Zyxel Tűzfal VPN - IPSec Site-To-Site VPN beállítása Zyxel tűzfalon önálló módban

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Ez az útmutató végigvezeti Önt egy Site-to-Site (S2S) VPN beállításán két tűzfal között IKEv2 IPSec használatával. Bemutatjuk a kézi konfigurációt és a beépített varázsló használatát, valamint azt, hogyan konfigurálható a VPN több alhálózat kezelésére ugyanazon alagútban.

Ha más VPN forgatókönyveket, tippeket és trükköket keres, tekintse meg a következő cikkeket:

Általános:

Nebula:

Egy iroda biztonságosan szeretne csatlakozni a központjához az interneten keresztül. Mindkét irodában USG / ZyWall / ATP / USG FLEX eszközök vannak az internet eléréséhez.

Megjegyzés: Mielőtt elkezdené a VPN konfigurálását, győződjön meg arról, hogy a két helyszínnek nem azonos az alhálózata. VPN konfigurálása azonos alhálózatok között technikailag lehetséges, de nem egyszerű, és problémákhoz vezethet az IP-címek átfedése miatt. Ha mindkét helyszín azonos alhálózattal rendelkezik, ez útválasztási konfliktusokat okozhat, mert a VPN nem tudja, melyik oldalra küldje a forgalmat, amikor olyan IP-címet lát, amely mindkét helyen létezik.

Varázsló módszer VPN beállításához

A legegyszerűbb és legkényelmesebb módja a Site-to-Site kapcsolat létrehozásának a beépített varázsló használata. Ennek az útmutatónak az első példájában végigvezetjük Önt a folyamaton. Ha korábban problémái voltak a VPN kézi konfigurálásával, használhatja a varázslót a VPN beállításához, és összehasonlíthatja a beállításokat a hibakereséshez.

Központi helyszín beállításai (Varázsló)

  • Jelentkezzen be a központi helyszín tűzfalának Web GUI-jába, és lépjen a bal oldali menüben a Gyorsbeállítás varázslóhoz.
  • Kattintson a „VPN beállítás” gombra

Választhat az Express (VPN alapértelmezett értékekkel) vagy az Advanced (kézi titkosítási beállítások stb.) között. Az útmutató példájához az „Advanced” opciót választottuk.

  • Erősen ajánljuk az IKEv2 használatát az IKEv1 helyett a biztonság növelése, a kapcsolat gyorsabb létrehozása, stabilitás, mobilitás támogatása és a hálózati változások hatékonyabb kezelése érdekében.
  • Adjon érthető nevet, és válassza a Site-to-Site VPN-t.
  • Kattintson a „Tovább” gombra

1. fázis beállításai

  • A következő oldalon írja be a „Secure Gateway” címet. Ez a második tűzfal WAN címe, jelen esetben az ág helyszín IP címe. (A második tűzfal konfigurálásakor meg kell adnia ennek a tűzfalnak a WAN IP címét.)
  • Állítsa be az 1. fázis javaslatait az igényeinek megfelelően. Biztonsági okokból válasszon erős jelszót és jó titkosítási/azonosítási javaslatokat, például AES256 titkosításhoz, SHA512 azonosításhoz és DH14 kulcscsoportot.

2. fázis beállításai

  • Győződjön meg róla, hogy a 2. fázis beállításai megegyeznek az 1. fázis beállításaival (pl. AES256, SHA512).
  • Helyi és távoli szabályzat – A helyi és távoli szabályzatok meghatározzák, hogy mely forgalom lesz titkosítva a site-to-site VPN-ben, biztosítva a hálózatok közötti biztonságos, hatékony és helyesen útválasztott kommunikációt.

    Megjegyzés: Először ellenőrizze, hogy a távoli alhálózat IP címe nem létezik-e már a helyi alhálózatban, hogy elkerülje az IP címek duplikációját. Ha a távoli alhálózat megegyezik egy helyi alhálózattal, csak a helyi hálózat érhető el.
  • Miután minden adatot helyesen megadott, kattintson a „Tovább” gombra, ellenőrizze újra a beállításokat, kattintson a „Mentés” gombra, majd folytassa a második tűzfal konfigurálásával.

Ág helyszín beállításai (Varázsló)

Ugyanezt a folyamatot kell követnie a második iroda tűzfalánál is. A fő különbség néhány beállításban van.

  • Átjáró IP megadása a központi helyszín WAN IP címe kell legyen.
  • Helyi és távoli szabályzat is eltérő lesz. Példa:
    Központi helyszín
    Helyi szabályzat: 192.168.40.1
    Távoli szabályzat: 192.168.70.1
    Ág helyszín:
    Helyi szabályzat: 192.168.70.1
    Távoli szabályzat: 192.168.40.1
  • Ha minden helyesen van konfigurálva és nincs probléma a kapcsolattal vagy egyéb beállításokkal, a VPN kapcsolat automatikusan létrejön a beállítások mentése után.

Kézi módszer VPN beállításához

VPN átjáró - Központi helyszín kézi beállításai

  • Jelentkezzen be a központi helyszín tűzfalának Web GUI-jába
Lépjen a Konfiguráció -> VPN -> VPN Ge -> Hozzáadás menüpontra
  • Jelölje be az Engedélyezés jelölőnégyzetet
  • Adjon érthető nevet
  • Válassza ki az IKE verziót

Erősen ajánljuk az IKEv2 használatát az IKEv1 helyett a biztonság növelése, a kapcsolat gyorsabb létrehozása, stabilitás, mobilitás támogatása és a hálózati változások hatékonyabb kezelése érdekében.

