Áttekintés

A VPN (virtuális magánhálózat) biztonságos kommunikációt biztosít a telephelyek között a bérelt vonalak költségei nélkül. A VPN-eket a TCP/IP kommunikációt használó, nem biztonságos hálózaton keresztül történő forgalom továbbítására használják. A távoli hozzáférésű VPN (ügyféltől telephelyig) lehetővé teszi az utazó vagy távmunkában dolgozó alkalmazottak számára a vállalati hálózati erőforrásokhoz való biztonságos hozzáférést. Többféle VPN protokoll/technológia létezik, amelyekkel biztonságos kapcsolatot lehet létrehozni a vállalati hálózathoz: L2TP, PPTP, SSL, OpenVPN stb. Ez az útmutató az IPSec protokollra hivatkozik a külső hosztok (a vállalati hálózati struktúrán kívül az internethez csatlakozó felhasználók) és a ZyWALL router közötti biztonságos VPN-alagút létrehozásához. A VPN-kapcsolat létrehozásához harmadik féltől származó IPSec-szoftverre van szükség, mivel a jelenlegi operációs rendszerek nem rendelkeznek beépített IPSec-klienssel.

1. VPN-átjáró (1. fázis)
2. VPN-kapcsolat (2. fázis)
3. Konfiguráció biztosítása
4. ZyWALL VPN kliens
5. Tesztelés és hibaelhárítás

VPN átjáró (1. fázis)

Jelentkezzen be a ZyWALL webes konfigurációs oldalára, és lépjen a Configuration → VPN → IPSec VPN menüpontra. Az IPSec VPN menüben kattintson a VPN Gateway fülre az alagút beállításának 1. fázisához. Kattintson a Add gombra egy új szabály beillesztéséhez. Az ablak bal felső részén kattintson a Speciális beállítások megjelenítése gombra a menü összes beállításának megtekintéséhez.

• Jelölje be a négyzetet a VPN-szabály engedélyezéséhez, és adjon meg egy nevet.
• Válassza ki a VPN-hez csatlakozni kívánt WAN-interfészét a My Address legördülő mezőben.
• Győződjön meg róla, hogy a Peer Gateway Address "Dynamic Address" (dinamikus cím) beállítással van megadva.
• Adja meg/készítsen egy VPN hitelesítési "Pre-Shared Key" (Előre megosztott kulcs) azonosítót
• A Phase 1 Settings (1. fázis beállításai) alatt, a Negotiation Mode (Tárgyalási mód) legördülő menüpontban állítsa be a "Main" módot.
• Állítsa be a használni kívánt "Titkosítási" és "Hitelesítési" javaslatot (a titkosítási lehetőségek: DES, 3DES, AES128, AES192, AES256) (a hitelesítési lehetőségek: MD5, SHA1, SHA256, SHA512).
• Válassza ki a Diffie-Hellman kulcscsoportot (a lehetőségek: DH1, DH2, DH5).
  
  Megjegyzés: A jobb oldali figyelmeztető szimbólum megjelenik azokon a területeken, ahol bevitelre van szükség, vagy hiba van a bevitelben, például illegális/nem támogatott karakterek.
  

VPN-kapcsolat (2. fázis)

Most, hogy a VPN átjáró (1. fázis) szabálya elkészült, kattintson a VPN kapcsolat fülre a VPN-alagút 2. fázisú szabályának beillesztéséhez. Kattintson a Add gombra a szabály beszúrásához. Az ablak bal felső részén kattintson a Show Advanced Settings gombra a menü összes beállításának megtekintéséhez.

