Kuinka määrittää reititys L2TP over IPSec -asiakkaille etätoimistoon IPSec-tunnelin kautta ZyWALL USG -sarjan laitteistoreitittimillä?
(Käytetään esimerkkinä ZyWALL USG 50:ta)
Tarkastellaan seuraavaa topologiaa:
On kaksi toimistoa, A ja B (kummassakin toimistossa on ZyWALL USG -sarjan laitteistoreititin asennettuna). Ne on yhdistetty IPSec VPN -tunnelilla. Etä-L2TP over IPSec -asiakkaat yhdistävät kumpaankin toimistoon internetin kautta.
Tehtävä: määrittää reititys siten, että kaikki L2TP over IPSec -asiakkaat voivat käyttää toimistojen A ja B paikallisia aliverkkoja riippumatta siitä, mihin toimistoon asiakas on yhdistänyt.
Määrityksen ydin on luoda molemmille suojausreitittimille kaksi reittiä:
1. Kaikki liikenne (mistä tahansa lähde-IP-osoitteesta) kohdeverkkoon ohjataan IPSec VPN -tunnelin kautta. Tämä reitti on tarpeen, koska L2TP over IPSec -asiakkaiden IP-osoitteet eivät kuulu VPN-yhteydet -kohdassa määriteltyyn osoitealueeseen kahden toimiston välisessä yhteydessä. Liikennettä ei automaattisesti ohjata tunnelin läpi.
2. Toinen reitti kertoo reitittimelle, että liikenne, jonka kohde-IP-osoitteet ovat etätoimiston L2TP over IPSec -asiakkaiden osoitealueelta, tulee lähettää toimistojen välisen IPSec-tunnelin kautta, tai että etä-L2TP over IPSec -asiakkaille tarkoitettu liikenne reititetään toimistojen välisen IPSec-tunnelin kautta. Ilman tätä reittiä pyynnöille annettavat vastaukset eivät saavu perille.
Katsotaan testiasetuksemme parametreja:
| ZyWALL USG 50 (Toimisto A) | ZyWALL USG 100 (Toimisto B) |
wan1: 10.0.0.2 (todellisessa asetuksessa tämän tulisi olla globaali staattinen IP-osoite) | wan1: 10.0.1.2 (todellisessa asetuksessa tämän tulisi olla globaali staattinen IP-osoite) |
ZyWALL USG 50:n määritys Toimisto A:sta
Rajapintojen määrittämiseksi siirry kohtaan Configuration > Network > Interface ja valitse Ethernet-välilehti.
Reitityksen määritykseen tarvittavien objektien luomiseksi siirry kohtaan Configuration > Object > Address.
L2TP over IPSec -asiakkaiden aliverkkojen lisäksi sinun tulee luoda INTERFACE IP-tyyppinen objekti wan1-rajapinnalle sekä SUBNET-tyyppinen objekti, joka määrittelee Toimisto B:n etäverkon. Tämä on tarpeen L2TP over IPSec -tunnelin ja toimistojen välisen IPSec-tunnelin määrittämiseksi.
L2TP over IPSec -tunneli ja toimistojen välinen IPSec-tunneli määritetään kohdissa Configuration > VPN > IPSec VPN > VPN Gateway ja Configuration > VPN > IPSec VPN > VPN Connection.
Reitityssääntöjen määrittämiseksi siirry kohtaan Configuration > Network > Routing > Policy Route.
Ensimmäisen reitin asetukset:
Toisen reitin asetukset:
Seuraavaksi sinun tulee määrittää palomuuri. Palomuurisääntöjen määritykseen siirry kohtaan Configuration > Network > Firewall.
Asetuksessamme pääehtona pakettien sallimiselle palomuurin läpi on molempien tunnelien sitominen samaan vyöhykkeeseen, jossa liikenne vyöhykkeen rajapintojen välillä on sallittu (Block Intra-zone – no).
Lisäksi tulee olla säännöt, jotka sallivat liikenteen tältä vyöhykkeeltä paikallisverkkoon ja paikallisverkosta tälle vyöhykkeelle.
ZyWALL USG 100:n määritys Toimisto B:stä
Rajapintojen määrittämiseksi siirry kohtaan Configuration > Network > Interface ja valitse Ethernet-välilehti.
Reitityksen määritykseen tarvittavien objektien luomiseksi siirry kohtaan Configuration > Object > Address.
L2TP over IPSec -asiakkaiden aliverkkojen lisäksi sinun tulee luoda INTERFACE IP-tyyppinen objekti wan1-rajapinnalle sekä SUBNET-tyyppinen objekti, joka määrittelee Toimisto A:n etäverkon. Tämä on tarpeen L2TP over IPSec -tunnelin ja toimistojen välisen IPSec-tunnelin määrittämiseksi.
L2TP over IPSec -tunneli ja toimistojen välinen IPSec-tunneli määritetään kohdissa Configuration > VPN > IPSec VPN > VPN Gateway ja Configuration > VPN > IPSec VPN > VPN Connection.
Reitityssääntöjen määrittämiseksi siirry kohtaan Configuration > Network > Routing > Policy Route.
Ensimmäisen reitin asetukset:
Toisen reitin asetukset:
Seuraavaksi sinun tulee määrittää palomuuri. Palomuurisääntöjen määritykseen siirry kohtaan Configuration > Network > Firewall.
Asetuksessamme pääehtona pakettien sallimiselle palomuurin läpi on molempien tunnelien sitominen samaan vyöhykkeeseen, jossa liikenne vyöhykkeen rajapintojen välillä on sallittu (Block Intra-zone – no).
Lisäksi tulee olla säännöt, jotka sallivat liikenteen tältä vyöhykkeeltä paikallisverkkoon ja paikallisverkosta tälle vyöhykkeelle.
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.