Comment configurer le routage pour les clients L2TP over IPSec vers un bureau distant via un tunnel IPSec sur les passerelles matérielles de la série ZyWALL USG ?
(Utilisation du ZyWALL USG 50 comme exemple)
Considérons la topologie suivante :
Il y a 2 bureaux, A et B (chaque bureau dispose d'une passerelle matérielle de la série ZyWALL USG installée). Ils sont connectés par un tunnel VPN IPSec. Les clients distants L2TP over IPSec se connectent à chaque bureau via Internet.
La tâche : configurer le routage afin que tous les clients L2TP over IPSec puissent accéder au sous-réseau local des bureaux A et B, quel que soit le bureau auquel le client se connecte.
L'essence de la configuration se résume à créer deux routes sur les deux passerelles de sécurité :
1. Tout le trafic (avec n'importe quelle adresse IP source) destiné au sous-réseau distant sera routé dans le tunnel VPN IPSec. Cette route est nécessaire car les adresses IP des clients L2TP over IPSec ne sont pas dans la plage spécifiée dans VPN Connections pour la connexion entre les deux bureaux. Le trafic ne sera pas automatiquement routé dans le tunnel.
2. La seconde route indiquera à la passerelle que le trafic avec des adresses IP de destination provenant de la plage des clients L2TP over IPSec distants doit être envoyé via le tunnel IPSec entre les bureaux, ou que le trafic destiné aux clients L2TP over IPSec distants doit être routé via le tunnel IPSec entre les bureaux. Sans cette route, les réponses aux requêtes ne seront pas livrées.
Examinons les paramètres de notre configuration test :
| ZyWALL USG 50 (Bureau A) | ZyWALL USG 100 (Bureau B) |
wan1 : 10.0.0.2 (dans une configuration réelle, cela devrait être une adresse IP statique globale) | wan1 : 10.0.1.2 (dans une configuration réelle, cela devrait être une adresse IP statique globale) |
Configuration du ZyWALL USG 50 du Bureau A
Pour configurer les interfaces, allez dans Configuration > Réseau > Interface et sélectionnez l'onglet Ethernet.
Pour créer les objets nécessaires à la configuration du routage, allez dans Configuration > Objet > Adresse.
En plus des sous-réseaux pour les clients L2TP over IPSec, vous devez également créer un objet de type INTERFACE IP pour l'interface wan1 et un objet de type SUBNET définissant le sous-réseau distant du Bureau B. Ceci est nécessaire pour configurer le tunnel L2TP over IPSec et le tunnel IPSec entre les bureaux.
Le tunnel L2TP over IPSec et le tunnel IPSec entre les bureaux doivent être configurés dans Configuration > VPN > IPSec VPN > VPN Gateway et Configuration > VPN > IPSec VPN > VPN Connection.
Pour configurer les règles de routage, allez dans Configuration > Réseau > Routage > Routage par politique.
Paramètres de la première route :
Paramètres de la seconde route :
Ensuite, vous devez configurer le pare-feu. Pour configurer les règles du pare-feu, allez dans Configuration > Réseau > Pare-feu.
Dans notre configuration, la condition principale pour autoriser les paquets à travers le pare-feu est d'associer les deux tunnels à la même zone, où le trafic entre les interfaces dans la zone est autorisé (Blocage intra-zone – non).
Il doit également y avoir des règles autorisant le trafic de cette zone vers le réseau local et du réseau local vers cette zone.
Configuration du ZyWALL USG 100 du Bureau B
Pour configurer les interfaces, allez dans Configuration > Réseau > Interface et sélectionnez l'onglet Ethernet.
Pour créer les objets nécessaires à la configuration du routage, allez dans Configuration > Objet > Adresse.
En plus des sous-réseaux pour les clients L2TP over IPSec, vous devez également créer un objet de type INTERFACE IP pour l'interface wan1 et un objet de type SUBNET définissant le sous-réseau distant du Bureau A. Ceci est nécessaire pour configurer le tunnel L2TP over IPSec et le tunnel IPSec entre les bureaux.
Le tunnel L2TP over IPSec et le tunnel IPSec entre les bureaux doivent être configurés dans Configuration > VPN > IPSec VPN > VPN Gateway et Configuration > VPN > IPSec VPN > VPN Connection.
Pour configurer les règles de routage, allez dans Configuration > Réseau > Routage > Routage par politique.
Paramètres de la première route :
Paramètres de la seconde route :
Ensuite, vous devez configurer le pare-feu. Pour configurer les règles du pare-feu, allez dans Configuration > Réseau > Pare-feu.
Dans notre configuration, la condition principale pour autoriser les paquets à travers le pare-feu est d'associer les deux tunnels à la même zone, où le trafic entre les interfaces dans la zone est autorisé (Blocage intra-zone – non).
Il doit également y avoir des règles autorisant le trafic de cette zone vers le réseau local et du réseau local vers cette zone.
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.