Tärkeä huomautus: |
Artikkelissa on vaiheittainen opas IPSec-sivuston välisen VPN-tunnelin määrittämiseen VPN Setup Wizard -ohjelmalla ZyWALL/USG-laitteissa. Siinä selitetään, miten VPN-tunneli määritetään kahden sivuston välille, myös NAT-reitittimen takana, varmistaen turvallisen pääsyn. Prosessiin kuuluu ohjatun VPN-asetusohjelman käyttäminen VPN-säännön luomiseen oletusvaiheasetuksilla, suojattujen yhdyskäytävän IP-osoitteiden määrittäminen sekä paikallisten ja etäkäytäntöjen asettaminen. Se kattaa myös tarkistusvaiheet tunnelin toimivuuden testaamiseksi ja käsittelee mahdollisia ongelmia, joita voi ilmetä, kuten epäsopivat asetukset tai turvakäytäntöjen määritykset.
Yritysverkon (pääkonttori) ZyWALL/USG IPSec VPN -tunnelin määrittäminen.
1. Luo ZyWALL/USG:ssä ohjatun VPN-asetusten avulla VPN-sääntö, jota voidaan käyttää FortiGaten kanssa. Napsauta Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Tervetuloa
2. Valitse Express, jos haluat luoda VPN-säännön oletusvaiheen 1 ja vaiheen 2 asetuksilla ja käyttää todennusmenetelmänä ennalta jaettua avainta. Napsauta Seuraava.
Pika-asetus > Ohjattu VPN-asetus > Ohjatun toiminnon tyyppi
3. Kirjoita säännön nimi, jota käytetään tämän VPN-yhteyden (ja VPN-yhdyskäytävän) tunnistamiseen. Voit käyttää 1-31 aakkosnumeerista merkkiä. Tämä arvo on suur- ja pienaakkoset huomioiva. Valitse sääntö Site-to-site. Valitse Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (skenaario)
4. Määritä Secure Gateway IP:ksi Branchin WAN-IP-osoite (esimerkissä 172.100.30.40). Kirjoita sitten suojattu esijaettu avain (8-32 merkkiä).
Aseta Local Policy (Paikallinen käytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (pääkonttori) ja Remote Policy (Etäkäytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (haara).
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (konfigurointi).
5. Tässä näytössä on vain luettavissa oleva yhteenveto VPN-tunnelista. Napsauta Tallenna.
Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun toiminnon tyyppi > VPN-asetukset (yhteenveto)
6. Nyt sääntö on määritetty ZyWALL/USG:ssä. Vaiheen sääntöjen asetukset näkyvät tässä
Vaihe 1: VPN > IPSec VPN > VPN-yhdyskäytävä Vaihe 2: VPN > IPSec VPN > VPN-yhteys Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun tyyppi > VPN-asetukset > Ohjattu loppuun.
7. Määritä Peer ID Type -tyypiksi Any, jotta ZyWALL/USG ei tarvitse tarkistaa etä-IPSEC-reitittimen identiteetin sisältöä.
CONFIGURATION > VPN > IPSec VPN > VPN-yhdyskäytävä > Näytä lisäasetukset > Todennus > Peer ID Type (Vertaistunnuksen tyyppi).
ZyWALL/USG:n IPSec VPN-tunnelin määrittäminen yritysverkkoon (sivukonttori)
1. Luo ZyWALL/USG:ssä ohjatun VPN-asetusten toiminnon avulla VPN-sääntö, jota voidaan käyttää FortiGaten kanssa. Napsauta Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Tervetuloa
2. Valitse Express, jos haluat luoda VPN-säännön oletusvaiheen 1 ja vaiheen 2 asetuksilla ja käyttää todennusmenetelmänä ennalta jaettua avainta. Napsauta Seuraava.
Pika-asetus > Ohjattu VPN-asetus > Ohjatun toiminnon tyyppi
3. Kirjoita säännön nimi, jota käytetään tämän VPN-yhteyden (ja VPN-yhdyskäytävän) tunnistamiseen. Voit käyttää 1-31 aakkosnumeerista merkkiä. Tämä arvo on suur- ja pienaakkoset huomioiva. Valitse sääntö Site-to-site. Valitse Seuraava.
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (skenaario)
4. Määritä Secure Gateway IP:ksi Branchin WAN-IP-osoite (esimerkissä 172.100.20.30). Kirjoita sitten suojattu esijaettu avain (8-32 merkkiä).
Aseta Local Policy (Paikallinen käytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (pääkonttori) ja Remote Policy (Etäkäytäntö ) ZyWALL/USG:hen liitetyn verkon IP-osoitealueeksi (haara).
Pika-asetukset > Ohjattu VPN-asetusten määritys > Ohjatun toiminnon tyyppi > VPN-asetukset (konfigurointi).
