Avviso importante: |
Con l'introduzione del sistema operativo Zyxel UOS e il rilascio della nuova serie H, Zyxel ha modernizzato il modo in cui vengono gestite le connessioni VPN. A differenza dei dispositivi di precedente generazione, come le serie USG e ATP, la serie H non supporta più l'utilizzo dei tunnel VPN come next-hop nelle rotte dei criteri.
Non si tratta di una limitazione, ma piuttosto di un passaggio a un'architettura VPN moderna, basata sull'interfaccia, che utilizza una VPN basata sulle rotte con VTI (Virtual Tunnel Interface). Questo articolo spiega la differenza tra VPN basata su policy e VPN basata su route e perché questo nuovo approccio è considerato più affidabile, scalabile e facile da gestire.
Vantaggi della VPN route-based con VTI su Zyxel USG FLEX H
- I tunnel VPN vengono creati come interfacce virtuali (VTI) e partecipano al routing proprio come le porte fisiche.
- Non è necessario definire la VPN come next-hop nelle rotte dei criteri, riducendo la complessità della configurazione e il rischio di configurazione errata.
- Migliore integrazione con il modello di sicurezza a zone di Zyxel.
Scenario:
- La sede centrale utilizza più sottoreti interne:
- 192.168.10.0/24 - Amministrazione
- 192.168.20.0/24 - Contabilità
- 192.168.30.0/24 - Magazzino
- La filiale ha bisogno di accedere a tutte queste sottoreti tramite VPN.
Problemi con la VPN basata su criteri:
- Richiedeva la creazione di un tunnel o di un criterio separato per ogni sottorete.
- Ogni modifica della rete (ad esempio, una nuova subnet) comportava la riconfigurazione manuale di policy e tunnel.
Utilizzo di VTI su USG FLEX H:
- Si crea un unico tunnel VPN tra i siti.
- Configurare le rotte statiche standard:
dst: 192.168.10.0/24 → via VTI-Office dst: 192.168.20.0/24 → via VTI-Office dst: 192.168.30.0/24 → via VTI-Office
- Quando viene aggiunta una nuova sottorete (ad esempio, 192.168.40.0/24), è sufficiente aggiungere una rotta, senza bisogno di riconfigurare la VPN.
- Ilcontrollo degli accessi è gestito attraverso le politiche di sicurezza invece che con la logica delle rotte statiche.
Configurazione del tunnel VPN IPSec per uOS
Questo esempio mostra come utilizzare la procedura guidata di configurazione VPN per configurare un tunnel VPN site-to-site basato su route con un dispositivo ZLD come gateway peer, consentendo un accesso sicuro tra i due siti una volta stabilito il tunnel.
Spostarsi suVPN > IPSec VPN > Site to Site VPN > Add. e seguire tutti i passaggi della procedura guidata, compilando i campi appropriati:
- Nome:
- Versione IKE: IKEv2
- Nel campo Indirizzo personale, selezionare l'interfaccia WAN richiesta.
- Nel campo Indirizzo gateway peer, inserire l'indirizzo IP pubblico del dispositivo remoto (filiale).
- Zona: IPSec_VPN
- Per Metodo di autenticazione, selezionare Pre-Shared Key (PSK).
In Tipo, selezionare: Route-Based.
- In Sottorete remota, inserire manualmente:
192.168.88.0/27. - In Interfaccia VTI, inserire:
169.254.63.164/255.255.255.255. - Verificare che il diagramma mostri la connessione dall'interfaccia locale
ge1all'IP remoto93.159.250.211.
In Impostazioni fase 1 e Impostazioni fase 2:
-
Proposta:
AES128 / SHA1 -
Gruppo DH:
DH2 / DH14
Fare clic su OK.
- Configurare l'interfaccia VTI
Configurazione > Rete > Interfaccia > VTI
Configurare un tunnel VPN IPSec per ZLD
Spostarsi su Configurazione > VPN > IPSec VPN > Gateway VPN.
- Fare clic su Aggiungi e selezionare Abilita.
- Immettere il nome del gateway VPN:
- Selezionare la versione IKE:
IKEv2 - Sotto Indirizzo personale: Scegliere
Interfaccia:ge1(con il proprio IP pubblico). - In Indirizzo gateway peer: inserire l'indirizzo IP pubblico del dispositivo remoto (HQ).
- In Autenticazione: Scegliere
Pre-Shared Keye inserire la stessa chiave usata sul dispositivo Flex.
- Configurare l'interfaccia VTI
Configurazione > Rete > Interfaccia > VTI
Commenti
0 commentiAccedi per aggiungere un commento.