Zyxel Firewall [VPN] - IPSec Site-To-Site VPN auf Zyxel Firewall konfigurieren [Stand-alone-Modus]

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Diese Anleitung führt Sie durch die Einrichtung eines Site-to-Site (S2S) VPN zwischen zwei Firewalls mit IKEv2 IPSec. Wir behandeln sowohl die manuelle Konfiguration als auch die Verwendung eines integrierten Assistenten sowie die Konfiguration des VPNs für mehrere Subnetze innerhalb desselben Tunnels.

Falls Sie auf der Suche nach anderen VPN-Szenarien, Tipps und Tricks sind, schauen Sie sich die folgenden Artikel an:

Allgemein:

Nebula:

Ein Büro möchte sich über das Internet sicher mit seinem Hauptsitz verbinden. Beide Büros verfügen über eine USG / ZyWall / ATP / USG FLEX für den Zugang zum Internet.

Hinweis: Bevor Sie mit der Konfiguration des VPNs beginnen, stellen Sie sicher, dass die beiden Standorte nicht dieselben Subnetze haben. Die Konfiguration eines VPN zwischen Standorten mit demselben Subnetz auf beiden Seiten ist technisch möglich, aber nicht einfach und kann zu Komplikationen aufgrund sich überschneidender IP-Adressen führen. Wenn beide Standorte das gleiche Subnetz haben, kann dies zu Routing-Konflikten führen, da das VPN nicht weiß, an welche Seite es den Datenverkehr senden soll, wenn es eine IP-Adresse sieht, die an beiden Standorten existiert.

Wizard-Methode VPN einrichten

Die einfachste und bequemste Methode zum Aufbau einer Site-to-Site-Verbindung ist die Verwendung des integrierten Assistenten. Im ersten Beispiel dieses Artikels werden wir Sie durch den Prozess führen. Auch wenn Sie bei der manuellen Konfiguration eines VPNs Probleme hatten, können Sie den Assistenten verwenden, um das VPN einzurichten und die Einstellungen zur Fehlersuche zu vergleichen.

HQ-Site-Einstellungen (Wizzard)

  • Loggen Sie sich in die Web-GUI Ihrer HQ-Site-Firewall ein und gehen Sie im linken Menü auf den Abschnitt Quick Setup Wizard.
  • Klicken Sie auf "VPN-Einrichtung".

Sie können zwischen Express (VPN mit Standardwerten) und Advanced (Manuelle Einstellung der Kryptographie etc...) wählen. Als Beispiel für diesen Artikel haben wir die Option "Erweitert" gewählt.

  • Wir empfehlen dringend die Verwendung von IKEv2 anstelle von IKEv1, um die Sicherheit, die Geschwindigkeit des Verbindungsaufbaus und die Stabilität zu verbessern, die Mobilität zu unterstützen und die Effizienz bei der Handhabung von Netzwerkänderungen zu erhöhen.
  • Geben Sie einen verständlichen Namen ein und wählen Sie Site-to-Site VPN.
  • Klicken Sie auf "Weiter".

Phase 1 Einstellungen

  • Geben Sie auf der nächsten Seite "Secure Gateway" ein. Dies ist die Wan-Adresse Ihrer zweiten Firewall; in diesem Fall ist es die IP-Adresse der Zweigstelle. (Wenn Sie mit der Konfiguration der zweiten Firewall beginnen, müssen Sie die WAN-IP-Adresse dieser Firewall eingeben. )
  • Legen Sie die Vorschläge für Phase 1 wie gewünscht fest. Aus Sicherheitsgründen sollten Sie ein sicheres Kennwort und Vorschläge mit guter Verschlüsselung/Authentifizierung wählen, z. B. AES256 für die Verschlüsselung, SHA512 für die Authentifizierung und DH14 für eine Schlüsselgruppe.

Phase-2-Einstellungen

  • Vergewissern Sie sich, dass die Einstellungen für Phase 2 dieselben sind wie die für Phase 1. (d.h. AES256, SHA512)
  • Lokale Richtlinie und Remote-Richtlinie - Lokale und Remote-Richtlinien legen fest, welcher Datenverkehr in einem Site-to-Site-VPN verschlüsselt wird, um eine sichere, effiziente und korrekt weitergeleitete Kommunikation zwischen Netzwerken zu gewährleisten.

