Zyxel H Series Firewall [next-hop in Policy Routes] Pourquoi le VPN basé sur les routes remplace le VPN basé sur les politiques - et pourquoi c'est une bonne chose.

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Avec l'introduction du système d'exploitation Zyxel UOS et la sortie de la nouvelle série H, Zyxel a modernisé la façon dont les connexions VPN sont gérées. Contrairement aux appareils de génération précédente tels que les séries USG et ATP, la série H ne prend plus en charge l'utilisation des tunnels VPN en tant que saut suivant dans les routes de stratégie.

Il ne s'agit pas d'une limitation, mais plutôt d'une évolution vers une architecture VPN moderne, basée sur l'interface, utilisant le VPN basé sur les routes avec VTI (Virtual Tunnel Interface). Cet article explique la différence entre le VPN basé sur les politiques et le VPN basé sur les routes, et pourquoi cette nouvelle approche est considérée comme plus fiable, plus évolutive et plus facile à gérer.

Avantages du VPN basé sur les routes avec VTI sur Zyxel USG FLEX H

  • Les tunnels VPN sont créés en tant qu'interfaces virtuelles (VTI ) et participent au routage comme les ports physiques.
  • Il n'est pas nécessaire de définir le VPN comme next-hop dans les Policy Routes, ce qui réduit la complexité de la configuration et le risque de mauvaise configuration.
  • Meilleure intégration avec le modèle de sécurité par zone de Zyxel.

Scénario :

  • Le siège social utilise plusieurs sous-réseaux internes :
    • 192.168.10.0/24 - Administration
    • 192.168.20.0/24 - Comptabilité
    • 192.168.30.0/24 - Entrepôt
  • La succursale doit pouvoir accéder à tous ces sous-réseaux via un VPN.

Problèmes posés par le VPN basé sur une politique :

  • Nécessite la création d'un tunnel ou d'une politique distincte pour chaque sous-réseau.
  • Toute modification du réseau (par exemple, un nouveau sous-réseau) impliquait une reconfiguration manuelle des politiques et des tunnels.

Utilisation de VTI sur USG FLEX H:

  • Vous créez un tunnel VPN unique entre les sites.
  • Configurez des routes statiques standard :
dst : 192.168.10.0/24 → via VTI-Office dst : 192.168.20.0/24 → via VTI-Office dst : 192.168.30.0/24 → via VTI-Office
  • Lorsqu'un nouveau sous-réseau (par exemple, 192.168.40.0/24) est ajouté, il suffit d'ajouter une route, aucune reconfiguration VPN n'est nécessaire.
  • Lecontrôle d'accès est géré par des politiques de sécurité au lieu d'une logique de route statique.

Configuration d'un tunnel VPN IPSec pour uOS

Cet exemple montre comment utiliser l'assistant de configuration VPN pour configurer un tunnel VPN site à site basé sur des routes avec un appareil ZLD comme passerelle homologue, permettant un accès sécurisé entre les deux sites une fois le tunnel établi.

Naviguez versVPN > VPN IPSec > VPN site à site > Ajouter. et passez par toutes les étapes de l'assistant et remplissez les champs appropriés :

  • Nom :
  • IKE Version : IKEv2
  • Dans le champ Mon adresse, sélectionnez l'interface WAN requise.
  • Dans le champ Peer Gateway Address, entrez l'adresse IP publique de l'appareil distant (succursale).
  • Zone : IPSec_VPN
  • Dans le champ Méthode d'authentification, sélectionnez Pre-Shared Key (PSK).


Sous Type, sélectionnez : Basé sur l'itinéraire.

  1. Dans Sous-réseau distant, entrez manuellement : 192.168.88.0/27.
  2. Dans Interface VTI, entrez : 169.254.63.164/255.255.255.255.
  3. Vérifiez que le diagramme montre la connexion de l'interface locale ge1 à l'adresse IP distante 93.159.250.211.

Sous Paramètres de la phase 1 et Paramètres de la phase 2:

  • Proposition: AES128 / SHA1
  • DH Group: DH2 / DH14

Cliquez sur OK.

  • Configurer l'interface VTI

Configuration > Réseau > Interface > VTI


Configurer un tunnel VPN IPSec pour ZLD

Naviguez vers Configuration > VPN > IPSec VPN > VPN Gateway.

  • Cliquez sur Ajouter et cochez Activer.
  • Entrez le nom de la passerelle VPN:
  • Sélectionnez la version IKE: IKEv2
  • Sous My Address: Choisissez Interface: ge1 (avec votre IP publique).
  • Sous Peer Gateway Address: entrez l'adresse IP publique de l'appareil distant (HQ).
  • Dans Authentification: Choisissez Pre-Shared Key et entrez la même clé que celle utilisée sur l'appareil Flex.
  • Configurez l'interface VTI

Configuration > Réseau > Interface > VTI

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.