Zyxel H Series Firewall [next-hop in Policy Routes] Warum routenbasiertes VPN richtlinienbasiertes VPN ablöst - und warum das eine gute Sache ist

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Mit der Einführung des Zyxel UOS-Betriebssystems und der neuen H-Serie hat Zyxel die Art und Weise, wie VPN-Verbindungen gehandhabt werden, modernisiert. Im Gegensatz zu Geräten früherer Generationen, wie z. B. der USG- und ATP-Serie, unterstützt die H-Serie nicht mehr die Verwendung von VPN-Tunneln als Next-Hop in Policy Routes.

Dabei handelt es sich nicht um eine Einschränkung, sondern vielmehr um eine Umstellung auf eine moderne, schnittstellenbasierte VPN-Architektur, die routenbasiertes VPN mit VTI (Virtual Tunnel Interface) verwendet. In diesem Artikel wird der Unterschied zwischen richtlinienbasiertem und routenbasiertem VPN erläutert, und es wird erklärt, warum dieser neue Ansatz als zuverlässiger, skalierbarer und einfacher zu verwalten gilt.

Vorteile von routenbasiertem VPN mit VTI auf Zyxel USG FLEX H

  • VPN-Tunnel werden als virtuelle Schnittstellen (VTI) erstellt und nehmen genauso wie physische Ports am Routing teil.
  • VPN muss nicht als Next-Hop in Policy Routes definiert werden, was die Komplexität der Konfiguration und das Risiko einer Fehlkonfiguration reduziert.
  • Bessere Integration mit dem zonenbasierten Sicherheitsmodell von Zyxel.

Szenario:

  • Der Hauptsitz verwendet mehrere interne Subnetze:
    • 192.168.10.0/24 - Verwaltung
    • 192.168.20.0/24 - Buchhaltung
    • 192.168.30.0/24 - Lager
  • Die Zweigstelle benötigt Zugriff auf alle diese Netze über VPN.

Probleme mit richtlinienbasiertem VPN:

  • Für jedes Subnetz muss ein eigener Tunnel oder eine eigene Richtlinie erstellt werden.
  • Jede Netzwerkänderung (z. B. ein neues Subnetz) bedeutete eine manuelle Neukonfiguration von Richtlinien und Tunneln.

Verwendung von VTI auf USG FLEX H:

  • Sie erstellen einen einzigen VPN-Tunnel zwischen den Standorten.
  • Konfigurieren Sie statische Standardrouten:
dst: 192.168.10.0/24 → über VTI-Office dst: 192.168.20.0/24 → über VTI-Office dst: 192.168.30.0/24 → über VTI-Office
  • Wenn ein neues Subnetz (z.B. 192.168.40.0/24) hinzugefügt wird - einfach eine Route hinzufügen, keine VPN-Neukonfiguration erforderlich.
  • DieZugriffskontrolle wird über Sicherheitsrichtlinien statt über statische Routenlogik verwaltet.

Einrichten eines IPSec-VPN-Tunnels für uOS

Dieses Beispiel zeigt, wie Sie den VPN-Setup-Assistenten verwenden, um einen routenbasierten Site-to-Site-VPN-Tunnel mit einem ZLD-Gerät als Peer-Gateway zu konfigurieren, der einen sicheren Zugang zwischen den beiden Standorten ermöglicht, sobald der Tunnel eingerichtet ist.

Navigieren Sie zuVPN > IPSec VPN > Site to Site VPN > Add. und gehen Sie alle Schritte des Assistenten durch und füllen Sie die entsprechenden Felder aus:

  • Name:
  • IKE-Version: IKEv2
  • Wählen Sie im Feld Meine Adresse die gewünschte WAN-Schnittstelle aus.
  • Geben Sie in das Feld Peer-Gateway-Adresse die öffentliche IP-Adresse des entfernten Geräts (der Zweigstelle) ein.
  • Zone: IPSec_VPN
  • Wählen Sie als Authentifizierungsmethode Pre-Shared Key (PSK).


Wählen Sie unter Typ: Routenbasiert.

  1. Geben Sie unter Entferntes Subnetz manuell ein: 192.168.88.0/27.
  2. Geben Sie unter VTI-Schnittstelle Folgendes ein: 169.254.63.164/255.255.255.255.
  3. Überprüfen Sie, ob das Diagramm die Verbindung von der lokalen Schnittstelle ge1 zur entfernten IP 93.159.250.211zeigt.

Unter Phase 1 Einstellungen und Phase 2 Einstellungen:

  • Vorschlag: AES128 / SHA1
  • DH-Gruppe: DH2 / DH14

Klicken Sie auf OK.

  • Konfigurieren Sie die VTI-Schnittstelle

Konfiguration > Netzwerk > Schnittstelle > VTI


Einrichten eines IPSec-VPN-Tunnels für ZLD

Navigieren Sie zu Konfiguration > VPN > IPSec VPN > VPN-Gateway.

  • Klicken Sie auf Hinzufügen und markieren Sie Aktivieren.
  • Geben Sie den Namen des VPN-Gateways ein:
  • Wählen Sie IKE-Version: IKEv2
  • Unter Meine Adresse: Wählen Sie Schnittstelle: ge1 (mit Ihrer öffentlichen IP).
  • Unter Peer Gateway Address: Geben Sie die öffentliche IP-Adresse des entfernten Geräts (HQ) ein.
  • Unter Authentifizierung: Wählen Sie Pre-Shared Key und geben Sie denselben Schlüssel ein, der auf dem Flex-Gerät verwendet wird.
  • Konfigurieren Sie die VTI-Schnittstelle

Konfiguration > Netzwerk > Schnittstelle > VTI

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.