Zyxel tűzfal [VPN] - IPSec Site-To-Site VPN konfigurálása a Zyxel tűzfalon [Stand-alone mód]

Létrehozva - Frissítve
Serhii Boiarynov
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Ez az útmutató végigvezet egy Site-to-Site (S2S) VPN beállításán két tűzfal között az IKEv2 IPSec használatával. Kitérünk mind a kézi konfigurációra, mind a beépített varázsló használatára, valamint arra, hogyan konfigurálható a VPN úgy, hogy több alhálózatot kezeljen ugyanazon az alagúton belül.

Ha más VPN-forgatókönyveket, tippeket és trükköket keres, nézze meg a következő cikkeket:

Általános:

Nebula:

Egy iroda biztonságos kapcsolatot szeretne létesíteni a központjával az interneten keresztül. Mindkét iroda rendelkezik egy USG / ZyWall / ATP / USG FLEX készülékkel az internet eléréséhez.

Megjegyzés: Mielőtt elkezdené a VPN konfigurálását, győződjön meg arról, hogy a két telephely nem rendelkezik ugyanazzal az alhálózattal. A mindkét oldalon azonos alhálózattal rendelkező telephelyek közötti VPN konfigurálása technikailag lehetséges, de nem egyszerű, és az átfedő IP-címek miatt komplikációkhoz vezethet. Ha mindkét telephelynek ugyanaz az alhálózata van, ez útválasztási konfliktusokhoz vezethet, mivel a VPN nem fogja tudni, hogy melyik oldalra küldje a forgalmat, ha olyan IP-címet lát, amely mindkét telephelyen létezik.

Varázsló módszer VPN beállítása

A Site-to-Site kapcsolat létrehozásának legegyszerűbb és legkényelmesebb módja a beépített varázsló használata. A cikk első példájában végigvezetjük a folyamaton. Emellett, ha a VPN kézi konfigurálása során problémái adódtak, a varázsló segítségével beállíthatja a VPN-t, és hibaelhárítás céljából összehasonlíthatja a beállításokat.

A főhadiszállás beállításai (Wizzard)

  • Jelentkezzen be a HQ Site tűzfal webes felhasználói felületére, és lépjen a bal oldali menüben található Gyors beállítási varázsló szakaszra.
  • Kattintson a "VPN beállítása" gombra

Választhat az Expressz (VPN alapértelmezett értékekkel) vagy a Speciális (kriptográfia kézi beállítása stb...) között. E cikk példájaként a "Speciális" opciót választottuk.

  • Erősen javasoljuk az IKEv2 használatát az IKEv1 helyett a biztonság javítása, a kapcsolat létrehozásának gyorsasága, a stabilitás, a mobilitás támogatása és a hálózati változások kezelésének hatékonyságának növelése érdekében.
  • Adjon egy érthető nevet, és válassza a Site-to-Site VPN lehetőséget.
  • Kattintson a "Tovább" gombra.

Az 1. fázis beállításai

  • A következőn adja meg a "Secure Gateway" Ez a második tűzfal Wan-címe; ebben az esetben ez a Branch site IP-címe. (Amikor elkezdi a második tűzfal konfigurálását, akkor ennek a tűzfalnak a WAN IP-címét kell megadnia. )
  • Állítsa be az 1. fázisú javaslatokat a kívánt módon. Biztonsági okokból válasszon erős jelszót és jó titkosítással/hitelesítéssel rendelkező javaslatokat, például AES256 titkosításhoz, SHA512 hitelesítéshez és DH14 kulcscsoporthoz.

2. fázis beállításai

  • Győződjön meg arról, hogy a 2. fázis beállításai megegyeznek az 1. fázis beállításaival. (pl. AES256, SHA512)
  • Helyi házirend és távoli házirend - A helyi és távoli házirendek határozzák meg, hogy a helyközi VPN-ben milyen forgalom kerül titkosításra, így biztosítva a biztonságos, hatékony és helyesen irányított kommunikációt a hálózatok között.

