Zyxel Firewall [VPN Routing] - Liikenteen reititys VPN-tunnelista toiseen VPN-sivustoon [VPN Routing]

Luotu - Päivitetty
Serhii Boiarynov
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Tässä artikkelissa selitetään, miten liikenne reititetään site-to-site-tunnelista toiseen tunneliin, jotta se voidaan ohjata site-to-site-yhteyden takana oleviin laitteisiin. Siinä kerrotaan, miten reititetään liikenne sivustolta A sivustolle B päämajan palomuurin/yhdyskäytävän kautta (reititys site-to-site-tunnelin kautta site-to-site-tunnelin kautta), ongelmien/ongelmien vianmääritys, reitityssäännöt, jos haluat, että asiakas-VPN:t tavoittavat palvelimen, joka sijaitsee toisessa sivustossa (client-to-site-tunnelin kautta site-to-site-tunnelin kautta), SecuExtenderin IPSec-konfiguraatio.

Vaihtoehto 1: Liikenteen reitittäminen etä-VPN-tunnelista toiseen site-to-site-VPN:ään.

1) VPN-tunneleiden määrittäminen

Edellytys: Toimipaikkojen välisen yhteyden on oltava jo muodostettu.

Kun tunneli on luotu, yhdistämme sen käyttämällä L2TP:tä IPSecin kautta.

Ohjeita VPN:n perustamiseen on osoitteessa:

VPN - IPSec Site-To-Site VPN:n konfigurointi.

Löydät tietoa L2TP:stä IPSecin välityksellä:

VPN - Configure L2TP over IPSec VPN using PSK [Stand-alone mode].

Prosessin yksinkertaistamiseksi voit käyttää ohjatun toiminnon avulla VPN-tunnelin ja L2TP over IPSecin luomiseen.

2) Reitityskäytäntöjen määrittäminen

Jotta pääkonttorin (HQ) ja sivuston B välinen liikenne voidaan sallia, sinun on määritettävä käytännöt ja reitit VPN-tunnelia varten.

Päämajan palomuurissa:

  1. Luo käytäntöreitti, joka ohjaa L2TP-tunnelista saapuvat pyynnöt Site B -tunneliin. Tämä reitittää saapuvat pyynnöt L2TP-tunnelista HQ-palomuurin kautta Site B -tunneliin.

    • Lähde: L2TP-asiakkaan aliverkko
    • Kohde: Sivuston B aliverkko
    • Next-hop: VPN-tunneli "Site B -tunneli".

Huomaa, että Destination Address on asiakkaamme osoite.

2. Luo käytäntö, joka sallii vastaukset Sivustolta B ja reitittää ne tunneliin Sivustolle B. Tämä on ratkaisevan tärkeää Sivustolta B pääkonttoriin palaavan liikenteen kannalta.

    • Lähde: Mikä tahansa
    • Kohde: L2TP-tunneli
    • Seuraava hyppy: VPN-tunneli "L2TP-tunneli".

Sivustolla B:

  1. Luo myös käytäntöreitti, joka sallii saapuvat pyynnöt pääkonttorista ja ohjaa ne tunneliin sivustolle B. Luo siis käytäntöreitti, joka sallii vastaukset pääkonttorista ja ohjaa ne tunneliin sivustolle B:

Varmista, että epäsymmetrinen reititys on käytössä saumattoman yhteyden muodostamiseksi. Löydät tämän vaihtoehdon täältä:

Configuration > Security Policy > Policy Control

mceclip0.png

Tämän ominaisuuden ottaminen käyttöön aktivoi "kolmioreitin", jolloin palomuuri voi käyttää epäsymmetristä reittitopologiaa verkossa ja estää yhteyden nollaamisen, kun vastauksia tulee takaisin.

Näitä ohjeita noudattamalla voit reitittää tehokkaasti liikennettä VPN-tunneleiden välillä ja ylläpitää sujuvaa ja turvallista yhteyttä pääkonttorin ja sivuston B välillä.

Vaihtoehto 2: Reititys VPN-tunnelista toiseen VPN-sivustoon

1) Reititä liikenne sivustolta A sivustolle B pääkonttorin sivuston kautta.

mceclip9.png

Jos haluat, että Sivusto A tavoittaa Sivuston B ja päinvastoin, sinun on luotava käytäntöreitit kumpaankin palomuuriin, jotta päämajan palomuuri tietää, mihin lähettää saapuvat pyynnöt ja mihin myös vastaukset.

1.1 Käytäntöreitit - päämajan palomuuri

HQ-palomuurissa on ensin määritettävä sääntö, joka sallii sivustolta A tulevat pyynnöt, jotka ovat menossa sivustolle B. Ne on reititettävä tunnelissa sivustolle B, ja tämä on tärkeää sekä ICMP-pyynnöille (jotka tulevat sivustolta A) että ICMP-vastauksille (jotka tulevat sivustolta B ja menevät nyt takaisin sivustolle B).

