Tärkeä huomautus: |
Tässä esimerkissä näytetään, miten VPN Setup Wizard -apuohjelman avulla luodaan IPSec Site to Site VPN-tunneli ZyWALL/USG-laitteiden välille. Esimerkissä neuvotaan, miten VPN-tunneli määritetään kunkin sivuston välille, kun toinen sivusto on NAT-reitittimen takana (eli Double-NAT). Kun IPSec Site to Site VPN-tunneli on määritetty, kumpaankin sivustoon voidaan päästä turvallisesti.
Sisältö
| 1 IPSec VPN-tunnelin asennus | 2 IPSec VPN-tunnelin asennus | Nat-reitittimen määrittäminen | Testaa tulos |
| 1 Pika-asennus | 1 Pika-asennus | 1 Nat-sääntö | 1 Tarkista yhteys |
| 2 Ohjattu | 2 Ohjattu | 2 IP-tiedonsiirto | 2 Valvonta |
| 3 VPN-asetukset | 3 VPN-asetukset | 3 yritä pingata | |
| 4 Paikallinen/ etäkäytäntö | 4 Paikallinen/ etäkäytäntö | ||
| 5 VPN-asetusten yhteenveto | 5 VPN-asetusten yhteenveto | ||
| 6 Ohjattu asennus valmis | 6 Ohjattu toiminto suoritettu | ||
| 7 Vertaistunnuksen tyyppi | 7 Vertaisverkon ID-tyyppi |
ASENNUS/VAIHEITTAINEN MENETTELY:
ZyWALL/USG IPSec VPN-tunnelin määrittäminen yritysverkkoon (pääkonttori).
1. Luo ZyWALL/USG:ssä ohjatun VPN-asetusten avulla VPN-sääntö, jota voidaan käyttää FortiGaten kanssa. Napsauta Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Tervetuloa
2. Valitse Express, jos haluat luoda VPN-säännön oletusvaiheen 1 ja vaiheen 2 asetuksilla ja käyttää todennusmenetelmänä ennalta jaettua avainta. Napsauta Seuraava.
Pika-asennus > Ohjattu VPN-asennus > Ohjatun toiminnon tyyppi
3. Kirjoita säännön nimi, jota käytetään tämän VPN-yhteyden (ja VPN-yhdyskäytävän) tunnistamiseen. Voit käyttää 1-31 aakkosnumeerista merkkiä. Tämä arvo on suur- ja pienaakkoset huomioiva. Valitse sääntö Site-to-site. Valitse Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (skenaario)
4. Määritä Secure Gateway IP:ksi Branchin WAN-IP-osoite (esimerkissä 172.100.30.40). Kirjoita sitten suojattu esijaettu avain (8-32 merkkiä).
Aseta Local Policy (Paikallinen käytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (pääkonttori) ja Remote Policy (Etäkäytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (haara).
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (konfigurointi).
5. Tässä näytössä on vain luettavissa oleva yhteenveto VPN-tunnelista. Napsauta Tallenna.
Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun toiminnon tyyppi > VPN-asetukset (yhteenveto)
6. Nyt sääntö on määritetty ZyWALL/USG:ssä. Vaiheen sääntöjen asetukset näkyvät tässä
Vaihe 1 : VPN > IPSec VPN > VPN-yhdyskäytävä
Vaihe 2: VPN > IPSec VPN > VPN-yhteys
Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun tyyppi > VPN-asetukset > Ohjattu loppuun.
7. Määritä Peer ID Type -tyypiksi Any, jotta ZyWALL/USG ei tarvitse tarkistaa etä-IPSEC-reitittimen identiteetin sisältöä.
CONFIGURATION > VPN > IPSec VPN > VPN-yhdyskäytävä > Näytä lisäasetukset > Todennus > Peer ID Type (Vertaistunnuksen tyyppi).
ZyWALL/USG:n IPSec VPN-tunnelin määrittäminen yritysverkkoon (sivukonttori)
1. Luo ZyWALL/USG:ssä ohjatun VPN-asetusten toiminnon avulla VPN-sääntö, jota voidaan käyttää FortiGaten kanssa. Napsauta Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Tervetuloa
2. Valitse Express, jos haluat luoda VPN-säännön oletusvaiheen 1 ja vaiheen 2 asetuksilla ja käyttää todennusmenetelmänä ennalta jaettua avainta. Napsauta Seuraava.
Pika-asennus > Ohjattu VPN-asennus > Ohjatun toiminnon tyyppi
3. Kirjoita säännön nimi, jota käytetään tämän VPN-yhteyden (ja VPN-yhdyskäytävän) tunnistamiseen. Voit käyttää 1-31 aakkosnumeerista merkkiä. Tämä arvo on suur- ja pienaakkoset huomioiva. Valitse sääntö Site-to-site. Valitse Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (skenaario)
4. Määritä Secure Gateway IP:ksi Branchin WAN-IP-osoite (esimerkissä 172.100.20.30). Kirjoita sitten suojattu esijaettu avain (8-32 merkkiä).
