Wie konfiguriert man das Routing für L2TP over IPSec-Clients zu einem Remote-Büro über einen IPSec-Tunnel auf ZyWALL USG Serien-Hardware-Gateways?
(Verwendung des ZyWALL USG 50 als Beispiel)
Betrachten wir folgende Topologie:
Es gibt 2 Büros, A und B (in jedem Büro ist ein ZyWALL USG Serien-Hardware-Gateway installiert). Sie sind durch einen IPSec VPN-Tunnel verbunden. Remote L2TP over IPSec-Clients verbinden sich über das Internet mit jedem Büro.
Die Aufgabe: Routing so konfigurieren, dass alle L2TP over IPSec-Clients auf das lokale Subnetz der Büros A und B zugreifen können, unabhängig davon, mit welchem Büro sich der Client verbindet.
Der Kern der Konfiguration besteht darin, auf beiden Sicherheits-Gateways zwei Routen zu erstellen:
1. Der gesamte Datenverkehr (mit beliebigen Quell-IP-Adressen), der an das entfernte Subnetz gerichtet ist, wird in den IPSec VPN-Tunnel geleitet. Diese Route ist notwendig, weil die IP-Adressen der L2TP over IPSec-Clients nicht im Bereich liegen, der in VPN-Verbindungen für die Verbindung zwischen den beiden Büros angegeben ist. Der Datenverkehr wird nicht automatisch in den Tunnel geleitet.
2. Die zweite Route weist das Gateway an, dass Datenverkehr mit Ziel-IP-Adressen aus dem entfernten L2TP over IPSec-Client-Bereich durch den IPSec-Tunnel zwischen den Büros gesendet werden soll bzw. Datenverkehr, der für entfernte L2TP over IPSec-Clients bestimmt ist, über den IPSec-Tunnel zwischen den Büros geroutet werden muss. Ohne diese Route werden Antworten auf Anfragen nicht zugestellt.
Schauen wir uns die Parameter unseres Test-Setups an:
| ZyWALL USG 50 (Büro A) | ZyWALL USG 100 (Büro B) |
wan1: 10.0.0.2 (in einer realen Umgebung sollte dies eine globale statische IP-Adresse sein) | wan1: 10.0.1.2 (in einer realen Umgebung sollte dies eine globale statische IP-Adresse sein) |
Konfiguration des ZyWALL USG 50 aus Büro A
Um die Schnittstellen zu konfigurieren, gehen Sie zu Konfiguration > Netzwerk > Schnittstelle und wählen Sie den Reiter Ethernet.
Um die für die Routing-Konfiguration benötigten Objekte zu erstellen, gehen Sie zu Konfiguration > Objekt > Adresse.
Zusätzlich zu den Subnetzen für L2TP over IPSec-Clients müssen Sie auch ein Objekt vom Typ INTERFACE IP für die Schnittstelle wan1 und ein Objekt vom Typ SUBNET erstellen, das das entfernte Subnetz von Büro B definiert. Dies ist notwendig für die Konfiguration des L2TP over IPSec-Tunnels und des IPSec-Tunnels zwischen den Büros.
Der L2TP over IPSec-Tunnel und der IPSec-Tunnel zwischen den Büros sollten unter Konfiguration > VPN > IPSec VPN > VPN Gateway und Konfiguration > VPN > IPSec VPN > VPN Verbindung konfiguriert werden.
Um Routing-Regeln zu konfigurieren, gehen Sie zu Konfiguration > Netzwerk > Routing > Policy Route.
Einstellungen der ersten Route:
Einstellungen der zweiten Route:
Als nächstes müssen Sie die Firewall konfigurieren. Um Firewall-Regeln zu konfigurieren, gehen Sie zu Konfiguration > Netzwerk > Firewall.
In unserem Setup ist die Hauptbedingung für das Zulassen von Paketen durch die Firewall, dass beide Tunnel an dieselbe Zone gebunden sind, in der der Verkehr zwischen Schnittstellen in der Zone erlaubt ist (Block Intra-zone – nein).
Es sollten auch Regeln vorhanden sein, die den Verkehr von dieser Zone zum lokalen Netzwerk und vom lokalen Netzwerk zu dieser Zone erlauben.
Konfiguration des ZyWALL USG 100 aus Büro B
Um die Schnittstellen zu konfigurieren, gehen Sie zu Konfiguration > Netzwerk > Schnittstelle und wählen Sie den Reiter Ethernet.
Um die für die Routing-Konfiguration benötigten Objekte zu erstellen, gehen Sie zu Konfiguration > Objekt > Adresse.
Zusätzlich zu den Subnetzen für L2TP over IPSec-Clients müssen Sie auch ein Objekt vom Typ INTERFACE IP für die Schnittstelle wan1 und ein Objekt vom Typ SUBNET erstellen, das das entfernte Subnetz von Büro A definiert. Dies ist notwendig für die Konfiguration des L2TP over IPSec-Tunnels und des IPSec-Tunnels zwischen den Büros.
Der L2TP over IPSec-Tunnel und der IPSec-Tunnel zwischen den Büros sollten unter Konfiguration > VPN > IPSec VPN > VPN Gateway und Konfiguration > VPN > IPSec VPN > VPN Verbindung konfiguriert werden.
Um Routing-Regeln zu konfigurieren, gehen Sie zu Konfiguration > Netzwerk > Routing > Policy Route.
Einstellungen der ersten Route:
Einstellungen der zweiten Route:
Als nächstes müssen Sie die Firewall konfigurieren. Um Firewall-Regeln zu konfigurieren, gehen Sie zu Konfiguration > Netzwerk > Firewall.
In unserem Setup ist die Hauptbedingung für das Zulassen von Paketen durch die Firewall, dass beide Tunnel an dieselbe Zone gebunden sind, in der der Verkehr zwischen Schnittstellen in der Zone erlaubt ist (Block Intra-zone – nein).
Es sollten auch Regeln vorhanden sein, die den Verkehr von dieser Zone zum lokalen Netzwerk und vom lokalen Netzwerk zu dieser Zone erlauben.
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.