Internetverkehr wird an Firewall A gesendet.

Fall 3: Die Geräte in den Subnetzen 192.168.168.0/24 und 192.168.160.0/24 können miteinander kommunizieren
Sobald Sie die angekündigten Netzwerke fertiggestellt haben, können Sie miteinander kommunizieren.
Testen Sie das Ergebnis
Der Ping-Test von Firewall A

Der Ping-Test von Firewall B