Fontos értesítés: |
A cikk lépésről lépésre bemutatja az IPSec site-to-site VPN-alagút beállítását a VPN Setup Wizard segítségével a ZyWALL/USG eszközökön. Elmagyarázza, hogyan kell konfigurálni a VPN-alagutat két - akár NAT-router mögött lévő - telephely között, biztosítva a biztonságos hozzáférést. A folyamat során a VPN-beállítások varázsló segítségével létrehoz egy VPN-szabályt az alapértelmezett fázisbeállításokkal, konfigurálja a biztonságos átjáró IP-címeket, valamint a helyi és távoli házirendeket. Emellett az alagút működésének teszteléséhez szükséges ellenőrzési lépéseket is tartalmazza, és foglalkozik az esetlegesen felmerülő problémákkal, például a nem megfelelő beállításokkal vagy biztonsági házirend-konfigurációkkal.
A ZyWALL/USG IPSec VPN-alagút beállítása a vállalati hálózaton (HQ)
1. A ZyWALL/USG-ben a VPN-beállítások varázsló segítségével hozzon létre egy, a FortiGate-tel használható VPN-szabályt. Kattintson a Tovább gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Üdvözöljük
2. Válassza az Expressz lehetőséget egy VPN-szabály létrehozásához az alapértelmezett 1. és 2. fázisú beállításokkal, és használja a hitelesítési módszerként az előre megosztott kulcsot. Kattintson a Tovább gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Varázsló típusa
3. Írja be a szabály nevét, amellyel ezt a VPN-kapcsolatot (és a VPN-átjárót) azonosítja. 1-31 alfanumerikus karaktert használhat. Ez az érték a nagy- és kisbetűket megkülönbözteti. Válassza ki a Site-to-site szabályt. Kattintson a Tovább gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Varázsló típusa > VPN-beállítások (forgatókönyv)
4. Konfigurálja a Secure Gateway IP-t a fióktelep WAN IP-címeként (a példában 172.100.30.40). Ezután írja be a biztonságos előzetes megosztott kulcsot (8-32 karakter).
Állítsa be a Helyi házirendet a ZyWALL/USG-hez csatlakoztatott hálózat IP-címtartományának (HQ), a Távoli házirendet pedig a ZyWALL/USG-hez csatlakoztatott hálózat IP-címtartományának (Branch).
Gyorsbeállítás > VPN-beállítás varázsló > Varázsló típusa > VPN-beállítások (konfiguráció)
5. Ez a képernyő a VPN-alagút csak olvasható összefoglalóját nyújtja. Kattintson a Mentés gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Üdvözöljük > Varázsló típusa > VPN-beállítások (Összefoglaló)
6. A szabály most már be van állítva a ZyWALL/USG-n. A fázisszabályok beállításai itt jelennek meg
1. fázis: VPN > IPSec VPN > VPN átjáró 2. fázis: VPN > IPSec VPN > VPN kapcsolat Gyorsbeállítás > VPN beállítás varázsló > Üdvözöljük > Varázsló típusa > VPN beállítások > Varázsló befejezve
7. Állítsa be a Peer ID Type-t Bármilyenre, hogy a ZyWALL/USG-nek ne legyen szüksége a távoli IPSec-router azonosító tartalmának ellenőrzésére.
KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró > Speciális beállítások megjelenítése > Hitelesítés > Peer ID típusa.
A ZyWALL/USG IPSec VPN-alagút beállítása a vállalati hálózaton (fióktelep)
1. A ZyWALL/USG-ben a VPN-beállítások varázsló segítségével hozzon létre egy, a FortiGate-tel használható VPN-szabályt. Kattintson a Tovább gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Üdvözöljük
2. Válassza az Expressz lehetőséget egy VPN-szabály létrehozásához az alapértelmezett 1. és 2. fázisú beállításokkal, és használja a hitelesítési módszerként az előre megosztott kulcsot. Kattintson a Tovább gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Varázsló típusa
3. Írja be a szabály nevét, amellyel ezt a VPN-kapcsolatot (és a VPN-átjárót) azonosítja. 1-31 alfanumerikus karaktert használhat. Ez az érték a nagy- és kisbetűket megkülönbözteti. Válassza ki a Site-to-site szabályt. Kattintson a Tovább gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Varázsló típusa > VPN-beállítások (forgatókönyv)
4. Konfigurálja a Secure Gateway IP-t a fióktelep WAN IP-címeként (a példában 172.100.20.30). Ezután írja be a biztonságos előzetes megosztott kulcsot (8-32 karakter).
Állítsa be a Helyi házirendet a ZyWALL/USG-hez csatlakoztatott hálózat IP-címtartományának (HQ), a Távoli házirendet pedig a ZyWALL/USG-hez csatlakoztatott hálózat IP-címtartományának (Branch).