    Hinweis: Bitte prüfen Sie zunächst, ob die IP-Adresse des entfernten Subnetzes nicht bereits im lokalen Subnetz vorhanden ist, um eine doppelte IP-Adresskonfiguration zu vermeiden. Wenn das entfernte Subnetz einem lokalen Subnetz ähnlich ist, können Sie nur das lokale Netz erreichen.
  • Wenn Sie alle Daten korrekt eingegeben haben, klicken Sie auf "Weiter", überprüfen Sie noch einmal alle Einstellungen, klicken Sie auf"Speichern" und fahren Sie mit der Konfiguration der zweiten Firewall fort.

Einstellungen für die Zweigstelle (Wizzard)

Für die Firewall in der zweiten Niederlassung müssen Sie genau dasselbe Verfahren befolgen. Der Hauptunterschied besteht nur in einigen Einstellungen.

  • AlsGateway-IP muss die WAN-IP des Geräts in der Hauptniederlassung angegeben werden.
  • Lokale Richtlinie und Remote-Richtlinie werden ebenfalls unterschiedlich sein. Beispiel unten:
    HQ-Standort
    Lokale Richtlinie: 192.168.40.1
    Entfernte Richtlinie: 192.168.70.1
    Zweigstelle:
    Lokale Richtlinie: 192.168.70.1
    Entfernte Richtlinie: 192.168.40.1
  • Wenn alles korrekt konfiguriert wurde und es keine Probleme mit der Verbindung, anderen Einstellungen oder dem Aufbau gibt, wird sofort nach dem Speichern der Einstellungen automatisch eine VPN-Verbindung aufgebaut.

Manuelle Methode VPN einrichten

VPN-Gateway - HQ-Standort Einstellungen Handbuch

  • Melden Sie sich an Ihrer HQ Site Firewall Web GUI an
Go to Configuration -> VPN -> VPN Ge -> Add
  • Aktivieren Sie das Kontrollkästchen Enable
  • Geben Sie einen eindeutigen Namenan
  • Wählen Sie die IKE-Version

Wir empfehlen dringend die Verwendung von IKEv2 anstelle von IKEv1, um die Sicherheit, die Geschwindigkeit des Verbindungsaufbaus und die Stabilität zu verbessern, die Mobilität zu unterstützen und die Effizienz bei der Handhabung von Netzwerkänderungen zu erhöhen.

  • Meine Adresse (Schnittstelle) - legt Ihre WAN-IP-Adresse fest.
  • Peer-Gateway-Adresse - Dies ist die WAN-Adresse Ihrer zweiten Firewall; in diesem Fall ist es die IP-Adresse der Zweigstelle. (Wenn Sie mit der Konfiguration der zweiten Firewall beginnen, müssen Sie die WAN-IP-Adresse dieser Firewall eingeben.
  • Pre-Shared Key - Erstellen Sie ein sicheres Passwort (Sie werden diesen Schlüssel auch auf dem Remote-Gerät verwenden).
  • Phase-1-Einstellungen - Legen Sie die Phase-1-Vorschläge wie gewünscht fest. Wählen Sie aus Sicherheitsgründen ein sicheres Kennwort und Vorschläge mit guter Verschlüsselung/Authentifizierung, z. B. AES256 für die Verschlüsselung, SHA512 für die Authentifizierung und DH14 für eine Schlüsselgruppe.

VPN-Tunnel - HQ-Standort Einstellungen Handbuch

Configuration > VPN > IPSec VPN > VPN Connection > Add

Als erstes müssen Sie ein Objekt für "Remote Policy" erstellen, indem Sie auf "Create New Object" klicken und "IPV4 Address" auswählen.

  • Name - geben Sie einen eindeutigen Namen ein
  • Adresstyp - "SUBNET"
  • Netzwerk - die lokale Netzwerkadresse des entfernten Standorts
  • Netzmaske - Subnetzmaske des entfernten Standorts
  • Klicken Sie dann auf "OK".

Jetzt können wir mit dem Ausfüllen der anderen Felder fortfahren.

  • Aktivieren Sie das Kontrollkästchen " Aktivieren
  • Geben Sie einen eindeutigen Namenein
  • Wählen Sie Standort-zu-Standort-VPN
  • VPN Gateway - Wählen Sie das im vorherigen Schritt erstellte VPN Gateway
  • Lokale Richtlinie und Remote-Richtlinie werden unterschiedlich sein.
  • Phase-2-Einstellungen - Legen Sie die Phase-2-Vorschläge wie gewünscht fest. Wählen Sie aus Sicherheitsgründen ein sicheres Passwort und Vorschläge mit guter Verschlüsselung/Authentifizierung, wie AES256 für die Verschlüsselung, SHA512 für die Authentifizierung und DH14 für eine Schlüsselgruppe.
  • Klicken Sie auf "Ok".

