VPN - Konfigurieren Sie IPSec Site-to-Site VPN hinter einem NAT-Router

Dieses Beispiel zeigt, wie der VPN-Setup-Assistent verwendet wird, um einen IPSec Site to Site VPN-Tunnel zwischen ZyWALL/USG-Geräten zu erstellen. Das Beispiel zeigt, wie der VPN-Tunnel zwischen den einzelnen Standorten konfiguriert wird, während sich ein Standort hinter einem NAT-Router befindet (auch bekannt als Double-NAT). Wenn der IPSec Site to Site VPN-Tunnel konfiguriert ist, kann auf jeden Standort sicher zugegriffen werden.

Inhalt

EINRICHTUNG/SCHRITT-FÜR-SCHRITT-ANLEITUNG:

Einrichten des ZyWALL/USG IPSec VPN-Tunnels des Unternehmensnetzwerks (HQ)

1. Verwenden Sie in der ZyWALL/USG den Assistenten für VPN-Einstellungen , um eine VPN-Regel zu erstellen, die mit der FortiGate verwendet werden kann. Klicken Sie auf Weiter.

Schnelleinrichtung > VPN-Einrichtungsassistent > Willkommen

2. Wählen Sie Express, um eine VPN-Regel mit den Standardeinstellungen für Phase 1 und Phase 2 zu erstellen und einen Pre-Shared Key als Authentifizierungsmethode zu verwenden. Klicken Sie auf Weiter.

Schnelleinrichtung > VPN-Einrichtungsassistent > Assistententyp

3. Geben Sie den Regelnamen ein, der zur Identifizierung dieser VPN-Verbindung (und des VPN-Gateways) verwendet wird. Sie können 1-31 alphanumerische Zeichen verwenden. Bei diesem Wert wird zwischen Groß- und Kleinschreibung unterschieden. Wählen Sie die Regel für Site-to-Site. Klicken Sie auf Weiter.

Schnelleinrichtung > Assistent für die VPN-Einrichtung > Assistententyp > VPN-Einstellungen (Szenario)

4. Konfigurieren Sie Secure Gateway IP als die WAN-IP-Adresse der Zweigstelle (im Beispiel 172.100.30.40). Geben Sie dann einen sicheren Pre-Shared Key ein (8-32 Zeichen).

Legen Sie als Lokale Richtlinie den IP-Adressbereich des mit der ZyWALL/USG (Zentrale) verbundenen Netzwerks und als Remote-Richtlinie den IP-Adressbereich des mit der ZyWALL/USG (Zweigstelle) verbundenen Netzwerks fest.

Schnelleinrichtung > Assistent für die VPN-Einrichtung > Assistententyp > VPN-Einstellungen (Konfiguration)

5. Dieser Bildschirm bietet eine schreibgeschützte Zusammenfassung des VPN-Tunnels. Klicken Sie auf Speichern.

Schnelleinrichtung > VPN-Setup-Assistent > Willkommen > Assistententyp > VPN-Einstellungen (Zusammenfassung)

6. Die Regel ist nun auf der ZyWALL/USG konfiguriert. Die Einstellungen der Phasenregeln werden hier angezeigt

Phase 1: VPN > IPSec VPN > VPN Gateway
Phase 2: VPN > IPSec VPN > VPN-Verbindung
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

7. Konfigurieren Sie Peer ID Type als Any, damit ZyWALL/USG den Identitätsinhalt des entfernten IPSec-Routers nicht überprüfen muss.

KONFIGURATION > VPN > IPSec VPN > VPN Gateway > Erweiterte Einstellungen anzeigen > Authentifizierung > Peer-ID-Typ

Einrichten des ZyWALL/USG IPSec VPN-Tunnels des Unternehmensnetzwerks (Zweigstelle)

1. Erstellen Sie in der ZyWALL/USG mit dem Assistenten für VPN-Einstellungen eine VPN-Regel, die mit dem FortiGate verwendet werden kann. Klicken Sie auf Weiter.

Schnelleinrichtung > VPN-Einrichtungsassistent > Willkommen

2. Wählen Sie Express, um eine VPN-Regel mit den Standardeinstellungen für Phase 1 und Phase 2 zu erstellen und einen Pre-Shared Key als Authentifizierungsmethode zu verwenden. Klicken Sie auf Weiter.

Schnelleinrichtung > VPN-Einrichtungsassistent > Assistententyp

3. Geben Sie den Regelnamen ein, der zur Identifizierung dieser VPN-Verbindung (und des VPN-Gateways) verwendet wird. Sie können 1-31 alphanumerische Zeichen verwenden. Bei diesem Wert wird zwischen Groß- und Kleinschreibung unterschieden. Wählen Sie die Regel für Site-to-Site. Klicken Sie auf Weiter.

Schnelleinrichtung > Assistent für die VPN-Einrichtung > Assistententyp > VPN-Einstellungen (Szenario)

4. Konfigurieren Sie Secure Gateway IP als die WAN-IP-Adresse der Zweigstelle (im Beispiel 172.100.20.30). Geben Sie dann einen sicheren Pre-Shared Key ein (8-32 Zeichen).