    Megjegyzés: Kérjük, először ellenőrizze, hogy a távoli alhálózat IP-címe nem létezik-e már a helyi alhálózaton, hogy elkerülje a kettős IP-cím-konfigurációt. Ha a távoli alhálózat hasonló egy helyi alhálózathoz, akkor csak a helyi hálózatot tudja elérni.
  • Miután minden adatot helyesen megadott, kattintson a "Tovább" gombra, ellenőrizze még egyszer az összes beállítást, kattintson a"Mentés" gombra, és folytassa a második tűzfal konfigurálását.

Fióktelep beállításai (Wizzard)

Pontosan ugyanezt az eljárást kell követnie a második telephely tűzfalának beállításához. A fő különbség csak néhány beállításban van.

  • Az átjáró IP-jét a központi telephelyen lévő eszköz WAN IP-jeként kell megadni.
  • Ahelyi házirend és a távoli házirend is eltérő lesz. Az alábbi példa:
    HQ Site
    Helyi házirend: 192.168.40.1
    Távoli házirend: 192.168.70.1
    Fióktelep:
    Helyi házirend: 192.168.70.1
    Távoli házirend: 192.168.40.1
  • Ha mindent helyesen konfiguráltunk, és nincs probléma a kapcsolattal, más beállításokkal vagy a felépítéssel, akkor a VPN-kapcsolat a beállítások mentése után azonnal automatikusan létrejön.

Kézi módszer VPN beállítása

VPN átjáró - HQ Site beállítások kézikönyv

  • Jelentkezzen be a HQ Site tűzfal webes GUI-ba
dyn_repppppppp_0
  • Jelölje be az Engedélyezés jelölőnégyzetet
  • Adjon meg egy egyértelmű nevet
  • Válassza ki az IKE verziót

Az IKEv1 helyett erősen javasoljuk az IKEv2 használatát a biztonság javítása, a kapcsolat létrehozásának gyorsítása, a stabilitás, a mobilitás támogatása és a hálózati változások kezelésének hatékonyságának növelése érdekében.

  • Saját cím (interfész) - a wan IP-címét állítja be.
  • Peer Gateway Address - Ez a második tűzfal WAN-címe; ebben az esetben a Branch site IP-címe. (Amikor elkezdi a második tűzfal konfigurálását, ki kell töltenie ennek a tűzfalnak a WAN IP-címét.
  • Előre megosztott kulcs - Hozzon létre egy erős jelszót (ezt a kulcsot fogja használni a távoli eszközön is).
  • Phase 1 Settings - Állítsa be az 1. fázisú javaslatokat a kívánt módon. Biztonsági okokból válasszon erős jelszót és jó titkosítási/autentikációs javaslatokat, például AES256 titkosításhoz, SHA512 hitelesítéshez és DH14 kulcscsoporthoz. .

VPN-alagút - HQ Site beállítások kézikönyve

dyn_repppppppp_1

Először is létre kell hoznia egy objektumot a "Távoli házirend" számára a "Create New Object" (Új objektum létrehozása) gombra kattintva és az "IPV4 Address" (IPV4 cím) kiválasztásával.

  • Név - adjon meg egy egyértelmű nevet
  • Címtípus - "SUBNET"
  • Hálózat - a távoli telephely helyi hálózati címe.
  • Netmaszk - a távoli telephely alhálózati maszkja.
  • Ezután kattintson az "OK" gombra.

Most már folytathatjuk a többi mező kitöltését.

  • Jelölje be az Engedélyezés jelölőnégyzetet
  • Adjon meg egy egyértelmű nevet
  • Válassza a Site-To-Site VPN-t
  • VPN Gateway - Válassza ki az előző lépésben létrehozott VPN Gateway-t.
  • Ahelyi házirend és a távoli házirend eltérő lesz.
  • Phase 2 Settings - Állítsa be a kívánt módon a Phase 2 javaslatokat. Biztonsági okokból válasszon erős jelszót és jó titkosítási/autentikációs javaslatokat, például AES256 titkosításhoz, SHA512 hitelesítéshez és DH14 kulcscsoporthoz. .
  • Kattintson az "Ok" gombra.

