Zyxel Firewall VPN - IPSec Site-to-Site VPN auf Zyxel Firewall im Stand-alone-Modus konfigurieren

Diese Anleitung führt Sie durch die Einrichtung eines Site-to-Site (S2S) VPN zwischen zwei Firewalls unter Verwendung von IKEv2 IPSec. Wir behandeln sowohl die manuelle Konfiguration als auch die Nutzung eines integrierten Assistenten sowie die Konfiguration des VPNs zur Handhabung mehrerer Subnetze innerhalb desselben Tunnels.

Falls Sie nach anderen VPN-Szenarien, Tipps und Tricks suchen, werfen Sie einen Blick auf die folgenden Artikel:

Allgemein:

• VPN-Richtlinie – Auswahl des richtigen VPN-Typs für Ihr Home Office (+ nützliche Links & Tutorials)
• VPN-Konfigurationsbereitstellung auf einer USG-Firewall
• Zyxel Firewall [VPN] – Fehlerbehebung bei Site-to-Site VPN [Stand-alone-Modus]

Nebula:

• Aufbau eines Site-to-Site VPN in Nebula zwischen zwei Nebula Gateways (NSG)

Ein Büro möchte sich sicher über das Internet mit seiner Zentrale verbinden. Beide Büros verfügen über eine USG / ZyWall / ATP / USG FLEX, um auf das Internet zuzugreifen. 

Hinweis: Bevor Sie mit der VPN-Konfiguration beginnen, stellen Sie sicher, dass beide Standorte nicht dieselben Subnetze verwenden. Die Konfiguration eines VPNs zwischen Standorten mit identischen Subnetzen ist technisch möglich, aber nicht einfach und kann aufgrund überlappender IP-Adressen zu Komplikationen führen. Wenn beide Standorte dasselbe Subnetz verwenden, kann dies zu Routing-Konflikten führen, da das VPN nicht weiß, zu welcher Seite der Datenverkehr gesendet werden soll, wenn eine IP-Adresse an beiden Standorten existiert.

Assistenten-Methode zur VPN-Einrichtung

Die einfachste und bequemste Methode, eine Site-to-Site-Verbindung herzustellen, ist die Verwendung des integrierten Assistenten. Im ersten Beispiel dieses Artikels führen wir Sie durch den Prozess. Falls Sie Probleme bei der manuellen VPN-Konfiguration hatten, können Sie den Assistenten nutzen, um das VPN einzurichten und die Einstellungen zum Zweck der Fehlerbehebung zu vergleichen.

HQ-Standort-Einstellungen (Assistent)

• Melden Sie sich an der Web-GUI der Firewall Ihres HQ-Standorts an und gehen Sie im linken Menü zum Abschnitt Quick Setup Wizard.
• Klicken Sie auf „VPN Setup“

Sie können zwischen Express (VPN mit Standardwerten) oder Erweitert (manuelle Einstellung der Kryptografie etc.) wählen. Für das Beispiel in diesem Artikel haben wir die Option „Erweitert“ gewählt.

• Wir empfehlen dringend, IKEv2 anstelle von IKEv1 zu verwenden, um die Sicherheit zu verbessern, die Verbindungsherstellung zu beschleunigen, die Stabilität zu erhöhen, Mobilität zu unterstützen und die Effizienz bei der Handhabung von Netzwerkänderungen zu steigern.
• Vergeben Sie einen verständlichen Namen und wählen Sie Site-to-Site VPN.
• Klicken Sie auf „Weiter“

Phase-1-Einstellungen

• Geben Sie als nächstes „Sicheres Gateway“ ein. Dies ist die WAN-Adresse Ihrer zweiten Firewall; in diesem Fall ist es die IP-Adresse des Zweigstellen-Standorts. (Wenn Sie mit der Konfiguration der zweiten Firewall beginnen, müssen Sie die WAN-IP-Adresse dieser Firewall eingeben.)
• Legen Sie die Phase-1-Vorschläge nach Wunsch fest. Aus Sicherheitsgründen wählen Sie ein starkes Passwort und Vorschläge mit guter Verschlüsselung/Authentifizierung, z. B. AES256 für die Verschlüsselung, SHA512 für die Authentifizierung und DH14 für die Schlüsselgruppe.

Phase-2-Einstellungen

• Stellen Sie sicher, dass die Phase-2-Einstellungen mit den Phase-1-Einstellungen übereinstimmen (z. B. AES256, SHA512).
• Lokale Richtlinie und Remote-Richtlinie – Lokale und Remote-Richtlinien definieren, welcher Datenverkehr in einem Site-to-Site VPN verschlüsselt wird und gewährleisten eine sichere, effiziente und korrekt geroutete Kommunikation zwischen Netzwerken.
  
