Zyxel H-sarjan palomuuri [next-hop in Policy Routes] Miksi reittipohjainen VPN korvaa käytäntöpohjaisen VPN:n - ja miksi se on hyvä asia?

Zyxel UOS -käyttöjärjestelmän käyttöönoton ja uuden H-sarjan julkaisun myötä Zyxel on modernisoinut VPN-yhteyksien käsittelytapaa. Toisin kuin aikaisemman sukupolven laitteet, kuten USG- ja ATP-sarjat, H-sarja ei enää tue VPN-tunneleiden käyttämistä seuraavana yhteyshenkilönä Policy Routesissa.

Tämä ei ole rajoitus, vaan pikemminkin siirtyminen kohti nykyaikaista, rajapintapohjaista VPN-arkkitehtuuria, jossa käytetään reittipohjaista VPN:ää VTI:n (Virtual Tunnel Interface) avulla. Tässä artikkelissa selitetään käytäntöpohjaisen ja reittipohjaisen VPN:n välinen ero ja miksi tätä uutta lähestymistapaa pidetään luotettavampana, skaalautuvampana ja helpommin hallittavana.

Reittipohjaisen VPN:n ja VTI:n edut Zyxel USG FLEX H:ssa

• VPN-tunnelit luodaan virtuaaliliitäntöinä (VTI ), ja ne osallistuvat reititykseen aivan kuten fyysiset portit.
• VPN:ää ei tarvitse määritellä seuraavaksi väyläksi Policy Routes -käytännössä, mikä vähentää konfiguroinnin monimutkaisuutta ja virheellisen konfiguroinnin riskiä.
• Parempi integrointi Zyxelin vyöhykepohjaiseen turvallisuusmalliin.

Skenaario:

• Pääkonttori käyttää useita sisäisiä aliverkkoja:
  • 192.168.10.0/24 - Hallinto.
  • 192.168.20.0/24 - kirjanpito
  • 192.168.30.0/24 - Varasto
• Sivukonttorin on päästävä kaikkiin näihin VPN:n kautta.

Ongelmia käytäntöihin perustuvassa VPN:ssä:

• Vaati erillisen tunnelin tai politiikan luomista jokaista aliverkkoa varten.
• Kaikki verkon muutokset (esim. uusi aliverkko) edellyttivät käytäntöjen ja tunneleiden manuaalista uudelleenmääritystä.

VTI:nkäyttäminen USG FLEX H:

• Luodaan yksi VPN-tunneli sivustojen välille.
• Määritä tavalliset staattiset reitit:

dst: 192.168.10.0/24 → VTI-toimiston kautta dst: 192.168.20.0/24 → VTI-toimiston kautta dst: 192.168.30.0/24 → VTI-toimiston kautta.  

• Kun uusi aliverkko (esim. 192.168.40.0/24) lisätään - lisätään vain reitti, VPN:n uudelleenkonfigurointia ei tarvita.
• Pääsynvalvontaa hallitaan turvallisuuskäytäntöjen avulla staattisen reittilogiikan sijaan.

IPSec VPN-tunnelin määrittäminen uOS:lle

Tässä esimerkissä näytetään, miten VPN Setup Wizard -ohjattua VPN-asetusohjelmaa käytetään reittipohjaisen toimipaikkojen välisen VPN-tunnelin määrittämiseen, jossa ZLD-laite toimii vertaisverkkoyhteytenä ja joka mahdollistaa turvallisen pääsyn kahden toimipaikan välillä, kun tunneli on luotu.

Siirry kohtaanVPN > IPSec VPN > Site to Site VPN > Add. ja käy läpi kaikki ohjatun toiminnon vaiheet ja täytä tarvittavat kentät:

• Nimi:
• IKE Version: IKEv2
• Valitse Oma osoite -kentässä haluttu WAN-liitäntä.
• Kirjoita Peer Gateway Address -kenttään etälaitteen (sivukonttorin) julkinen IP-osoite.
• Alue: IPSec_VPN
• Valitse Authentication Method (Todennusmenetelmä) -kenttään Pre-Shared Key (PSK).

Valitse Type (Tyyppi) -kohdassa: Reittipohjainen.

1. Kirjoita Remote Subnet (Etäverkko) -kenttään manuaalisesti: 192.168.88.0/27.
2. Kirjoita VTI-liitäntä-kohtaan: 169.254.63.164/255.255.255.255.
3. Tarkista, että kaaviossa näkyy yhteys paikallisesta liitännästä ge1 etä-IP 93.159.250.211:een.

Kohdassa Phase 1 Settings (Vaiheen 1 asetukset) ja Phase 2 Settings (Vaiheen 2 asetukset):

• Ehdotus: AES128 / SHA1
• DH-ryhmä: DH2 / DH14

Napsauta OK.

• VTI-liitännän määrittäminen

Määritys > Verkko > Liitäntä > VTI

IPSec VPN-tunnelin määrittäminen ZLD:lle

Siirry kohtaan Määritys > VPN > IPSec VPN > VPN-yhdyskäytävä.

• Napsauta Add anf Check Enable.
• Anna VPN-yhdyskäytävän nimi:
• Valitse IKE-versio: IKEv2
• Kohdassa Oma osoite: Valitse Interface: ge1 (julkisella IP-osoitteellasi).
• Kohdassa Peer Gateway Address: Kirjoita etälaitteen (HQ) julkinen IP-osoite.
• Kohdassa Authentication (todennus): Valitse Pre-Shared Key ja syötä sama avain, jota käytetään Flex-laitteessa.

• Määritä VTI-liitäntä

Määritys > Verkko > Liitäntä > VTI