¿Cómo configurar el enrutamiento para clientes L2TP sobre IPSec hacia una oficina remota a través de un túnel IPSec en gateways hardware de la serie ZyWALL USG?
(Usando ZyWALL USG 50 como ejemplo)
Consideremos la siguiente topología:
Hay 2 oficinas, A y B (cada oficina tiene instalado un gateway hardware de la serie ZyWALL USG). Están conectadas mediante un túnel VPN IPSec. Clientes remotos L2TP sobre IPSec se conectan a cada oficina a través de Internet.
La tarea: configurar el enrutamiento para que todos los clientes L2TP sobre IPSec puedan acceder a la subred local de las oficinas A y B, sin importar a qué oficina se conecte el cliente.
La esencia de la configuración se reduce a crear dos rutas en ambos gateways de seguridad:
1. Todo el tráfico (con cualquier dirección IP de origen) dirigido a la subred remota será enrutado dentro del túnel VPN IPSec. Esta ruta es necesaria porque las direcciones IP de los clientes L2TP sobre IPSec no están dentro del rango especificado en Conexiones VPN para la conexión entre las dos oficinas. El tráfico no se enrutará automáticamente dentro del túnel.
2. La segunda ruta indicará al gateway que el tráfico con direcciones IP de destino del rango remoto de clientes L2TP sobre IPSec debe enviarse a través del túnel IPSec entre las oficinas, o que el tráfico destinado a clientes remotos L2TP sobre IPSec debe ser enrutado vía el túnel IPSec entre las oficinas. Sin esta ruta, las respuestas a las solicitudes no serán entregadas.
Revisemos los parámetros de nuestra configuración de prueba:
| ZyWALL USG 50 (Oficina A) | ZyWALL USG 100 (Oficina B) |
wan1: 10.0.0.2 (en una configuración real esto debería ser una IP estática global) | wan1: 10.0.1.2 (en una configuración real esto debería ser una IP estática global) |
Configuración del ZyWALL USG 50 desde la Oficina A
Para configurar las interfaces, vaya a Configuración > Red > Interfaz y seleccione la pestaña Ethernet.
Para crear los objetos necesarios para la configuración del enrutamiento, vaya a Configuración > Objeto > Dirección.
Además de las subredes para los clientes L2TP sobre IPSec, también debe crear un objeto de tipo IP DE INTERFAZ para la interfaz wan1 y un objeto de tipo SUBRED que defina la subred remota de la Oficina B. Esto es necesario para configurar el túnel L2TP sobre IPSec y el túnel IPSec entre oficinas.
El túnel L2TP sobre IPSec y el túnel IPSec entre oficinas deben configurarse en Configuración > VPN > VPN IPSec > Gateway VPN y Configuración > VPN > VPN IPSec > Conexión VPN.
Para configurar las reglas de enrutamiento, vaya a Configuración > Red > Enrutamiento > Ruta de Política.
Configuración de la primera ruta:
Configuración de la segunda ruta:
A continuación, debe configurar el firewall. Para configurar las reglas del firewall, vaya a Configuración > Red > Firewall.
En nuestra configuración, la condición principal para permitir paquetes a través del firewall es vincular ambos túneles a la misma zona, donde se permite el tráfico entre interfaces dentro de la zona (Bloquear intra-zona – no).
También deben existir reglas que permitan el tráfico desde esta zona hacia la red local y desde la red local hacia esta zona.
Configuración del ZyWALL USG 100 desde la Oficina B
Para configurar las interfaces, vaya a Configuración > Red > Interfaz y seleccione la pestaña Ethernet.
Para crear los objetos necesarios para la configuración del enrutamiento, vaya a Configuración > Objeto > Dirección.
Además de las subredes para los clientes L2TP sobre IPSec, también debe crear un objeto de tipo IP DE INTERFAZ para la interfaz wan1 y un objeto de tipo SUBRED que defina la subred remota de la Oficina A. Esto es necesario para configurar el túnel L2TP sobre IPSec y el túnel IPSec entre oficinas.
El túnel L2TP sobre IPSec y el túnel IPSec entre oficinas deben configurarse en Configuración > VPN > VPN IPSec > Gateway VPN y Configuración > VPN > VPN IPSec > Conexión VPN.
Para configurar las reglas de enrutamiento, vaya a Configuración > Red > Enrutamiento > Ruta de Política.
Configuración de la primera ruta:
Configuración de la segunda ruta:
A continuación, debe configurar el firewall. Para configurar las reglas del firewall, vaya a Configuración > Red > Firewall.
En nuestra configuración, la condición principal para permitir paquetes a través del firewall es vincular ambos túneles a la misma zona, donde se permite el tráfico entre interfaces dentro de la zona (Bloquear intra-zona – no).
También deben existir reglas que permitan el tráfico desde esta zona hacia la red local y desde la red local hacia esta zona.
Comentarios
0 comentariosInicie sesión para dejar un comentario.