5. Tässä näytössä on vain luettavissa oleva yhteenveto VPN-tunnelista. Napsauta Tallenna.
Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun toiminnon tyyppi > VPN-asetukset (yhteenveto).
6. Nyt sääntö on määritetty ZyWALL/USG:ssä. Vaiheen sääntöjen asetukset näkyvät tässä
Vaihe 1 : VPN > IPSec VPN > VPN-yhdyskäytävä Vaihe 2: VPN > IPSec VPN > VPN-yhteys Pika-asetus > Ohjattu VPN-asetus > Tervetuloa > Ohjatun tyyppi > VPN-asetukset > Ohjattu loppuun.
7. Määritä Peer ID Type -tyypiksi Any, jotta ZyWALL/USG ei tarvitse tarkistaa etä-IPSEC-reitittimen identiteetin sisältöä.
CONFIGURATION > VPN > IPSec VPN > VPN-yhdyskäytävä > Näytä lisäasetukset > Todennus > Peer ID Type (Vertaistunnuksen tyyppi).
NAT-reitittimen määrittäminen (tässä esimerkissä käytetään ZyWALL USG -laitetta).
Huomautus: Näitä asetuksia on sovellettava vain, jos jokin palomuureistasi on NAT:n takana. Nämä asetukset on määritettävä NAT-reitittimessä, joka sijaitsee ennen palomuuria, joka voi olla ISP-reititin tai toimistoverkon pääreititin. Alla on esimerkki, jossa käytetään yhtä laitteistamme - tämä on vain viitteellinen esimerkki.
1. Valitse saapuva liitäntä, jolla NAT-säännön paketit on vastaanotettava. 2. Määritä Käyttäjän määrittelemä alkuperäinen IP-kenttä ja Kirjoita käännetty kohde-IP-osoite, jota tämä NAT-sääntö tukee.
ASETUKSET > Verkko > NAT > Lisää.
2. Palomuurissa on otettava käyttöön IP-tiedonsiirto seuraavien IP-protokollien ja UDP-porttien osalta:
IP-protokolla = 50 → Käytetään datapolulla (ESP).
IP-protokolla = 51 → Datapolun käyttämä (AH).
UDP-portti = 500 → IKE:n käyttämä (IPSecin ohjauspolku).
UDP-portin numero = 4500 → NAT-T:n käyttämä (IPsec NAT:n ylitys).
KONFIGUROINTI > Turvallisuuskäytäntö > Käytäntöjen hallinta
VERIFICATION:
Testaa IPSec VPN-tunneli
1. Siirry kohtaan CONFIGURATION > VPN > IPSec VPN > VPN-yhteys.
napsauta Connect (Yhdistä) -painiketta yläpalkissa. Status connect -kuvake palaa, kun liitäntä on yhdistetty.
2. Tarkista tunnelin Up Time ja Inbound(Bytes)/Outbound(Bytes) Traffic.
MONITOR > VPN-monitori > IPSec.
3. Voit testata, toimiiko tunneli, pingaamalla toisen sivuston tietokoneesta toisen sivuston tietokoneeseen. Varmista, että molemmilla tietokoneilla on Internet-yhteys (IPSec-laitteiden kautta).
PC ZyWALL/USG:n takana (päämaja) > Window 7 > cmd > ping 192.168.20.33.
PC ZyWALL/USG:n takana (Branch) > Window 7 > cmd > ping 10.10.10.33.
Mikä voisi mennä pieleen?
1. Jos näet alla olevan [info]- tai [error]-lokiviestin, tarkista ZyWALL/USG Phase 1 -asetukset. Sekä pääkonttorin että sivukonttorin ZyWALL/USG:n on käytettävä samaa esijaettua avainta, salausta, todennusmenetelmää, DH-avainryhmää ja ID-tyyppiä IKE SA:n muodostamiseen.
MONITOR > Loki
2. Jos näet, että vaiheen 1 IKE SA -prosessi on valmis, mutta saat silti alla olevan [info]-lokiviestin, tarkista ZyWALL/USG:n vaiheen 2 asetukset. Sekä pääkonttorin että sivukonttorin ZyWALL/USG:n on käytettävä samaa protokollaa, kapselointia, salausta, todennusmenetelmää ja PFS:ää IKE SA:n muodostamiseen.
MONITOR > Loki
3. Varmista, että sekä pääkonttorin että sivutoimipaikan ZyWALL/USG:n turvallisuuskäytännöt sallivat IPSec VPN -liikenteen. IKE käyttää UDP-porttia 500, AH IP-protokollaa 51 ja ESP IP-protokollaa 50.
4. NAT traversal on oletusarvoisesti käytössä ZyWALL/USG:ssä, varmista, että myös etä-IPSec-laitteessa on oltava NAT traversal käytössä.