Most már elkezdhetjük a Branch webhely konfigurálását. Ehhez kövesse ugyanazokat a lépéseket, mint a HQ site esetében, de néhány adatot megváltoztatva.

VPN Gateway - Branch Site beállítások kézikönyve

dyn_repppppppp_2

Ismételje meg a HQ lépéseket a VPN átjáró konfigurálásához

  • A VPN átjáró konfigurálásakor a HQ telephely tűzfalán a "Peer Gateway Address Static Address" mezőben megadta a fióktelep WAN IP címét. Most, a fióktelep konfigurálásakor a "Peer Gateway Address Static Address " mezőben meg kell adnia a HQ-helyszín WAN IP címét.
  • Előre megosztott kulcs - mindkét telephelyen azonosnak kell lennie.

VPN-alagút - fióktelep beállításai kézikönyv

dyn_repppppppp_3

Ismételje meg a HQ lépéseket a VPN-alagút konfigurálásához.

  • Néhány eltéréstől eltekintve a HQ-helyszín konfigurálásakor a Távoli házirendben megadta a fióktelep helyén lévő hálózatot. Most, amikor a Branch site konfigurálásakor a HQ site hálózatát kell megadnia a Remote Policy mezőben.

Jelölje be a "Szögezve" opciót a VPN-alagút létrehozásához és az automatikus csatlakozáshoz.

Az eredmény tesztelése

  • Csatlakoztassa a VPN-alagutat első alkalommal manuálisan. Ezt követően újra kell vizsgálnia a kapcsolódást és automatikusan újra kell csatlakoznia.
  • A VPN-alagút akkor látható, ha a föld szimbólum zöld színű.

Megjegyzés: Kérjük, ellenőrizze tűzfalszabályait, hogy az alapértelmezett IPSec-to-Device és IPSec-to-Any szabályok léteznek-e.
Ellenkező esetben az alagutak közötti forgalom blokkolódhat.
Screenshot_2021-05-26_173435.png

Korlátozás - Több alhálózat használata

A Zyxel tűzfalakon van egy olyan korlátozás, amely szerint egy VPN-alagútban nem lehet több alhálózatot kiválasztani. A helyi házirend (alhálózat) és a távoli házirend (alhálózat) csak egy-egy alhálózattal konfigurálható.

dyn_repppppppp_4

A probléma megkerülésére konfigurálhat egy házirend útvonalat, hogy manuálisan további alhálózatokat irányítson az alagútba.

Hozzuk létre ezt a házirend útvonalat:

Megjegyzés! Szükség lehet a válaszcsomagok visszairányítására az alagúton keresztül a távoli telephelyen.

Hibaelhárítás

Gyakori problémák és megoldások:

  • Helytelen előmegosztott kulcs: Ellenőrizze kétszer az előre megosztott kulcsot mindkét eszközön.
  • Helytelen alhálózati konfiguráció: Győződjön meg róla, hogy a VPN-beállításokban a megfelelő helyi és távoli alhálózat van beállítva.
  • Az 1. és 2. fázis beállításai:

Kulcsbeállítások, amelyeket ellenőrizni kell, hogy mindkét oldalon ugyanazok legyenek.

  • Hitelesítési módszer: Általában előre megosztott kulcsot használnak.
  • Titkosítási algoritmus: AES (128/256 bit), 3DES.
  • Hash-algoritmus: Általában SHA-256 vagy SHA-512 vagy SHA-1.
  • DH-csoport (Diffie-Hellman-csoport): Biztosítja a biztonságos kulcscserét (pl. 2. csoport, 14. csoport).
  • Élettartam:

A hibaelhárítással kapcsolatos részletesebb utasításokért lásd a linket:

Zyxel tűzfal [VPN] - Helyközi VPN hibaelhárítás [Önálló üzemmód].

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
19/10 szavazó hasznosnak találta ezt
Megosztás