• Jelölje be a jelölőnégyzetet a szabály engedélyezéséhez, és adjon neki nevet.
• Állítsa be a VPN Gateway alkalmazás forgatókönyvét a "Távoli hozzáférés (kiszolgálói szerepkör)" használatára.
• Az alkalmazási forgatókönyvhöz állítsa be a VPN Gateway legördülő menüpontot úgy, hogy az előző lépésben létrehozott Phase 1 házirendet használja. (Ebben a példában a RoadWarrior)
• Görgessen le a Házirend opcióhoz, és állítsa be a Helyi házirendet a "LAN1_SUBNET" címobjektum használatára. Ezáltal a VPN-felhasználó a LAN1-hez csatlakoztatott összes eszközhöz hozzáférhet.
• A Phase 2 Setting alatti Active Protocol (Aktív protokoll)beállítása legyen "ESP".
• A kapszulázás "Tunnel".
• Állítsa be a használni kívánt "Titkosítás" és "Hitelesítés" javaslatot (A titkosítási lehetőségek: DES, 3DES, AES128, AES192, AES256) (A hitelesítési lehetőségek: MD5, SHA1, SHA256, SHA512).
• Perfect Forward Secrecy (PFS) a titkosítás egy további szintje. Nem szükséges engedélyezni, de ha a hozzáadott titkosítási szintet kívánja használni, a lehetőségek a következők: None (Nincs), DH1, DH2 és/vagy DH5.
• A Kapcsolódó beállítások alatt, győződjön meg róla, hogy a Zóna az "IPSec_VPN" értékre van beállítva.
  
  

Most, hogy a VPN szabály 1. és 2. fázisa befejeződött, vegye le a jelölőnégyzetet a "Use Policy Route to control dynamic IPSec rules" (Házirend útvonal használata a dinamikus IPSec szabályok vezérléséhez) jelölőnégyzetből. Ha ezt az opciót kipipálja, akkor a ZyWALL automatikusan létrehozza az útvonalakat a csatlakozó VPN-felhasználók számára.

Konfiguráció biztosítása

Bizonyos VPN kliensek, mint például a "ZyWALL IPSec VPN Client" és a "TheGreenBow VPN Client" rendelkeznek egy olyan provisioning opcióval, amely lehetővé teszi, hogy az Ön által konfigurált VPN-szabály beállításait letöltse ahelyett, hogy az ügyfelet kézzel kellene konfigurálnia. A VPN-ellátás beállításához a RoadWarrior dinamikus VPN-szabályhoz egyszerűen létrehoztuk a Configuration Provisioning lapot az IPSec VPN menüben(Configuration → VPN → IPSec VPN).

Mielőtt beállítanánk a provisioningot, létre kell hoznunk egy felhasználói fiókot, hogy engedélyezzük a beállítások letöltését. Lépjen a Configuration → Object → User/Group menüpontra, és kattintson a Add gombra egy "User" szintű fiók beillesztéséhez. A rendszergazdai fiókok nem használhatják a konfiguráció rendelkezésre bocsátásának letöltési lehetőségét.

Most, hogy a felhasználói fiók létrehozása megtörtént, lépjen a Configuration → VPN → IPSec VPN menüpontra, és kattintson a Configuration Provisioning fülre, hogy beszúrjon egy szabályt a RoadWarrior VPN beállítások letöltésének engedélyezéséhez VPN kliens.

• Engedélyezze a VPN konfiguráció biztosítása menüpontot.
• Kattintson a Hozzáadás gombra egy olyan szabály létrehozásához, amely engedélyezi a "RoadWarrior_Connection" VPN-kapcsolat "VPN-user" Engedélyezett felhasználó számára történő biztosítását. Győződjön meg róla, hogy a szabály engedélyezve van, majd kattintson a Apply gombra a beállítások mentéséhez.
  

ZyWALL VPN kliens

Az útválasztón konfigurált VPN-konfiguráció-ellátási beállítások letöltéséhez nyissa meg az ügyfélszoftvert, kattintson a Configuration menüpontra, és válassza a "Get from Server" opciót.

Írja be a ZyWALL routerhez tartozó nyilvános IP-címet, tartománynevet vagy DDNS nevet. Az ügyfél SSL-en keresztül tölti le a beállítást. Alapértelmezés szerint a ZyWALL úgy van programozva, hogy a 443-as portot használja az SSL-hez. Ha megváltoztatta a portot, adja meg az új SSL-portot. Írja be a rendelkezésre bocsátási konfigurációhoz tartozó felhasználónevet és jelszót, majd kattintson a Next (Tovább) gombra.