  • Saját cím (interfész) - állítsa be a WAN IP címet.
  • Partner átjáró címe - Ez a második tűzfal WAN címe, jelen esetben az ág helyszín IP címe. (A második tűzfal konfigurálásakor meg kell adnia ennek a tűzfalnak a WAN IP címét.)
  • Előre megosztott kulcs - Hozzon létre egy erős jelszót (ezt a kulcsot a távoli eszközön is használni fogja).
  • 1. fázis beállításai - Állítsa be az 1. fázis javaslatait az igényeinek megfelelően. Biztonsági okokból válasszon erős jelszót és jó titkosítási/azonosítási javaslatokat, például AES256 titkosításhoz, SHA512 azonosításhoz és DH14 kulcscsoportot. 

VPN alagút - Központi helyszín kézi beállításai

Konfiguráció > VPN > IPSec VPN > VPN Kapcsolat > Hozzáadás

Először létre kell hozni egy objektumot a „Távoli szabályzat” számára a „Új objektum létrehozása” gombbal, majd válassza az „IPV4 cím” típust.

  • Név - adjon egyértelmű nevet
  • Cím típusa - „ALHÁLÓZAT”
  • Hálózat - a távoli helyszín helyi hálózati címe
  • Hálózati maszk - a távoli helyszín alhálózati maszkja
  • Ezután kattintson az „OK” gombra

Most folytathatjuk a többi mező kitöltését.

  • Jelölje be az Engedélyezés jelölőnégyzetet
  • Adjon egyértelmű nevet
  • Válassza a Site-to-Site VPN opciót
  • VPN átjáró - Válassza ki az előző lépésben létrehozott VPN átjárót
  • Helyi és távoli szabályzat eltérő lesz.
  • 2. fázis beállításai - Állítsa be a 2. fázis javaslatait az igényeinek megfelelően. Biztonsági okokból válasszon erős jelszót és jó titkosítási/azonosítási javaslatokat, például AES256 titkosításhoz, SHA512 azonosításhoz és DH14 kulcscsoportot. 
  • Kattintson az „Ok” gombra

Most elkezdhetjük az ág helyszín konfigurálását. Ehhez kövesse ugyanazokat a lépéseket, mint a központi helyszín esetében, de néhány adatot módosítson.

VPN átjáró - Ág helyszín kézi beállításai

Konfiguráció > VPN > IPSec VPN > VPN átjáró

Ismételje meg a központi helyszín lépéseit a VPN átjáró konfigurálásához

  • Amikor a központi helyszín tűzfalánál konfigurálta a VPN átjárót, a "Partner átjáró címe Statikus cím” mezőben megadta az ág helyszín WAN IP címét. Most az ág helyszín konfigurálásakor a központi helyszín WAN IP címét kell megadnia ugyanezen a mezőnél.
  • Előre megosztott kulcs - mindkét helyszínen ugyanaz kell legyen.

VPN alagút - Ág helyszín kézi beállításai

Konfiguráció > VPN > IPSec VPN > VPN Kapcsolat

Ismételje meg a központi helyszín lépéseit a VPN alagút konfigurálásához

  • Kisebb eltérésekkel: amikor a központi helyszínt konfigurálta, a távoli szabályzatban az ág helyszín hálózatát adta meg. Most az ág helyszín konfigurálásakor a távoli szabályzatban a központi helyszín hálózatát kell megadnia.

Jelölje be a "Nailed-Up" opciót, hogy az alagút automatikusan létrejöjjön és csatlakozzon.

Eredmény tesztelése

  • Először manuálisan csatlakoztassa a VPN alagutat. Ezután automatikusan újraellenőrzi a kapcsolatot és újracsatlakozik.
  • A VPN alagút csatlakozottságát a zöld földgömb ikon jelzi.

 

Megjegyzés: Ellenőrizze a tűzfal szabályokat, hogy az alapértelmezett IPSec-to-Device és IPSec-to-Any szabályok léteznek-e.
Máskülönben a forgalom az alagutak között blokkolva lehet.
Screenshot_2021-05-26_173435.png

Korlátozás - Több alhálózat használata

A Zyxel tűzfalakon korlátozás van, amely megakadályozza, hogy több alhálózatot válasszon ki egy VPN alagútban. A helyi szabályzat (alhálózat) és a távoli szabályzat (alhálózat) csak egy-egy alhálózatot állíthat be.

Konfiguráció -> VPN -> IPSec VPN -> VPN Kapcsolat -> Szabályzat

Ennek megkerülésére manuálisan konfigurálhat egy szabályzati útvonalat, amely egy másik alhálózatot irányít az alagútba.

Hozza létre ezt a szabályzati útvonalat:

Megjegyzés! Lehet, hogy szükséges a válaszcímkéket is az alagúton visszairányítani a távoli helyszínen.

Hibakeresés

Gyakori problémák és megoldások:

  • Helytelen előre megosztott kulcs: Ellenőrizze mindkét eszközön az előre megosztott kulcsot.
  • Helytelen alhálózat konfiguráció: Győződjön meg róla, hogy a helyi és távoli alhálózatok helyesen vannak beállítva a VPN beállításokban.
  • 1. és 2. fázis beállításai:

Ellenőrizendő kulcsfontosságú beállítások, hogy mindkét oldalon megegyezzenek

  • Hitelesítési módszer: Általában előre megosztott kulcsot használnak.
  • Titkosítási algoritmus: Gyakori opciók az AES (128/256 bit), 3DES.
  • Hash algoritmus: Általában SHA-256, SHA-512 vagy SHA-1.
  • DH csoport (Diffie-Hellman csoport): Biztosítja a biztonságos kulcscserét (pl. 2-es vagy 14-es csoport).
  • Élettartam: 

Részletesebb hibakeresési útmutatásért tekintse meg a következő hivatkozást:

Zyxel Tűzfal [VPN] - Site-to-Site VPN hibakeresés [Önálló mód]
 

 

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
19/10 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.