Zyxel-palomuuri VPN - IPSec Site-To-Site VPN:n määrittäminen Zyxel-palomuuriin itsenäisessä tilassa

Tässä oppaassa käydään läpi Site-to-Site (S2S) VPN:n perustaminen kahden palomuurin välille käyttäen IKEv2 IPSec -protokollaa. Käsittelemme sekä manuaalisen konfiguroinnin että sisäänrakennetun ohjatun toiminnon käytön, sekä miten VPN voidaan määrittää käsittelemään useita aliverkkoja saman tunnelin sisällä.

Jos etsit muita VPN-skenaarioita, vinkkejä ja niksejä, katso seuraavat artikkelit:

Yleistä:

• VPN-ohjeistus - Oikean VPN-tyypin valinta kotitoimistolle (+ hyödyllisiä linkkejä ja opetusohjelmia)
• VPN-konfiguraation provisiointi USG-palomuuriin
• Zyxel-palomuuri [VPN] - Site-to-Site VPN:n vianmääritys [itsenäinen tila]

Nebula:

• Site-to-Site VPN:n rakentaminen Nebula-ympäristössä kahden Nebula-portin (NSG) välillä

Toimisto haluaa yhdistää turvallisesti pääkonttoriinsa Internetin kautta. Molemmilla toimistoilla on USG / ZyWall / ATP / USG FLEX internet-yhteyden käyttöön.

Huomautus: Ennen VPN:n konfiguroinnin aloittamista varmista, että molemmilla sivustoilla ei ole samoja aliverkkoja. VPN:n konfigurointi sivustojen välillä, joilla on samat aliverkot, on teknisesti mahdollista, mutta se ei ole helppoa ja voi johtaa ongelmiin päällekkäisten IP-osoitteiden vuoksi. Kun molemmilla sivustoilla on sama aliverkko, tämä voi aiheuttaa reititysristiriitoja, koska VPN ei tiedä, kummalle puolelle liikenne lähetetään, kun se näkee IP-osoitteen, joka esiintyy molemmissa paikoissa.

Ohjatun toiminnon menetelmä VPN:n määrittämiseen

Helpoin ja kätevin tapa perustaa Site-to-Site-yhteys on käyttää sisäänrakennettua ohjattua toimintoa. Tässä artikkelin ensimmäisessä esimerkissä opastamme sinua prosessin läpi. Lisäksi, jos sinulla on ollut ongelmia VPN:n manuaalisessa konfiguroinnissa, voit käyttää ohjattua toimintoa VPN:n määrittämiseen ja vertailla asetuksia vianmäärityksen helpottamiseksi.

Pääkonttorin sivuston asetukset (Ohjattu toiminto)

• Kirjaudu sisään pääkonttorin palomuurin Web GUI:hin ja siirry vasemman valikon Quick Setup Wizard -osioon.
• Klikkaa "VPN Setup"

Voit valita Express (VPN oletusarvoisilla arvoilla) tai Advanced (kryptografian manuaalinen asetus jne.). Tässä artikkelissa olemme valinneet "Advanced"-vaihtoehdon esimerkkinä.

• Suosittelemme vahvasti IKEv2:n käyttöä IKEv1:n sijaan turvallisuuden parantamiseksi, yhteyden nopeamman muodostamisen, vakauden, liikkuvuuden tuen ja verkkomuutosten tehokkaamman käsittelyn vuoksi.
• Anna ymmärrettävä nimi ja valitse Site-to-Site VPN.
• Klikkaa "Next"

Vaihe 1:n asetukset

• Seuraavaksi syötä “Secure Gateway” Tämä on toisen palomuurin WAN-osoite; tässä tapauksessa se on toimipisteen IP-osoite. (Kun aloitat toisen palomuurin konfiguroinnin, sinun tulee täyttää tämän palomuurin WAN IP -osoite.)
• Aseta Vaihe 1:n ehdot haluamallasi tavalla. Turvallisuussyistä valitse vahva salasana ja ehdot, joissa on hyvä salaus/todennus, kuten AES256 salaukseen, SHA512 todennukseen ja DH14 avainryhmäksi.