Saapuva: any - Lähde: "Sivuston A aliverkko" -> Kohde: "Sivuston B aliverkko" - Next-hop Tunnel - "Sivuston B VPN-tunneli".

mceclip1.png

Toiseksi sinun on määritettävä sääntö, joka sallii Site B:stä tulevat vastaukset, jotka ovat menossa Site A:han (kun olet lähettänyt pyynnön Site A:sta), ja ne on reititettävä Site A:n tunneliin. Tämä on tärkeää sekä ICMP-pyynnöille (jotka tulevat Sivustolta B) että ICMP-vastauksille (jotka tulevat Sivustolta B ja menevät nyt takaisin Sivustolle A).

Saapuva: any - Lähde: "Sivuston B aliverkko" -> Kohde: "Sivusto A:n aliverkko" - Next-hop-tunneli - "Sivusto A:n VPN-tunneli".

mceclip5.png

1.2 Käytäntöreitit - Sivuston A palomuuri

Sitten sinun on määritettävä sääntö, joka sallii Sivustolta B tulevat pyynnöt, jotka ovat menossa Sivustolle A (kun olet lähettänyt pyynnön Sivustolta B). Ne on reititettävä"takaisin" Site A -tunneliin, ja tämä on tärkeää sekä ICMP-pyyntöjen (jotka tulevat Site B:stä) että ICMP-vastausten (jotka tulevat Site B:stä ja menevät nyt takaisin Site B:hen) osalta.

Saapuva: any - Lähde: "Sivuston B aliverkko" -> Kohde: "Sivusto A:n aliverkko" - Next-hop "Sivusto A:n VPN-tunneli".

mceclip6.png

1.3 Käytäntöreitit - Sivuston B palomuuri

Tämän jälkeen sinun on määritettävä sääntö, joka sallii Sivustolta A tulevat pyynnöt, jotka ovat menossa Sivustolle B (kun olet lähettänyt pyynnön Sivustolta A). Ne on reititettävä"takaisin" Sivusto B:n tunneliin, ja tämä on tärkeää sekä ICMP-pyyntöjen (jotka tulevat Sivustolta A) että ICMP-vastausten (jotka tulevat Sivustolta A ja menevät nyt takaisin Sivustolle A) osalta.

Saapuva: any - Lähde: "Sivuston A aliverkko" -> Kohde: "Sivuston B aliverkko" - Next-hop "Sivuston B VPN-tunneli".

mceclip4.png

2) Verifiointi / vianmääritys

Kun olet määrittänyt kaikki käytäntöreitit, on tärkeää tarkistaa, että reititys todella toimii. Ehkä palomuurisäännöissäsi on ristiriitaisia reittejä (aliverkon päällekkäisyyksiä, olemassa olevia käytäntöjä/staattisia reittejä jne.) tai jokin muu on vialla.

Huomaa, että tämä voi olla hyvin hämmentävää, koska on monia reittejä, joista sinun on huolehdittava. Helpoin tapa tehdä tämä on kartoittaa manuaalisesti kaikki pakettivirrat paperille (PC -> Gateway A - Gatewayn on reititettävä pääkonttoriin, pääkonttorin on reititettävä Site B:hen - Site B:n on reititettävä vastaus takaisin pääkonttoriin ... jne.), kysy itseltäsi - "kuka on vastuussa reitityksestä, ja onko reititys kunnossa?".

mceclip10.png

Alla on kaksi skenaariota, joissa saatat joutua muuttamaan kokoonpanoja, jotta reititys toimisi.

2.1 Testaa pingaamalla palomuuria.

Ensimmäisessä tapauksessa testataan pingaamalla sivuston A tietokoneesta sivuston B palvelimelle tai tietokoneelle:

Punainen nuoli - ICMP [ping]-pyyntö.

Vihreä nuoli - ICMP [ping]-vastaukset

2.2mPolicy Routes - Sivuston A palomuuri

Jos pingaat Sivuston B yhdyskäytävää Sivuston A yhdyskäytävästä (sisäänrakennettu ICMP-työkalu), Sivuston A käytäntöreititys ei koske Sivuston B:n vastauksia, jos Sivusto B yrittää pingata Sivuston A yhdyskäytävää.

Siksi tarvitsemme käytäntöreitityksen, joka näyttää tältä:

Saapuva: ZyWall- Source: "Site B subnet" -> Destination: "Sivuston A aliverkko" - Seuraava hop "Sivuston A VPN-tunneli".

mceclip8.png

2.3 Käytäntöreitit - Sivuston B palomuuri

Ensimmäinen testi, jonka voit tehdä, on pingata palomuuria, mutta koska nyt luomasi reititys on AINOASTAAN saapuville kaikille (pois lukien Zywall), se tarkoittaa, että reititys ei päde, jos pingaus tulee sivustolta A, saavuttaa sivuston B palomuurin ja palomuuri vastaa pyyntöön vastaamisesta. ICMP-vastaus näyttää tällöin seuraavalta:

ICMP-pyyntö

PC (ICMP-pyyntö) -> Sivuston A yhdyskäytävä -> VPN-tunneli pääkonttoriin -> pääkonttorin yhdyskäytävä lähettää liikennettä sivuston B yhdyskäytävälle.