Jetzt können wir mit der Konfiguration der Zweigstelle beginnen. Führen Sie dazu die gleichen Schritte aus wie für den Hauptsitz, wobei Sie jedoch einige Daten ändern.

VPN Gateway - Einstellungen für die Zweigstelle Handbuch

Configuration > VPN > IPSec VPN > VPN Gateway

Wiederholen Sie die Schritte für den Hauptsitz, um das VPN Gateway zu konfigurieren

  • Bei der Konfiguration des VPN-Gateways auf der Firewall im Hauptquartier haben Sie die WAN-IP Ihrer Zweigstelle im Feld "Peer Gateway Address Static Address" angegeben. Bei der Konfiguration der Zweigstelle müssen Sie nun die WAN-IP Ihres HQ-Standorts im Feld "Peer Gateway Address Static Address" angeben.
  • Pre-Shared Key - muss für beide Standorte identisch sein.

VPN-Tunnel - Einstellungen für die Zweigstelle Handbuch

Configuration > VPN > IPSec VPN > VPN Connection

Wiederholen Sie die Schritte in der Zentrale, um den VPN-Tunnel zu konfigurieren.

  • Bis auf einige wenige Unterschiede haben Sie bei der Konfiguration des Hauptsitzes das Netzwerk der Zweigstelle in der Remote-Richtlinie angegeben. Wenn Sie nun die Zweigstelle konfigurieren, müssen Sie das Netzwerk der Hauptniederlassung im Feld Remote-Richtlinie angeben.

Aktivieren Sie die Option "Festgenagelt", um den VPN-Tunnel aufzubauen und automatisch eine Verbindung herzustellen.

Testen Sie das Ergebnis

  • Verbinden Sie den VPN-Tunnel beim ersten Mal manuell. Danach sollte die Konnektivität erneut geprüft und die Verbindung automatisch wiederhergestellt werden.
  • Sie können sehen, dass der VPN-Tunnel verbunden ist, wenn das Erdungssymbol grün ist.

Hinweis: Bitte überprüfen Sie Ihre Firewall-Regeln, um sicherzustellen, dass die Standardregeln IPSec-to-Device und IPSec-to-Any vorhanden sind.
Andernfalls kann der Verkehr zwischen den Tunneln blockiert werden.
Screenshot_2021-05-26_173435.png

Einschränkung - Mehrere Subnetze verwenden

Auf Zyxel Firewalls gibt es eine Einschränkung, bei der Sie nicht mehrere Subnetze in einem VPN-Tunnel auswählen können. Die lokale Richtlinie (Subnetz) und die entfernte Richtlinie (Subnetz) können nur mit jeweils einem Subnetz konfiguriert werden. 

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Um dieses Problem zu umgehen, können Sie eine Richtlinienroute konfigurieren, um weitere Subnetze manuell in den Tunnel zu leiten.

Erstellen Sie diese Richtlinienroute:

Hinweis! Es könnte erforderlich sein, die Antwortpakete zurück durch den Tunnel auf der Gegenseite zu leiten.

Fehlersuche

Häufige Probleme und Lösungen:

  • Falscher Pre-Shared Key: Überprüfen Sie den Pre-Shared Key auf beiden Geräten doppelt.
  • Falsche Subnetz-Konfiguration: Stellen Sie sicher, dass die richtigen lokalen und entfernten Subnetze in den VPN-Einstellungen konfiguriert sind.
  • Einstellungen für Phase 1 und Phase 2:

Schlüsseleinstellungen, die überprüft werden müssen, um sicherzustellen, dass sie an beiden Standorten identisch sind

  • Authentifizierungsmethode: In der Regel wird ein Pre-Shared Key verwendet.
  • Verschlüsselungsalgorithmus: Übliche Optionen sind AES (128/256 Bit), 3DES.
  • Hash-Algorithmus: In der Regel SHA-256 oder SHA-512 oder SHA-1.
  • DH-Gruppe (Diffie-Hellman-Gruppe): Gewährleistet einen sicheren Schlüsselaustausch (z. B. Gruppe 2, Gruppe 14).
  • Lebenszeit:

Ausführlichere Anweisungen zur Fehlerbehebung finden Sie unter dem Link:

Zyxel Firewall [VPN] - Fehlerbehebung bei Site-to-Site VPN [Stand-alone-Modus]

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
10 von 19 fanden dies hilfreich
Teilen