Zyxel Firewall [VPN] - IPSec Site-To-Site VPN:n määrittäminen Zyxel Firewallissa [Stand-alone-tilassa]

Luotu - Päivitetty
Serhii Boiarynov
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Tässä oppaassa käydään läpi Site-to-Site (S2S) VPN:n perustaminen kahden palomuurin välille käyttäen IKEv2 IPSeciä. Käsitellään sekä manuaalista konfigurointia että sisäänrakennetun ohjatun toiminnon käyttöä sekä VPN:n määrittämistä käsittelemään useita aliverkkoja samassa tunnelissa.

Jos etsit muita VPN-skenaarioita, vinkkejä ja niksejä, tutustu seuraaviin artikkeleihin:

Yleistä:

Nebula:

Toimisto haluaa muodostaa turvallisen yhteyden pääkonttoriinsa Internetin kautta. Molemmissa toimistoissa on USG / ZyWall / ATP / USG FLEX, jolla pääsee Internetiin.

Huomautus: Ennen kuin aloitat VPN:n määrittämisen, varmista, että molemmilla toimipisteillä ei ole samoja aliverkkoja. VPN:n konfigurointi sellaisten toimipisteiden välillä, joiden molemmilla puolilla on sama aliverkko, on teknisesti mahdollista, mutta se ei ole helppoa ja voi johtaa komplikaatioihin päällekkäisten IP-osoitteiden vuoksi. Kun molemmilla sivustoilla on sama aliverkko, tämä voi johtaa reititysristiriitoihin, koska VPN ei tiedä, kummalle puolelle lähettää liikennettä, kun se näkee IP-osoitteen, joka on olemassa molemmissa sijainneissa.

Ohjattu menetelmä VPN:n määrittäminen

Suoraviivaisin ja kätevin tapa muodostaa Site-to-Site-yhteys on käyttää sisäänrakennettua ohjattua toimintoa. Tämän artikkelin ensimmäisessä esimerkissä opastamme sinut prosessin läpi. Jos sinulla on ollut ongelmia VPN:n manuaalisessa määrityksessä, voit myös käyttää ohjatun toiminnon avulla VPN:n perustamiseen ja vertailla asetuksia vianmääritystä varten.

HQ-sivuston asetukset (Wizzard)

  • Kirjaudu sisään HQ-sivuston palomuurin Web GUI -käyttöliittymään ja siirry vasemmanpuoleisen valikon Quick Setup Wizard -osioon.
  • Napsauta "VPN-asetukset"

Voit valita Express (VPN oletusarvoilla) tai Advanced (Manuaalinen salausasetusten määritys jne...). Tämän artikkelin esimerkkinä olemme valinneet "Advanced" -vaihtoehdon.

  • Suosittelemme vahvasti IKEv2:n käyttämistä IKEv1:n sijasta turvallisuuden parantamiseksi, yhteyden muodostamisen nopeuttamiseksi, vakauden parantamiseksi, liikkuvuuden tukemiseksi ja verkon muutosten käsittelyn tehostamiseksi.
  • Anna ymmärrettävä nimi ja valitse Site-to-Site VPN.
  • Napsauta "Seuraava".

Vaiheen 1 asetukset

  • Seuraavassa Anna "Secure Gateway" Tämä on toisen palomuurisi Wan-osoite; tässä tapauksessa se on Branch-sivuston IP-osoite. (Kun aloitat toisen palomuurin määrittämisen, sinun on täytettävä tämän palomuurin WAN-IP-osoite. )
  • Aseta vaiheen 1 ehdotukset haluamallasi tavalla. Valitse turvallisuussyistä vahva salasana ja ehdotuksia, joissa on hyvä salaus/todennus, kuten AES256 salaukseen, SHA512 todentamiseen ja DH14 avainryhmäksi.

Vaiheen 2 asetukset

  • Varmista, että vaiheen 2 asetukset ovat samat kuin vaiheen 1 asetukset. (eli AES256, SHA512).
  • Paikallinen käytäntö ja etäkäytäntö - Paikalliset ja etäkäytännöt määrittävät, mikä liikenne salataan toimipaikan ja toimipaikan välisessä VPN:ssä, mikä takaa turvallisen, tehokkaan ja oikein reititetyn viestinnän verkkojen välillä.