ICMP-vastaus

Site B Gateway (ICMP-vastaus) -> Site B Gateway -> VPN-tunneli pääkonttoriin -> HQ Gateway lähettää liikennettä Site A Gatewayyn -> Site A Gateway lähettää paketit takaisin PC:lle.

Tämän vuoksi tarvitaan tämä käytäntöreitti:

Saapuva: ZyWall- Source: "Site A subnet" -> Destination: "Sivuston B aliverkko" - Next-hop "Sivuston B VPN-tunneli".

mceclip3.png

2.4 Testaa pingaamalla palvelinta / PC:tä.

Koska PC sijaitsee 192.168.20.0/24-verkossa ja palvelin 192.168.30.0/24-verkossa, palvelin ei tunnista 192.168.20.0/24-verkkoa, ja siksi palvelin todennäköisesti estää tuntemattomista aliverkoista tulevat ICMP-paketit. Siksi testejä suorittaessasi aina:

  • Poista kaikki sisäänrakennetut palomuurit käytöstä (esim. Windows Defender / palomuuri).
  • Poista käytöstä muut palvelimeen / tietokoneeseen asennetut virustorjunta- ja tietoturvaohjelmistot.

mceclip11.png

Reititä asiakkaan ja sivuston välinen liikenne sivuston ja sivuston välisen tunnelin kautta.

Huomio: Tämä ei toimi Dynamic VPN:n kanssa! Valitse vain Site2Site VPN!

1.png

1) SecuExtender IPSec VPN:n määrittäminen

Jotta IPSec VPN -asiakkaat voidaan reitittää toiseen tunneliin, niiden on käytettävä kiinteitä IP-osoitteita.

Jos on tarpeen reitittää monia eri asiakkaita, on suositeltavaa käyttää lähellä toisiaan olevia IP-osoitteita, jotta voidaan luoda alue. Tämä vähentää tarvittavien reititysten määrää.

Aliverkon, jossa IP-osoitteet sijaitsevat, ei tarvitse olla palomuurissa.

Anna IPSec VPN -asiakkaan kiinteä IP-osoite.

2.png

2) Määritä palomuurin reititys

Siirry palomuurissa kohtaan

dyn_repppppppp_0

ja napsauta

dyn_repppppppp_1

luodaksesi alueen IPSec VPN -asiakkaan IP-osoitteille.

3.png

Nyt voimme lisätä tarvittavat reitit kohtaan

dyn_repppppppp_2

klikkaamalla

dyn_repppppppp_3

4.png

2.1 Sivustolla A palomuuri

Meidän on luotava kaksi reittiä:

  • Yksi lähtevälle liikenteelle, siis dynaamisesta VPN-asiakastunnelista etäaliverkkoon site-to-site-tunnelin kautta.

5.png

  • Yksi saapuvalle liikenteelle, eli etäaliverkosta site-to-site-tunnelin kautta VPN-asiakastunneliin.

6.png

Uusien reittien pitäisi näyttää samankaltaisilta:

7.png

Voit ottaa käyttöön "epäsymmetrisen reitin", jotta etäaliverkosta tuleva liikenne kulkee etä-VPN-tunnelin kautta:

mceclip0.png

Tämä ottaa käyttöön "kolmion" reitin, joka saa palomuurin sallimaan epäsymmetrisen reittitopologian käytön verkossa eikä nollaa yhteyttä, kun vastaus tulee takaisin.

2.2 Sivuston B palomuuri

Etäisessä toimipisteessä saattaa olla tarpeen luoda samanlaisia reittejä, jotta pääpaikan laite tietää, miten käsitellä sivutoimipisteestä tulevien VPN-asiakkaiden liikennettä.

Pääsivustolla luomme IP-alueen etä-VPN-asiakkaille, jotta voimme käyttää sitä liikenteen reitittämiseen.

8.png

Nyt luomme vastaavat reitit myös pääkonttoriin.

Yksi lähtevä reitti, siis HQ:n aliverkosta site-to-site-tunnelin kautta etä-VPN-asiakkaille.

9.png

Ja yksi saapuva reitti, eli etä-VPN-asiakkaiden alueelta site-to-site-tunnelin kautta pääkonttorin lähiverkkoon. Jos liikenne ohjataan paikalliseen aliverkkoon, valitsemme next-hopiksi "Auto", USG hoitaa tämän automaattisesti.

10.png

Reittien pitäisi näyttää jotakuinkin tältä:

11.png

+++ Voit ostaa lisenssejä Zyxel VPN -asiakkaillesi (SSL VPN, IPsec) välittömällä toimituksella yhdellä napsautuksella: Zyxel Webstore +++

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
1/7 koki tästä olevan apua
Jaa