Hogyan kell beállítani az útválasztást L2TP over IPSec kliensek számára egy távoli irodába IPSec alagúton keresztül ZyWALL USG sorozatú hardveres átjárókon?
(Példaként a ZyWALL USG 50 készüléket használva)
Nézzük meg a következő topológiát:
Két iroda van, A és B (mindkét irodában egy ZyWALL USG sorozatú hardveres átjáró van telepítve). Ezek egy IPSec VPN alagúttal vannak összekötve. Távoli L2TP over IPSec kliensek az interneten keresztül csatlakoznak mindkét irodához.
A feladat: az útválasztás beállítása úgy, hogy minden L2TP over IPSec kliens hozzáférhessen az A és B irodák helyi alhálózataihoz, függetlenül attól, melyik irodához csatlakozik a kliens.
A konfiguráció lényege, hogy mindkét biztonsági átjárón két útvonalat hozunk létre:
1. Minden forgalom (bármely forrás IP-címről), amely a távoli alhálózat felé irányul, az IPSec VPN alagútba legyen irányítva. Erre az útvonalra azért van szükség, mert az L2TP over IPSec kliensek IP-címei nem esnek abba a tartományba, amely a VPN Connections beállításokban meg van adva az irodák közötti kapcsolathoz. A forgalom nem kerül automatikusan az alagútba.
2. A második útvonal arra utasítja az átjárót, hogy a távoli L2TP over IPSec kliens tartományból érkező cél IP-címekre irányuló forgalmat az irodák közötti IPSec alagúton keresztül küldje, vagyis a távoli L2TP over IPSec kliensek felé irányuló forgalmat az irodák közötti IPSec alagúton keresztül kell továbbítani. Ennek az útvonalnak a hiányában a válaszok nem érkeznek vissza.
Nézzük át a teszt beállítás paramétereit:
| ZyWALL USG 50 (A iroda) | ZyWALL USG 100 (B iroda) |
wan1: 10.0.0.2 (valós környezetben ez egy globális statikus IP-cím kell legyen) | wan1: 10.0.1.2 (valós környezetben ez egy globális statikus IP-cím kell legyen) |
ZyWALL USG 50 konfigurálása az A irodában
Az interfészek konfigurálásához lépj a Configuration > Network > Interface menüpontra, és válaszd az Ethernet fület.
Az útválasztási konfigurációhoz szükséges objektumok létrehozásához lépj a Configuration > Object > Address menüpontra.
Az L2TP over IPSec kliens alhálózatokon kívül létre kell hozni egy INTERFACE IP típusú objektumot a wan1 interfészhez, valamint egy SUBNET típusú objektumot, amely az A irodától távoli B iroda alhálózatát definiálja. Erre az L2TP over IPSec alagút és az irodák közötti IPSec alagút konfigurálásához van szükség.
Az L2TP over IPSec alagutat és az irodák közötti IPSec alagutat a Configuration > VPN > IPSec VPN > VPN Gateway és a Configuration > VPN > IPSec VPN > VPN Connection menüpontok alatt kell konfigurálni.
Az útválasztási szabályok konfigurálásához lépj a Configuration > Network > Routing > Policy Route menüpontra.
Az első útvonal beállításai:
A második útvonal beállításai:
Ezután konfigurálni kell a tűzfalat. A tűzfalszabályok beállításához lépj a Configuration > Network > Firewall menüpontra.
A mi beállításunkban a fő feltétel a csomagok engedélyezésére az, hogy mindkét alagút ugyanahhoz a zónához legyen kötve, ahol az interfészek közötti forgalom engedélyezett (Block Intra-zone – no).
Emellett szabályoknak kell engedélyezniük a forgalmat ebből a zónából a helyi hálózat felé, valamint a helyi hálózatból ebbe a zónába.
ZyWALL USG 100 konfigurálása a B irodában
Az interfészek konfigurálásához lépj a Configuration > Network > Interface menüpontra, és válaszd az Ethernet fület.
Az útválasztási konfigurációhoz szükséges objektumok létrehozásához lépj a Configuration > Object > Address menüpontra.
Az L2TP over IPSec kliens alhálózatokon kívül létre kell hozni egy INTERFACE IP típusú objektumot a wan1 interfészhez, valamint egy SUBNET típusú objektumot, amely a B irodától távoli A iroda alhálózatát definiálja. Erre az L2TP over IPSec alagút és az irodák közötti IPSec alagút konfigurálásához van szükség.
Az L2TP over IPSec alagutat és az irodák közötti IPSec alagutat a Configuration > VPN > IPSec VPN > VPN Gateway és a Configuration > VPN > IPSec VPN > VPN Connection menüpontok alatt kell konfigurálni.
Az útválasztási szabályok konfigurálásához lépj a Configuration > Network > Routing > Policy Route menüpontra.
Az első útvonal beállításai:
A második útvonal beállításai:
Ezután konfigurálni kell a tűzfalat. A tűzfalszabályok beállításához lépj a Configuration > Network > Firewall menüpontra.
A mi beállításunkban a fő feltétel a csomagok engedélyezésére az, hogy mindkét alagút ugyanahhoz a zónához legyen kötve, ahol az interfészek közötti forgalom engedélyezett (Block Intra-zone – no).
Emellett szabályoknak kell engedélyezniük a forgalmat ebből a zónából a helyi hálózat felé, valamint a helyi hálózatból ebbe a zónába.
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.