VPN - Configurazione di una VPN IPSec da sito a sito dietro un router NAT

Questo esempio mostra come utilizzare la procedura guidata di configurazione VPN per creare un tunnel VPN IPSec da sito a sito tra i dispositivi ZyWALL/USG. L'esempio illustra come configurare il tunnel VPN tra ciascun sito mentre un sito si trova dietro un router NAT (anche detto Double-NAT). Una volta configurato il tunnel VPN IPSec da sito a sito, è possibile accedere a ciascun sito in modo sicuro.

Contenuto

PROCEDURA DI IMPOSTAZIONE/PASSO PER PASSO:

Impostazione del tunnel VPN IPSec ZyWALL/USG della rete aziendale (HQ)

1. Nello ZyWALL/USG utilizzare la procedura guidata Impostazioni VPN per creare una regola VPN utilizzabile con il FortiGate. Fare clic su Avanti.

Configurazione rapida > Configurazione guidata VPN > Benvenuto

2. Scegliere Express per creare una regola VPN con le impostazioni predefinite di fase 1 e fase 2 e utilizzare una chiave pre-condivisa come metodo di autenticazione. Fare clic su Avanti.

Installazione rapida > Installazione guidata VPN > Tipo di procedura guidata

3. Digitare il nome della regola utilizzato per identificare la connessione VPN (e il gateway VPN). È possibile utilizzare da 1 a 31 caratteri alfanumerici. Questo valore è sensibile alle maiuscole e alle minuscole. Selezionare la regola da sito a sito. Fare clic su Avanti.

Configurazione rapida > Configurazione guidata VPN > Tipo di procedura guidata > Impostazioni VPN (scenario)

4. Configurare Secure Gateway IP come indirizzo IP WAN della filiale (nell'esempio, 172.100.30.40). Digitare quindi una chiave precondivisa sicura (8-32 caratteri).

Impostare Local Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (HQ) e Remote Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (Branch).

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Configurazione)

5. Questa schermata fornisce un riepilogo di sola lettura del tunnel VPN. Fare clic su Salva.

Configurazionerapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN (Riepilogo)

6. Ora la regola è configurata sullo ZyWALL/USG. Le impostazioni delle regole di fase appariranno qui

Fase 1: VPN > IPSec VPN > Gateway VPN
Fase 2: VPN > IPSec VPN > Connessione VPN
Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN > Procedura guidata completata

7. Configurare Peer ID Type come Any per consentire allo ZyWALL/USG di non verificare l'identità del router IPSec remoto.

CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN > Mostra impostazioni avanzate > Autenticazione > Tipo ID Peer

Impostazione del tunnel IPSec VPN di ZyWALL/USG della rete aziendale (filiale)

1. Nello ZyWALL/USG utilizzare la procedura guidata Impostazioni VPN per creare una regola VPN utilizzabile con il FortiGate. Fare clic su Avanti.

Configurazione rapida > Configurazione guidata VPN > Benvenuto

2. Scegliere Express per creare una regola VPN con le impostazioni predefinite di fase 1 e fase 2 e utilizzare una chiave pre-condivisa come metodo di autenticazione. Fare clic su Avanti.

Installazione rapida > Installazione guidata VPN > Tipo di procedura guidata

3. Digitare il nome della regola utilizzato per identificare la connessione VPN (e il gateway VPN). È possibile utilizzare da 1 a 31 caratteri alfanumerici. Questo valore è sensibile alle maiuscole e alle minuscole. Selezionare la regola da sito a sito. Fare clic su Avanti.

Configurazione rapida > Configurazione guidata VPN > Tipo di procedura guidata > Impostazioni VPN (scenario)

4. Configurare Secure Gateway IP come indirizzo IP WAN della filiale (nell'esempio, 172.100.20.30). Digitare quindi una chiave precondivisa sicura (8-32 caratteri).

Impostare Local Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (HQ) e Remote Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (Branch).

