Zyxel Firewall H sorozat – Tailscale VPN

A Zyxel USG FLEX H sorozatú tűzfalai mostantól támogatják a Tailscale integrációját, egy harmadik fél által fejlesztett VPN-megoldást, amely biztonságos, titkosított, peer-to-peer kapcsolatokat tesz lehetővé eszközök és hálózatok között. Ez a Zyxel beépített VPN-képességei mellett egy rugalmas és skálázható VPN-opciót biztosít a felhasználók számára.

Felhívjuk figyelmét, hogy bár az USG FLEX H sorozat kompatibilis a Tailscale-lel, nem tartalmaz Tailscale licencet. A Tailscale szolgáltatásait igénybe venni kívánó felhasználóknak közvetlenül a Tailscale-től kell licencet szerezniük.

Mi az a Tailscale VPN?

A Tailscale egy modern, biztonságos, peer-to-peer VPN-megoldás, amelynek célja, hogy az eszközök közötti hálózatépítés egyszerű és zökkenőmentes legyen. A központosított szerverekre és bonyolult konfigurációkra támaszkodó hagyományos VPN-ekkel ellentétben a Tailscale hálózati architektúrát használ az eszközök közvetlen és biztonságos összekapcsolásához – nincs szükség statikus IPS-re, port-átirányításra vagy bonyolult tűzfal-szabályokra.

A Tailscale alapját a WireGuard protokoll képezi, amely gyors, titkosított, végpontok közötti kommunikációt biztosít az eszközök között – még akkor is, ha azok NAT útválasztók mögött vannak.

A Tailscale használatának megkezdése tűzfalon

1. Fiók létrehozása
   Látogasson el a Tailscale tudásbázisába, hogy regisztráljon és elindítsa Tailscale-fiókját.
2. Hitelesítési kulcs generálása
   Bejelentkezés után lépjen a Beállítások → Személyes beállítások → Kulcsok menüpontba, és kattintson a Hitelesítési kulcs generálása gombra. Ez a kulcs a tűzfal vagy más eszközök hitelesítésére szolgál, amikor csatlakoznak a Tailscale hálózathoz.

3. Adjon meg egy leírási nevet, majd biztonsági okokból tiltsa le az „Újrafelhasználható” opciót, majd kattintson a „Kulcs generálása” gombra.

Másolja a kulcsot.

4. Jelentkezzen be a tűzfalba, lépjen a „VPN → Tailscale” menüpontra, és illessze be a „Hitelesítési kulcsok” mezőbe.

• Ha módosítani szeretné a kulcsot, kattintson a Kijelentkezés gombra.
• A zónát maga választhatja ki. Javasoljuk a Tailscale zóna használatát néhány előre meghatározott szabályhoz.

5. Térjen vissza a Tailscale adminisztrációs oldalára. Megjelenik a tűzfal eszköz.

Kattintson az „Disable key expiry” (Kulcs lejáratának letiltása) gombra az összes kliens esetében, hogy megakadályozza a kapcsolat megszakadását a lejáratkor.

Forgatókönyv

Két alhálózatunk van, a 192.168.168.0/24 és a 192.168.160.0/24, amelyek tűzfalak mögött találhatók. Mind a tűzfalak, mind az A kliens a Tailscale VPN hálózat része. A célok a következők:

1. eset: Engedélyezze az A kliens számára a 192.168.168.0/24 és 192.168.160.0/24 alhálózatokhoz való hozzáférést
1. A 192.168.168.0/24 hirdetése a Tűzfal A-ban.

2. A 192.168.160.0/24 hirdetése a B tűzfalon.

3. Győződjön meg arról, hogy mindkét alhálózatot jóváhagyták a Tailscale portálon.

Tesztelje az eredményt
Most az A kliens tudja, hogyan kell irányítani a forgalmat, és képes hozzáférni a 192.168.168.1 és 192.168.160.1 címekhez.

2. eset: Engedélyezze az A kliens számára az internethez való hozzáférést a tűzfalon keresztül

1. Vegyük példának a tűzfalat A. Engedélyezze az „Exit Node” és a „Default SNAT” opciókat.

2. Győződjön meg arról, hogy a kilépési csomópontot engedélyezték a Tailscale portálon.

3. Az A kliensnek a tűzfalat A-t kell kiválasztania kilépési csomópontként.

Tesztelje az eredményt
Az internetes forgalom a tűzfal A-ra kerül továbbításra.

3. eset: A 192.168.168.0/24 és 192.168.160.0/24 alhálózatokon belüli eszközök kommunikálhatnak egymással
Miután befejezte a hirdetett hálózatok beállítását, az eszközök kommunikálhatnak egymással.
Tesztelje az eredményt
Ping teszt a tűzfal A-tól

Ping teszt a B tűzfalról