Gyorsbeállítás > VPN-beállítás varázsló > Varázsló típusa > VPN-beállítások (konfiguráció)
5. Ez a képernyő a VPN-alagút csak olvasható összefoglalóját nyújtja. Kattintson a Mentés gombra.
Gyorsbeállítás > VPN-beállítás varázsló > Üdvözöljük > Varázsló típusa > VPN-beállítások (Összefoglaló)
6. A szabály most már be van állítva a ZyWALL/USG-n. A fázisszabályok beállításai itt jelennek meg
1. fázis : VPN > IPSec VPN > VPN átjáró 2. fázis: VPN > IPSec VPN > VPN kapcsolat Gyorsbeállítás > VPN beállítás varázsló > Üdvözöljük > Varázsló típusa > VPN beállítások > Varázsló befejezve
7. Állítsa be a Peer ID Type-t Bármilyenre, hogy a ZyWALL/USG-nek ne kelljen ellenőriznie a távoli IPSec-router azonosító tartalmát.
KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró > Speciális beállítások megjelenítése > Hitelesítés > Peer ID típusa.
A NAT-router beállítása (ebben a példában a ZyWALL USG eszközzel)
Megjegyzés: Ezeket a beállításokat csak akkor kell alkalmazni, ha az egyik tűzfal NAT mögött van. Ezeket a beállításokat a tűzfal előtt elhelyezett NAT Router-en kell beállítani, ami lehet az internetszolgáltató router vagy az irodai hálózat fő router-e. Az alábbiakban egy példát mutatunk be az egyik eszközünk használatával - ez csak referenciaként szolgál.
1. Válassza ki azt a bejövő interfészt, amelyen a NAT-szabályhoz tartozó csomagoknak érkezniük kell. 2. Adja meg a Felhasználó által meghatározott eredeti IP mezőt, és írja be a lefordított cél IP-címet, amelyet ez a NAT-szabály támogat.
KONFIGURÁCIÓ > Hálózat > NAT > Hozzáadás
2. A tűzfalnál engedélyezni kell az IP-továbbítást a következő IP-protokollok és UDP-portok számára:
IP-protokoll = 50 → Adatútvonal (ESP) által használt
IP protokoll = 51 → Az adatútvonal (AH) által használt IP protokoll
UDP port száma = 500 → IKE által használt (IPSec vezérlési útvonal)
UDP-port száma = 4500 → NAT-T (IPsec NAT-traversal) által használt
KONFIGURÁCIÓ > Biztonsági házirend > Házirend-szabályozás
HITELESÍTÉS:
Az IPSec VPN-alagút tesztelése
1. Válassza a CONFIGURATION > VPN > IPSec VPN > VPN kapcsolat menüpontot .
Kattintson a Csatlakozás gombra a felső sávban. A Status connect ikon világít, ha az interfész csatlakozik.
2. Ellenőrizze az alagút Up Time és a Bejövő(Bájt)/Kimenő(Bájt) forgalom értékét.
MONITOR > VPN monitor > IPSec
3. Annak teszteléséhez, hogy az alagút működik-e, pingeljen az egyik telephelyen lévő számítógépről a másik telephelyen lévő számítógépre. Győződjön meg arról, hogy mindkét számítógép rendelkezik internet-hozzáféréssel (IPSec eszközökön keresztül).
PC a ZyWALL/USG mögött (HQ) > Window 7 > cmd > ping 192.168.20.33
PC a ZyWALL/USG mögött (fióktelep) > Window 7 > cmd > ping 10.10.10.10.33
Mi romolhat el?
1. Ha az alábbi [info] vagy [hiba] naplóüzenetet látja, ellenőrizze a ZyWALL/USG Phase 1 beállításait. Mindkét ZyWALL/USG-nek a főhadiszálláson és a fióktelepen ugyanazt a megosztott kulcs előtti kulcsot, titkosítást, hitelesítési módszert, DH kulcscsoportot és ID típust kell használnia az IKE SA létrehozásához.
MONITOR > Napló
2. Ha azt látja, hogy az 1. fázisú IKE SA folyamat befejeződött, de még mindig az alábbi [info] naplóüzenetet kapja, ellenőrizze a ZyWALL/USG 2. fázisú beállításait. Mindkét ZyWALL/USG-nek a központban és a fióktelepen ugyanazt a protokollt, kapszulázást, titkosítást, hitelesítési módszert és PFS-t kell használnia az IKE SA létrehozásához.
MONITOR > Napló
3. Győződjön meg arról, hogy mind a főhadiszálláson, mind a fióktelepen lévő ZyWALL/USG biztonsági házirendjei engedélyezik az IPSec VPN-forgalmat. Az IKE az 500-as UDP-portot, az AH az 51-es IP-protokollt, az ESP pedig az 50-es IP-protokollt használja.
4. A ZyWALL/USG-n alapértelmezés szerint engedélyezve van a NAT-traversal, győződjön meg róla, hogy a távoli IPSec-eszközön is engedélyezve van a NAT-traversal.