Vaihe 2:n asetukset

• Varmista, että Vaihe 2:n asetukset ovat samat kuin Vaihe 1:n asetukset (esim. AES256, SHA512).
• Paikallinen politiikka ja etäpolitiikka - Paikalliset ja etäpolitiikat määrittävät, mikä liikenne salataan site-to-site VPN:ssä varmistaen turvallisen, tehokkaan ja oikein reititetyn viestinnän verkkojen välillä.
  
  Huomautus: Tarkista ensin, ettei etäaliverkon IP-osoite ole jo olemassa paikallisessa aliverkossa kaksinkertaisen IP-osoitteen konfiguroinnin välttämiseksi. Kun etäaliverkko on samanlainen kuin jokin paikallisista aliverkoista, pääset vain paikalliseen verkkoon.

• Kun kaikki tiedot on syötetty oikein, klikkaa “Next”, tarkista asetukset uudelleen, klikkaa "Save" ja jatka toisen palomuurin konfigurointiin.

Toimipisteen sivuston asetukset (Ohjattu toiminto)

Sinun tulee noudattaa täsmälleen samaa menettelyä toisen toimiston palomuurille. Tärkein ero on joissakin asetuksissa.

• Gateway IP on määritettävä pääkonttorin laitteen WAN-IP-osoitteeksi
• Paikallinen politiikka ja etäpolitiikka ovat myös erilaiset. Esimerkki alla:
  Pääkonttori
  Paikallinen politiikka: 192.168.40.1
  Etäpolitiikka: 192.168.70.1
  Toimipiste:
  Paikallinen politiikka: 192.168.70.1
  Etäpolitiikka: 192.168.40.1

• Jos kaikki on konfiguroitu oikein eikä yhteydessä tai muissa asetuksissa ole ongelmia, VPN-yhteys muodostetaan automaattisesti heti asetusten tallentamisen jälkeen.

Manuaalinen menetelmä VPN:n määrittämiseen

VPN Gateway – Pääkonttorin sivuston asetukset manuaalisesti

• Kirjaudu sisään pääkonttorin palomuurin Web GUI:hin

Siirry kohtaan Configuration -> VPN -> VPN Ge -> Add

• Ruksaa Enable-valintaruutu
• Anna selkeä nimi
• Valitse IKE-versio

Suosittelemme vahvasti IKEv2:n käyttöä IKEv1:n sijaan turvallisuuden parantamiseksi, yhteyden nopeamman muodostamisen, vakauden, liikkuvuuden tuen ja verkkomuutosten tehokkaamman käsittelyn vuoksi.

• Oma osoite (liitäntä) – asettaa WAN-IP-osoitteesi.
• Vastapuolen portin osoite – Tämä on toisen palomuurin WAN-osoite; tässä tapauksessa toimipisteen IP-osoite. (Kun aloitat toisen palomuurin konfiguroinnin, sinun tulee täyttää tämän palomuurin WAN IP -osoite.)
• Esijakautettu avain – Luo vahva salasana (samaa avainta käytetään myös etälaitteella).
• Vaihe 1:n asetukset – Aseta Vaihe 1:n ehdot haluamallasi tavalla. Turvallisuussyistä valitse vahva salasana ja ehdot, joissa on hyvä salaus/todennus, kuten AES256 salaukseen, SHA512 todennukseen ja DH14 avainryhmäksi. 

VPN-tunneli – Pääkonttorin sivuston asetukset manuaalisesti

Configuration > VPN > IPSec VPN > VPN Connection > Add

Ensimmäiseksi sinun tulee luoda objekti “Remote Policy” klikkaamalla “Create New Object” ja valitsemalla “IPV4 Address”.

• Nimi – anna selkeä nimi
• Osoitetyyppi – “SUBNET”
• Verkko – etäsivuston paikallinen verkko-osoite
• Aliverkon peite – etäsivuston aliverkon peite
• Klikkaa sen jälkeen “OK”

Voimme nyt jatkaa muiden kenttien täyttämistä.