Megjegyzés: Ez csak akkor működik, ha a távoli kezelés engedélyezve van a ZyWALL útválasztón, ha a távoli kezelés ki van kapcsolva, akkor a konfigurációs provisioning funkció nem fogja tudni automatikusan lekérni a VPN konfigurációs beállításokat a ZyWALL útválasztóról.

A kliens a VPN konfigurációs beállítások letöltésére irányuló kérést a ZyWALL routerre küldi.

Most, hogy a konfiguráció letöltésre került, létrehozhat egy VPN-alagutat a számítógép és a ZyWALL router között. Kattintson a jobb gombbal a konfiguráció 2. fázisú részére, és válassza az "Alagút megnyitása" lehetőséget a VPN tárcsázó elindításához.

A VPN-forgalom teljes vagy osztott alagútjának beállításához nézze meg itt:

VPN Full/Split Tunneling

Tesztelés és hibaelhárítás

Próbáljon meg VPN-kapcsolatot létesíteni az útválasztóval. Ha a kapcsolat létrejött, próbálja meg pingelni vagy elérni a távoli hálózat bármely erőforrását.

1. Ha nem tud forgalmat bonyolítani a VPN-alagúton keresztül:

• Kapcsolja ki a tűzfalat a távoli állomáson, hogy megbizonyosodjon arról, hogy az nem blokkolja a kérést.
• Megkísérli elérni az erőforrásokat a számítógép hostnevét használva? Próbálja meg helyette a számítógéphez rendelt IP-címet használni. A számítógép hostnevének használata a NetBIOS broadcast protokollt igényli a számítógép IP-címének feloldásához; az IPSec szabvány nem támogatja a broadcastokat. Mivel az IPSec VPN-szabvány nem támogatja az átvitelt, nem tudjuk garantálni, hogy az IP-címek helyett a hosztnevek használata működni fog. Az IPSec-szabvány e korlátozása ellen egy WINS-kiszolgáló használata jelenthet megoldást.
• Kapcsolja ki a ZyWALL útválasztó tűzfalát.
• Győződjön meg arról, hogy nincsenek IP-konfliktusok. Ha a ZyWALL hálózata a 192.168.1.0/24 hálózat használatára van konfigurálva, és a távoli felhasználó is ugyanazt az IP-sémát használja, a forgalom nem fog megfelelően átvezetni a VPN-alagúton.
• Ellenőrizze az állomáshálózat átjáróját, ha a helyi útválasztón (nem a ZyWALL-on) nincs engedélyezve a VPN áthaladás, vagy nincsenek megnyitva a szükséges portok, akkor a VPN nem működik megfelelően.
• További segítségért forduljon a műszaki támogatáshoz.
• A VPN-alagút nem jön létre/kapcsolódik:

• Győződjön meg róla, hogy a hálózati router átengedi az IPSec portokat (UDP:500 és UDP:4500), vagy győződjön meg róla, hogy engedélyezte a VPN pass-through-t, ha a router támogatja ezt az opciót. Az útválasztó megkerülése lehetséges, hogy megbizonyosodjon arról, hogy nem az okozza a problémát.
• Győződjön meg róla, hogy az internetszolgáltatója nem blokkolja a VPN-portokat; egyes szolgáltatók a saját oldalukon blokkolják a VPN-portokat.
• Ellenőrizze, hogy a számítógép tűzfala engedélyezi-e a VPN-kliens kommunikációját.
• Frissítse a hálózati kártyák illesztőprogramjait (Ethernet és/vagy Wi-Fi).
• Ellenőrizze a ZyWALL VPN-beállításait, és győződjön meg róla, hogy azok megegyeznek a szoftveres kliens konfigurációjával.
• További segítségért forduljon a műszaki támogatáshoz.

Videó:

+++ A Zyxel VPN klienseihez (SSL VPN, IPsec) licenceket vásárolhat azonnali szállítással, 1 kattintással: Zyxel Webstore +++