Legen Sie als Local Policy den IP-Adressbereich des mit der ZyWALL/USG (HQ) verbundenen Netzwerks und als Remote Policy den IP-Adressbereich des mit der ZyWALL/USG (Branch) verbundenen Netzwerks fest.

Schnelleinrichtung > Assistent für die VPN-Einrichtung > Assistententyp > VPN-Einstellungen (Konfiguration)

5. Dieser Bildschirm bietet eine schreibgeschützte Zusammenfassung des VPN-Tunnels. Klicken Sie auf Speichern.

Schnelleinrichtung > VPN-Setup-Assistent > Willkommen > Assistententyp > VPN-Einstellungen (Zusammenfassung)

6. Die Regel ist nun auf der ZyWALL/USG konfiguriert. Die Einstellungen der Phasenregeln werden hier angezeigt

Phase 1: VPN > IPSec VPN > VPN Gateway
Phase 2: VPN > IPSec VPN > VPN-Verbindung
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

7. Konfigurieren Sie Peer ID Type als Any, damit ZyWALL/USG den Identitätsinhalt des entfernten IPSec-Routers nicht überprüfen muss.

KONFIGURATION > VPN > IPSec VPN > VPN Gateway > Erweiterte Einstellungen anzeigen > Authentifizierung > Peer-ID-Typ

Einrichten des NAT-Routers (in diesem Beispiel mit ZyWALL USG-Gerät)

1. Wählen Sie die Eingangsschnittstelle aus, auf der die Pakete für die NAT-Regel empfangen werden müssen. Legen Sie das Feld User-Defined Original IP fest und geben Sie die übersetzte Ziel-IP-Adresse ein, die diese NAT-Regel unterstützt.

KONFIGURATION > Netzwerk > NAT > Hinzufügen

2. Die IP-Weiterleitung muss an der Firewall für die folgenden IP-Protokolle und UDP-Ports aktiviert sein:

IP-Protokoll = 50 → Wird vom Datenpfad verwendet (ESP)
IP-Protokoll = 51 → Wird vom Datenpfad verwendet (AH)
UDP-Portnummer = 500 → wird von IKE (IPSec-Kontrollpfad) verwendet
UDP-Port-Nummer = 4500 → Wird von NAT-T verwendet (IPsec NAT-Traversal)
KONFIGURATION > Sicherheitsrichtlinie > Richtlinienkontrolle

ÜBERPRÜFUNG:

Testen Sie den IPSec-VPN-Tunnel

1. Gehen Sie zu

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung

Klicken Sie in der oberen Leiste auf Verbinden. Das Symbol für den Verbindungsstatus leuchtet, wenn die Schnittstelle verbunden ist.

2. Überprüfen Sie die Betriebszeit des Tunnels und den eingehenden (Bytes)/ausgehenden (Bytes) Verkehr.

ÜBERWACHUNG > VPN-Überwachung > IPSec

3. Um zu testen, ob ein Tunnel funktioniert, pingen Sie von einem Computer an einem Standort zu einem Computer am anderen Standort. Stellen Sie sicher, dass beide Computer Zugang zum Internet haben (über IPSec-Geräte).

PC hinter ZyWALL/USG (HQ) > Fenster 7 > cmd > ping 192.168.20.33

PC hinter ZyWALL/USG (Zweigstelle) > Fenster 7 > cmd > ping 10.10.10.33

Was könnte schief gehen?

1. Wenn Sie die folgende [info]- oder [error]-Protokollmeldung sehen, überprüfen Sie bitte die ZyWALL/USG Phase 1-Einstellungen. Beide ZyWALL/USG am Hauptsitz und an den Zweigstellen müssen denselben Pre-Shared Key, dieselbe Verschlüsselung, dieselbe Authentifizierungsmethode, dieselbe DH-Schlüsselgruppe und denselben ID-Typ verwenden, um die IKE SA einzurichten.

ÜBERWACHUNG > Protokoll

2. Wenn Sie sehen, dass Phase 1 des IKE SA-Prozesses abgeschlossen ist, aber immer noch die unten stehende [info]-Protokollmeldung erhalten, überprüfen Sie bitte die ZyWALL/USG-Phase-2-Einstellungen. Sowohl ZyWALL/USG am Hauptsitz als auch an den Zweigstellen müssen dasselbe Protokoll, dieselbe Verkapselung, dieselbe Verschlüsselung, dieselbe Authentifizierungsmethode und dasselbe PFS verwenden, um die IKE SA einzurichten.

ÜBERWACHUNG > Protokoll

3. Stellen Sie sicher, dass die Sicherheitsrichtlinien von ZyWALL/USG am Hauptsitz und in der Zweigstelle IPSec VPN-Verkehr zulassen. IKE verwendet den UDP-Port 500, AH verwendet das IP-Protokoll 51 und ESP verwendet das IP-Protokoll 50.

4. Standardmäßig ist NAT-Traversal auf der ZyWALL/USG aktiviert. Bitte stellen Sie sicher, dass das entfernte IPSec-Gerät ebenfalls NAT-Traversal aktiviert hat.

Auch interessant:

Möchten Sie direkt einen Blick auf eines unserer Testgeräte werfen? Schauen Sie doch mal hier in unser virtuelles Lab:

Virtuelles LAB - Standort zu Standort VPN

KB-00167