Aseta Local Policy (Paikallinen käytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (pääkonttori) ja Remote Policy (Etäkäytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (haara).
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (konfigurointi).
5. Tässä näytössä on vain luettavissa oleva yhteenveto VPN-tunnelista. Napsauta Tallenna.
Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun toiminnon tyyppi > VPN-asetukset (yhteenveto)
6. Nyt sääntö on määritetty ZyWALL/USG:ssä. Vaiheen sääntöjen asetukset näkyvät tässä
Vaihe 1 : VPN > IPSec VPN > VPN-yhdyskäytävä
Vaihe 2: VPN > IPSec VPN > VPN-yhteys
Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun tyyppi > VPN-asetukset > Ohjattu loppuun.
7. Määritä Peer ID Type -tyypiksi Any, jotta ZyWALL/USG ei tarvitse tarkistaa etä-IPSEC-reitittimen identiteetin sisältöä.
CONFIGURATION > VPN > IPSec VPN > VPN-yhdyskäytävä > Näytä lisäasetukset > Todennus > Peer ID Type (Vertaistunnuksen tyyppi ).
NAT-reitittimen määrittäminen (tässä esimerkissä käytetään ZyWALL USG -laitetta).
1. Valitse saapuva liitäntä, jolla NAT-säännön paketit on vastaanotettava. Määritä Käyttäjän määrittelemä alkuperäinen IP-kenttä ja Kirjoita käännetty kohde-IP-osoite, jota tämä NAT-sääntö tukee.
ASETUKSET > Verkko > NAT > Lisää.
2. Palomuurissa on otettava käyttöön IP-tiedonsiirto seuraavien IP-protokollien ja UDP-porttien osalta:
IP-protokolla = 50 → Käytetään datapolulla (ESP).
IP-protokolla = 51 → Datapolun käyttämä (AH).
UDP-portti = 500 → IKE:n käyttämä (IPSecin ohjauspolku).
UDP-portin numero = 4500 → NAT-T:n käyttämä (IPsec NAT:n ylitys).
KONFIGUROINTI > Turvallisuuskäytäntö > Käytäntöjen hallinta
VERIFICATION:
Testaa IPSec VPN-tunneli
1. Siirry osoitteeseen
CONFIGURATION > VPN > IPSec VPN > VPN-yhteys.
napsauta Connect (Yhdistä) yläpalkissa. Status connect -kuvake palaa, kun liitäntä on yhdistetty.
2. Tarkista tunnelin Up Time ja Inbound(Bytes)/Outbound(Bytes) Traffic.
MONITOR > VPN-monitori > IPSec.
3. Voit testata, toimiiko tunneli, pingaamalla toisen sivuston tietokoneesta toisen sivuston tietokoneeseen. Varmista, että molemmilla tietokoneilla on Internet-yhteys (IPSec-laitteiden kautta).
PC ZyWALL/USG:n takana (päämaja) > Window 7 > cmd > ping 192.168.20.33.
PC ZyWALL/USG:n takana (Branch) > Window 7 > cmd > ping 10.10.10.33.
Mikä voisi mennä pieleen?
1. Jos näet alla olevan [info]- tai [error]-lokiviestin, tarkista ZyWALL/USG Phase 1 -asetukset. Sekä pääkonttorin että sivukonttorin ZyWALL/USG:n on käytettävä samaa esijaettua avainta, salausta, todennusmenetelmää, DH-avainryhmää ja ID-tyyppiä IKE SA:n muodostamiseen.
MONITOR > Loki
2. Jos näet, että vaiheen 1 IKE SA -prosessi on valmis, mutta saat silti alla olevan [info]-lokiviestin, tarkista ZyWALL/USG:n vaiheen 2 asetukset. Sekä pääkonttorin että sivukonttorin ZyWALL/USG:n on käytettävä samaa protokollaa, kapselointia, salausta, todennusmenetelmää ja PFS:ää IKE SA:n muodostamiseen.
MONITOR > Loki
3. Varmista, että sekä pääkonttorin että sivutoimipaikan ZyWALL/USG:n turvallisuuskäytännöt sallivat IPSec VPN -liikenteen. IKE käyttää UDP-porttia 500, AH IP-protokollaa 51 ja ESP IP-protokollaa 50.
4. NAT traversal on oletusarvoisesti käytössä ZyWALL/USG:ssä, varmista, että myös etä-IPSec-laitteessa on oltava NAT traversal käytössä.
Myös mielenkiintoinen:
Haluatko katsoa suoraan yhtä testilaitteistamme? Tutustu virtuaalilaboratoriossamme:
Virtual LAB - Site to Site VPN
KB-00167