  Hinweis: Bitte prüfen Sie zuerst, ob die IP-Adresse des entfernten Subnetzes nicht bereits im lokalen Subnetz existiert, um eine doppelte IP-Adresskonfiguration zu vermeiden. Wenn das entfernte Subnetz mit einem lokalen Subnetz identisch ist, können Sie nur das lokale Netzwerk erreichen.

• Nachdem alle Daten korrekt eingegeben wurden, klicken Sie auf „Weiter“, überprüfen Sie alle Einstellungen erneut, klicken Sie auf „Speichern“ und fahren Sie mit der Konfiguration der zweiten Firewall fort.

Zweigstellen-Standort-Einstellungen (Assistent)

Sie müssen genau dieselbe Vorgehensweise für die Firewall im zweiten Büro befolgen. Der Hauptunterschied besteht nur in einigen Einstellungen.

• Gateway-IP muss als WAN-IP des Geräts im HQ-Standort angegeben werden.
• Lokale Richtlinie und Remote-Richtlinie sind ebenfalls unterschiedlich. Beispiel unten:
  HQ-Standort
  Lokale Richtlinie: 192.168.40.1
  Remote-Richtlinie: 192.168.70.1
  Zweigstellen-Standort:
  Lokale Richtlinie: 192.168.70.1
  Remote-Richtlinie: 192.168.40.1

• Wenn alles korrekt konfiguriert wurde und keine Probleme mit der Verbindung oder anderen Einstellungen vorliegen, wird die VPN-Verbindung unmittelbar nach dem Speichern der Einstellungen automatisch hergestellt.

Manuelle Methode zur VPN-Einrichtung

VPN-Gateway – HQ-Standort Einstellungen manuell

• Melden Sie sich an der Web-GUI Ihrer HQ-Standort-Firewall an

Gehen Sie zu Konfiguration -> VPN -> VPN Ge -> Hinzufügen

• Aktivieren Sie das Kontrollkästchen Aktivieren
• Vergeben Sie einen klaren Namen
• Wählen Sie die IKE-Version

Wir empfehlen dringend, IKEv2 anstelle von IKEv1 zu verwenden, um die Sicherheit zu verbessern, die Verbindungsherstellung zu beschleunigen, die Stabilität zu erhöhen, Mobilität zu unterstützen und die Effizienz bei der Handhabung von Netzwerkänderungen zu steigern.

• Meine Adresse (Schnittstelle) – legt Ihre WAN-IP-Adresse fest.
• Peer-Gateway-Adresse – Dies ist die WAN-Adresse Ihrer zweiten Firewall; in diesem Fall die IP-Adresse des Zweigstellen-Standorts. (Wenn Sie mit der Konfiguration der zweiten Firewall beginnen, müssen Sie die WAN-IP-Adresse dieser Firewall eingeben.)
• Pre-Shared Key – Erstellen Sie ein starkes Passwort (diesen Schlüssel verwenden Sie auch auf dem entfernten Gerät).
• Phase-1-Einstellungen – Legen Sie die Phase-1-Vorschläge nach Wunsch fest. Aus Sicherheitsgründen wählen Sie ein starkes Passwort und Vorschläge mit guter Verschlüsselung/Authentifizierung, z. B. AES256 für die Verschlüsselung, SHA512 für die Authentifizierung und DH14 für die Schlüsselgruppe. 

VPN-Tunnel – HQ-Standort Einstellungen manuell

Konfiguration > VPN > IPSec VPN > VPN-Verbindung > Hinzufügen

Als Erstes müssen Sie ein Objekt für die „Remote-Richtlinie“ erstellen, indem Sie „Neues Objekt erstellen“ anklicken und „IPV4-Adresse“ auswählen.

• Name – geben Sie einen klaren Namen ein
• Adress-Typ – „SUBNET“
• Netzwerk – die lokale Netzwerkadresse des entfernten Standorts
• Netzmaske – Subnetzmaske des entfernten Standorts
• Klicken Sie dann auf „OK“

Nun können wir die anderen Felder ausfüllen.