    Huomautus: Tarkista ensin, ettei etäaliverkon IP-osoite ole jo olemassa paikallisessa aliverkossa, jotta vältät kaksinkertaisen IP-osoitteen määrityksen. Kun etäaliverkko on samanlainen kuin yksi paikallinen aliverkko, voit tavoittaa vain paikallisen verkon.
  • Kun kaikki tiedot on syötetty oikein, napsauta "Seuraava", tarkista kaikki asetukset uudelleen, napsauta"Tallenna" ja jatka toisen palomuurin määrittämistä.

Haara-sivuston asetukset (Wizzard)

Toisen toimipisteen palomuuria varten on noudatettava täsmälleen samaa menettelyä. Suurin ero on vain joissakin asetuksissa.

  • Gateway IP on määritettävä pääkonttorin laitteen WAN IP:ksi.
  • Paikallinen käytäntö ja etäkäytäntö ovat myös erilaiset. Alla oleva esimerkki:
    HQ-sivusto
    Paikallinen käytäntö: 192.168.40.1
    Etäkäytäntö: 192.168.70.1
    Haara-alueen sivusto:
    Paikallinen käytäntö: 192.168.70.1
    Etäkäytäntö: 192.168.40.1
  • Jos kaikki on määritetty oikein eikä yhteyden, muiden asetusten tai rakentamisen kanssa ole ongelmia, VPN-yhteys muodostetaan automaattisesti heti asetusten tallentamisen jälkeen.

Manuaalinen menetelmä VPN:n perustaminen

VPN-yhdyskäytävä - HQ-sivuston asetukset manuaalisesti

  • Kirjaudu sisään HQ-sivuston palomuurin Web GUI -käyttöliittymään.
dyn_repppppppp_0
  • Merkitse Enable (Ota käyttöön ) -valintaruutu
  • Anna selkeä nimi
  • Valitse IKE-versio

Suosittelemme vahvasti IKEv2:n käyttämistä IKEv1:n sijasta turvallisuuden parantamiseksi, yhteyden muodostamisen nopeuttamiseksi, vakauden parantamiseksi, liikkuvuuden tukemiseksi ja verkon muutosten käsittelyn tehostamiseksi.

  • Oma osoite (käyttöliittymä) - määrittää wan-IP-osoitteen.
  • Peer Gateway Address - Tämä on toisen palomuurisi WAN-osoite; tässä tapauksessa se on Branch-sivuston IP-osoite. (Kun aloitat toisen palomuurin määrittämisen, sinun on täytettävä tämän palomuurin WAN-IP-osoite.
  • Pre-Shared Key - Luo vahva salasana (käytät tätä avainta myös etälaitteessa).
  • Vaiheen 1 asetukset - Aseta vaiheen 1 ehdotukset haluamallasi tavalla. Valitse turvallisuussyistä vahva salasana ja ehdotuksia, joissa on hyvä salaus/todennus, kuten AES256 salaukseen, SHA512 todentamiseen ja DH14 avainryhmäksi. .

VPN-tunneli - HQ-sivuston asetukset -käsikirja

dyn_repppppppp_1

Ensimmäiseksi sinun on luotava "Etäkäytäntöä" koskeva objekti napsauttamalla "Luo uusi objekti" ja valitsemalla "IPV4-osoite".

  • Nimi - anna selkeä nimi
  • Osoitetyyppi - "SUBNET"
  • Verkko - etäpaikan lähiverkko-osoite
  • Netmask - etäsijainnin aliverkon peite.
  • Napsauta sitten "OK".

Nyt voimme jatkaa muiden kenttien täyttämistä.

  • Merkitse Enable (Ota käyttöön ) -valintaruutu
  • Anna selkeä nimi
  • Valitse Site-To-Site VPN
  • VPN-yhdyskäytävä - Valitse edellisessä vaiheessa luotu VPN-yhdyskäytävä.
  • Local Policy ja Remote Policy ovat erilaisia.
  • Phase 2 Settings - Aseta Phase 2 -ehdotukset haluamallasi tavalla. Valitse turvallisuussyistä vahva salasana ja ehdotuksia, joissa on hyvä salaus/todennus, kuten AES256 salaukseen, SHA512 todentamiseen ja DH14 avainryhmäksi. .
  • Napsauta "Ok"

Nyt voimme aloittaa Branch-sivuston konfiguroinnin. Noudata tässä samoja vaiheita kuin pääkonttorin sivustoa varten, mutta muutamalla tietomuutoksella.