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Configurazione)

5. Questa schermata fornisce un riepilogo di sola lettura del tunnel VPN. Fare clic su Salva.

Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN (Riepilogo)

6. Ora la regola è configurata sullo ZyWALL/USG. Le impostazioni delle regole di fase appariranno qui

Fase 1: VPN > IPSec VPN > Gateway VPN
Fase 2: VPN > IPSec VPN > Connessione VPN
Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN > Procedura guidata completata

7. Configurare Peer ID Type come Any per consentire allo ZyWALL/USG di non verificare l'identità del router IPSec remoto.

CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN > Mostra impostazioni avanzate > Autenticazione > Tipo ID Peer

Impostazione del router NAT (in questo esempio si utilizza il dispositivo ZyWALL USG)

1. Selezionare l'interfaccia in entrata su cui devono essere ricevuti i pacchetti per la regola NAT. Specificare il campo IP originale definito dall'utente e digitare l'indirizzo IP di destinazione tradotto che questa regola NAT supporta.

CONFIGURAZIONE > Rete > NAT > Aggiungi

2. L'inoltro IP deve essere abilitato sul firewall per i seguenti protocolli IP e porte UDP:

Protocollo IP = 50 → Utilizzato dal percorso dati (ESP)
Protocollo IP = 51 → Utilizzato dal percorso dati (AH)
Numero di porta UDP = 500 → Utilizzato da IKE (percorso di controllo IPSec)
Numero porta UDP = 4500 → Utilizzato da NAT-T (IPsec NAT traversal)
CONFIGURAZIONE > Criteri di sicurezza > Controllo criteri

VERIFICA:

Verifica del tunnel VPN IPSec

1. Andare a

CONFIGURAZIONE > VPN > VPN IPSec > Connessione VPN

fare clic su Connetti nella barra superiore. L'icona di stato della connessione è accesa quando l'interfaccia è connessa.

2. Verificare il tempo di attività del tunnel e il traffico in entrata (Bytes)/in uscita (Bytes).

MONITOR > Monitoraggio VPN > IPSec

3. Per verificare se il tunnel funziona o meno, eseguire un ping da un computer di un sito a un computer dell'altro. Assicurarsi che entrambi i computer abbiano accesso a Internet (tramite i dispositivi IPSec).

PC dietro ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33

PC dietro ZyWALL/USG (filiale) > Window 7 > cmd > ping 10.10.10.33

Cosa potrebbe andare storto?

1. Se viene visualizzato il seguente messaggio di log [info] o [error], controllare le impostazioni di ZyWALL/USG Fase 1. Entrambi gli ZyWALL/USG della sede centrale e delle filiali devono utilizzare la stessa chiave precondivisa, la stessa crittografia, lo stesso metodo di autenticazione, lo stesso gruppo di chiavi DH e lo stesso tipo di ID per stabilire il SA IKE.

MONITOR > Log

2. Se si vede che il processo di Fase 1 IKE SA è stato completato, ma si ottiene comunque il messaggio di log [info], controllare le impostazioni di Fase 2 di ZyWALL/USG. Entrambi gli ZyWALL/USG della sede centrale e delle filiali devono utilizzare lo stesso protocollo, incapsulamento, crittografia, metodo di autenticazione e PFS per stabilire il SA IKE.

MONITOR > Log

3. Assicurarsi che i criteri di sicurezza di entrambi gli ZyWALL/USG della sede centrale e della filiale consentano il traffico IPSec VPN. IKE utilizza la porta UDP 500, AH il protocollo IP 51 ed ESP il protocollo IP 50.

4. Per impostazione predefinita, il NAT traversal è abilitato su ZyWALL/USG; assicurarsi che anche il dispositivo IPSec remoto abbia il NAT traversal abilitato.

Interessante:

Volete dare un'occhiata direttamente a uno dei nostri dispositivi di prova? Date un'occhiata qui nel nostro laboratorio virtuale:

LAB virtuale - VPN da sito a sito

KB-00167