• Ruksaa Enable-valintaruutu
• Anna selkeä nimi
• Valitse Site-To-Site VPN
• VPN Gateway – Valitse edellisessä vaiheessa luotu VPN Gateway
• Paikallinen politiikka ja etäpolitiikka ovat erilaiset.
• Vaihe 2:n asetukset – Aseta Vaihe 2:n ehdot haluamallasi tavalla. Turvallisuussyistä valitse vahva salasana ja ehdot, joissa on hyvä salaus/todennus, kuten AES256 salaukseen, SHA512 todennukseen ja DH14 avainryhmäksi. 
• Klikkaa "Ok"

Voimme nyt aloittaa toimipisteen konfiguroinnin. Toimi samalla tavalla kuin pääkonttorin kohdalla, mutta joillakin tiedoilla on muutoksia.

VPN Gateway – Toimipisteen sivuston asetukset manuaalisesti

Configuration > VPN > IPSec VPN > VPN Gateway

Toista pääkonttorin vaiheet VPN Gatewayn konfiguroimiseksi

• Kun konfiguroit VPN Gatewaytä pääkonttorin palomuurissa, määritit toimipisteen WAN-IP:n kenttään "Peer Gateway Address Static Address”. Nyt toimipisteen konfiguroinnissa sinun tulee määrittää pääkonttorin WAN-IP samaan kenttään.
• Esijakautettu avain – tulee olla sama molemmilla sivustoilla.

VPN-tunneli – Toimipisteen sivuston asetukset manuaalisesti

Configuration > VPN > IPSec VPN > VPN Connection

Toista pääkonttorin vaiheet VPN-tunnelin konfiguroimiseksi

• Poikkeuksena muutama ero: kun konfiguroit pääkonttoria, määritit etäpolitiikkaan toimipisteen verkon. Nyt toimiessasi toimipisteellä, sinun tulee määrittää etäpolitiikkaan pääkonttorin verkko.

Ruksaa "Nailed-Up"-vaihtoehto VPN-tunnelin muodostamiseksi ja automaattisen yhteyden muodostuksen varmistamiseksi.

Tuloksen testaus

• Yhdistä VPN-tunneli manuaalisesti ensimmäisellä kerralla. Tämän jälkeen se tarkistaa yhteyden ja muodostaa yhteyden automaattisesti uudelleen.
• Voit nähdä, että VPN-tunneli on yhdistetty, kun maapallon symboli on vihreä.

Huomautus: Tarkista palomuurisäännöt varmistaaksesi, että oletussäännöt IPSec-to-Device ja IPSec-to-Any ovat olemassa.
Muuten tunnelien välinen liikenne saattaa estyä.

Rajoitus – Useiden aliverkkojen käyttö

Zyxel-palomuureissa on rajoitus, jossa VPN-tunnelissa ei voi valita useita aliverkkoja. Paikallinen politiikka (aliverkko) ja etäpolitiikka (aliverkko) voidaan konfiguroida vain yhdellä aliverkolla kumpikin.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Tämän ongelman kiertämiseksi voit määrittää reitityspolitiikan, joka ohjaa muita aliverkkoja tunnelin läpi manuaalisesti.

Luo tämä reitityspolitiikka:

Huomio! Saattaa olla tarpeen reitittää vastauspaketit takaisin tunnelin kautta etäsivustolla.

Vianmääritys

Yleisiä ongelmia ja ratkaisuja:

• Väärä esijakautettu avain: Tarkista esijakautettu avain molemmista laitteista huolellisesti.
• Väärä aliverkkojen konfigurointi: Varmista, että VPN-asetuksissa on oikeat paikalliset ja etäaliverkot.
• Vaihe 1:n ja Vaihe 2:n asetukset:

Tärkeät asetukset, jotka tulee tarkistaa, että ne ovat samat molemmilla sivustoilla

• Todennusmenetelmä: Yleensä käytetään esijakautettua avainta.
• Salausalgoritmi: Yleisiä vaihtoehtoja ovat AES (128/256 bittiä), 3DES.
• Tiivistealgoritmi: Yleensä SHA-256, SHA-512 tai SHA-1.
• DH-ryhmä (Diffie-Hellman-ryhmä): Varmistaa turvallisen avaintenvaihdon (esim. ryhmä 2, ryhmä 14).
• Elinaika: 

Tarkempia ohjeita vianmääritykseen löydät seuraavasta linkistä:

Zyxel-palomuuri [VPN] - Site-to-Site VPN:n vianmääritys [itsenäinen tila]