VPN-yhdyskäytävä - sivutoimipaikan asetukset -käsikirja

dyn_repppppppp_2

Toista HQ:n vaiheet VPN-yhdyskäytävän konfiguroimiseksi.

  • Kun konfiguroit VPN-yhdyskäytävää pääkonttorin sivuston palomuurissa, määrittelit sivutoimipaikan WAN-IP:n "Peer Gateway Address Static Address" -kenttään. Nyt kun määrität sivutoimipisteen sijainnin, sinun on määritettävä pääkonttorin sijainnin WAN-IP-osoite "Peer Gateway Address Static Address" -kenttään.
  • Pre-Shared Key (esijakava avain ) - sen on oltava sama molemmissa sivustoissa.

VPN-tunneli - sivutoimipaikan asetukset -käsikirja

dyn_repppppppp_3

Toista pääkonttorin vaiheet VPN-tunnelin määrittämiseksi.

  • Muutamaa eroa lukuun ottamatta määrittelit HQ-sivuston määrityksessä Branch-sivuston verkon Remote Policy -käytännössä. Nyt kun määrität Branch-sivuston, sinun on määritettävä HQ-sivuston verkko Remote Policy -kenttään.

Rastita "Nailed-Up" -vaihtoehto, jotta VPN-tunneli muodostetaan ja yhteys muodostetaan automaattisesti.

Testaa tulos

  • Yhdistä VPN-tunneli manuaalisesti ensimmäisellä kerralla. Sen jälkeen sen pitäisi skannata yhteys uudelleen ja muodostaa yhteys uudelleen automaattisesti.
  • Näet, että VPN-tunneli on yhdistetty, kun maan symboli on vihreä.

Huomautus: Tarkista palomuurisääntöjäsi varmistaaksesi, että oletusarvoiset IPSec-to-Device- ja IPSec-to-Any-säännöt ovat olemassa.
Muuten tunneleiden välinen liikenne saattaa estyä.
Screenshot_2021-05-26_173435.png

Rajoitus - Käytä useita aliverkkoja

Zyxelin palomuureissa on rajoitus, jonka mukaan VPN-tunneliin ei voi valita useita aliverkkoja. Paikalliseen käytäntöön (aliverkko) ja etäkäytäntöön (aliverkko) voidaan määrittää vain yksi aliverkko kummallekin.

dyn_repppppppp_4

Voit kiertää tämän ongelman määrittämällä käytäntöreitin, jolla voit reitittää tunneliin manuaalisesti muita aliverkkoja.

Luo tämä käytäntöreitti:

Huom! Saattaa olla tarpeen reitittää vastauspaketit takaisin tunnelin kautta etäkohteessa.

Vianmääritys

Yleiset ongelmat ja ratkaisut:

  • Virheellinen esijaettu avain: Tarkista jaettu avain kahdesti molemmissa laitteissa.
  • Väärä aliverkon määritys: Varmista, että VPN-asetuksissa on määritetty oikeat paikalliset ja etäaliverkot.
  • Vaiheen 1 ja vaiheen 2 asetukset:

Avainasetukset, jotka on tarkistettava, jotta voidaan varmistaa, että ne ovat samat molemmissa sivustoissa.

  • Todennusmenetelmä: Tyypillisesti käytetään ennalta jaettua avainta.
  • Salausalgoritmi: Yleisiä vaihtoehtoja ovat AES (128/256 bittiä), 3DES.
  • Hash-algoritmi: Tyypillisesti SHA-256 tai SHA-512 tai SHA-1.
  • DH-ryhmä (Diffie-Hellman-ryhmä): Varmistaa turvallisen avaintenvaihdon (esim. ryhmä 2, ryhmä 14).
  • Elinikä:

Tarkemmat ohjeet vianmääritykseen löydät linkistä:

Zyxel Firewall [VPN] - Site-to-Site VPN:n vianmääritys [Stand-alone-tila].

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
10/19 koki tästä olevan apua
Jaa