• Aktivieren Sie das Kontrollkästchen Aktivieren
• Vergeben Sie einen klaren Namen
• Wählen Sie Site-to-Site VPN
• VPN-Gateway – Wählen Sie das im vorherigen Schritt erstellte VPN-Gateway aus
• Lokale Richtlinie und Remote-Richtlinie werden unterschiedlich sein.
• Phase-2-Einstellungen – Legen Sie die Phase-2-Vorschläge nach Wunsch fest. Aus Sicherheitsgründen wählen Sie ein starkes Passwort und Vorschläge mit guter Verschlüsselung/Authentifizierung, z. B. AES256 für die Verschlüsselung, SHA512 für die Authentifizierung und DH14 für die Schlüsselgruppe. 
• Klicken Sie auf „OK“

Jetzt können wir mit der Konfiguration des Zweigstellen-Standorts beginnen. Folgen Sie dazu denselben Schritten wie beim HQ-Standort, allerdings mit einigen Datenänderungen.

VPN-Gateway – Zweigstellen-Standort Einstellungen manuell

Konfiguration > VPN > IPSec VPN > VPN-Gateway

Wiederholen Sie die HQ-Schritte zur Konfiguration des VPN-Gateways

• Bei der Konfiguration des VPN-Gateways auf der Firewall im HQ-Standort haben Sie die WAN-IP Ihres Zweigstellen-Standorts im Feld „Peer Gateway Adresse“ (statische Adresse) angegeben. Nun müssen Sie bei der Konfiguration des Zweigstellen-Standorts die WAN-IP Ihres HQ-Standorts im Feld „Peer Gateway Adresse“ (statische Adresse) angeben.
• Pre-Shared Key – muss auf beiden Standorten identisch sein.

VPN-Tunnel – Zweigstellen-Standort Einstellungen manuell

Konfiguration > VPN > IPSec VPN > VPN-Verbindung

Wiederholen Sie die HQ-Schritte zur Konfiguration des VPN-Tunnels

• Bis auf wenige Unterschiede: Bei der Konfiguration des HQ-Standorts haben Sie das Netzwerk des Zweigstellen-Standorts in der Remote-Richtlinie angegeben. Nun müssen Sie bei der Konfiguration des Zweigstellen-Standorts das Netzwerk des HQ-Standorts in der Remote-Richtlinie angeben.

Aktivieren Sie die Option „Nailed-Up“, um den VPN-Tunnel zu etablieren und automatisch zu verbinden.

Ergebnis testen

• Verbinden Sie den VPN-Tunnel beim ersten Mal manuell. Danach sollte die Verbindung automatisch überprüft und wiederhergestellt werden.
• Sie können sehen, dass der VPN-Tunnel verbunden ist, wenn das Erdsymbol grün ist.

Hinweis: Bitte prüfen Sie Ihre Firewall-Regeln, um sicherzustellen, dass die Standardregeln IPSec-to-Device und IPSec-to-Any vorhanden sind.
Andernfalls kann der Datenverkehr zwischen den Tunneln blockiert werden.

Einschränkung – Verwendung mehrerer Subnetze

Bei Zyxel Firewalls gibt es die Einschränkung, dass Sie nicht mehrere Subnetze in einem VPN-Tunnel auswählen können. Die lokale Richtlinie (Subnetz) und die Remote-Richtlinie (Subnetz) können jeweils nur mit einem Subnetz konfiguriert werden.

Konfiguration -> VPN -> IPSec VPN -> VPN-Verbindung -> Richtlinie

Um dieses Problem zu umgehen, können Sie eine Richtlinienroute konfigurieren, um weitere Subnetze manuell in den Tunnel zu routen.

Erstellen Sie diese Richtlinienroute:

Hinweis! Es kann erforderlich sein, die Antwortpakete auf der entfernten Seite ebenfalls über den Tunnel zurückzuleiten.

Fehlerbehebung

Häufige Probleme und Lösungen:

• Falscher Pre-Shared Key: Überprüfen Sie den Pre-Shared Key auf beiden Geräten sorgfältig.
• Falsche Subnetz-Konfiguration: Stellen Sie sicher, dass die korrekten lokalen und entfernten Subnetze in den VPN-Einstellungen konfiguriert sind.
• Phase-1- und Phase-2-Einstellungen:

Wichtige Einstellungen, die auf beiden Seiten identisch sein müssen:

• Authentifizierungsmethode: Typischerweise wird ein Pre-Shared Key verwendet.
• Verschlüsselungsalgorithmus: Übliche Optionen sind AES (128/256 Bit), 3DES.
• Hash-Algorithmus: In der Regel SHA-256, SHA-512 oder SHA-1.
• DH-Gruppe (Diffie-Hellman-Gruppe): Gewährleistet einen sicheren Schlüsselaustausch (z. B. Gruppe 2, Gruppe 14).
• Lebensdauer: 

Für detailliertere Anweisungen zur Fehlerbehebung siehe den Link:

Zyxel Firewall [VPN] – Fehlerbehebung bei Site-to-Site VPN [Stand-alone-Modus]