Avviso importante: |
L'articolo fornisce una guida passo-passo sull'impostazione di un tunnel VPN IPSec site-to-site utilizzando la procedura guidata di configurazione VPN sui dispositivi ZyWALL/USG. Spiega come configurare il tunnel VPN tra due siti, compreso uno dietro un router NAT, garantendo un accesso sicuro. Il processo prevede l'utilizzo della procedura guidata delle impostazioni VPN per creare una regola VPN con impostazioni di fase predefinite, configurare gli IP del gateway sicuro e impostare i criteri locali e remoti. Vengono inoltre descritte le fasi di verifica per testare la funzionalità del tunnel e si affrontano i potenziali problemi che possono insorgere, come ad esempio la mancata corrispondenza delle impostazioni o delle configurazioni dei criteri di sicurezza.
Impostazione del tunnel VPN IPSec ZyWALL/USG della rete aziendale (HQ)
1. Nello ZyWALL/USG utilizzare la procedura guidata Impostazioni VPN per creare una regola VPN utilizzabile con il FortiGate. Fare clic su Avanti.
Configurazione rapida > Configurazione guidata VPN > Benvenuto
2. Scegliere Express per creare una regola VPN con le impostazioni predefinite di fase 1 e fase 2 e utilizzare una chiave pre-condivisa come metodo di autenticazione. Fare clic su Avanti.
Installazione rapida > Installazione guidata VPN > Tipo di procedura guidata
3. Digitare il nome della regola utilizzato per identificare la connessione VPN (e il gateway VPN). È possibile utilizzare da 1 a 31 caratteri alfanumerici. Questo valore è sensibile alle maiuscole e alle minuscole. Selezionare la regola da sito a sito. Fare clic su Avanti.
Configurazione rapida > Configurazione guidata VPN > Tipo di procedura guidata > Impostazioni VPN (scenario)
4. Configurare Secure Gateway IP come indirizzo IP WAN della filiale (nell'esempio, 172.100.30.40). Digitare quindi una chiave precondivisa sicura (8-32 caratteri).
Impostare Local Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (HQ) e Remote Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (Branch).
Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Configurazione)
5. Questa schermata fornisce un riepilogo di sola lettura del tunnel VPN. Fare clic su Salva.
Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN (Riepilogo)
6. Ora la regola è configurata sullo ZyWALL/USG. Le impostazioni delle regole di fase appariranno qui
Fase 1: VPN > IPSec VPN > Gateway VPN Fase 2: VPN > IPSec VPN > Connessione VPN Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN > Procedura guidata completata
7. Configurare Peer ID Type come Any per consentire allo ZyWALL/USG di non verificare l'identità del router IPSec remoto.
CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN > Mostra impostazioni avanzate > Autenticazione > Tipo ID Peer
Impostazione del tunnel IPSec VPN di ZyWALL/USG della rete aziendale (filiale)
1. Nello ZyWALL/USG utilizzare la procedura guidata Impostazioni VPN per creare una regola VPN utilizzabile con il FortiGate. Fare clic su Avanti.
Configurazione rapida > Configurazione guidata VPN > Benvenuto
2. Scegliere Express per creare una regola VPN con le impostazioni predefinite di fase 1 e fase 2 e utilizzare una chiave pre-condivisa come metodo di autenticazione. Fare clic su Avanti.
Installazione rapida > Installazione guidata VPN > Tipo di procedura guidata
3. Digitare il nome della regola utilizzato per identificare la connessione VPN (e il gateway VPN). È possibile utilizzare da 1 a 31 caratteri alfanumerici. Questo valore è sensibile alle maiuscole e alle minuscole. Selezionare la regola da sito a sito. Fare clic su Avanti.
Configurazione rapida > Configurazione guidata VPN > Tipo di procedura guidata > Impostazioni VPN (scenario)
4. Configurare Secure Gateway IP come indirizzo IP WAN della filiale (nell'esempio, 172.100.20.30). Digitare quindi una chiave precondivisa sicura (8-32 caratteri).
Impostare Local Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (HQ) e Remote Policy come intervallo di indirizzi IP della rete collegata allo ZyWALL/USG (Branch).
Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Configurazione)
5. Questa schermata fornisce un riepilogo di sola lettura del tunnel VPN. Fare clic su Salva.
Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN (Riepilogo)
6. Ora la regola è configurata sullo ZyWALL/USG. Le impostazioni delle regole di fase appariranno qui
Fase 1: VPN > IPSec VPN > Gateway VPN Fase 2: VPN > IPSec VPN > Connessione VPN Configurazione rapida > Configurazione guidata VPN > Benvenuto > Tipo di procedura guidata > Impostazioni VPN > Procedura guidata completata
7. Configurare Peer ID Type come Any per consentire allo ZyWALL/USG di non verificare l'identità del router IPSec remoto.
CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN > Mostra impostazioni avanzate > Autenticazione > Tipo ID Peer
Impostazione del router NAT (in questo esempio si utilizza il dispositivo ZyWALL USG)
Nota: Queste impostazioni devono essere applicate solo se uno dei firewall si trova dietro un NAT. Queste impostazioni devono essere configurate sul router NAT posizionato prima del firewall, che potrebbe essere il router dell'ISP o il router principale della rete dell'ufficio. Di seguito viene riportato un esempio che utilizza uno dei nostri dispositivi, solo a scopo di riferimento.
1. Selezionare l'interfaccia in entrata su cui devono essere ricevuti i pacchetti per la regola NAT. Specificare il campo IP originale definito dall'utente e digitare l'indirizzo IP di destinazione tradotto che questa regola NAT supporta.
CONFIGURAZIONE > Rete > NAT > Aggiungi
2. L'inoltro IP deve essere abilitato sul firewall per i seguenti protocolli IP e porte UDP:
Protocollo IP = 50 → Utilizzato dal percorso dati (ESP)
Protocollo IP = 51 → Utilizzato dal percorso dati (AH)
Numero di porta UDP = 500 → Utilizzato da IKE (percorso di controllo IPSec)
Numero porta UDP = 4500 → Utilizzato da NAT-T (IPsec NAT traversal)
CONFIGURAZIONE > Criteri di sicurezza > Controllo dei criteri
VERIFICA:
Verifica del tunnel VPN IPSec
1. Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN
fare clic su Connetti nella barra superiore. L'icona di stato della connessione è accesa quando l'interfaccia è connessa.
2. Verificare il tempo di attività del tunnel e il traffico in entrata (Bytes)/in uscita (Bytes).
MONITOR > Monitoraggio VPN > IPSec
3. Per verificare se il tunnel funziona o meno, eseguire un ping da un computer di un sito a un computer dell'altro. Assicurarsi che entrambi i computer abbiano accesso a Internet (tramite i dispositivi IPSec).
PC dietro ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC dietro ZyWALL/USG (filiale) > Window 7 > cmd > ping 10.10.10.33
Cosa potrebbe andare storto?
1. Se viene visualizzato il seguente messaggio di log [info] o [error], controllare le impostazioni di ZyWALL/USG Phase 1. Entrambi gli ZyWALL/USG della sede centrale e delle filiali devono utilizzare la stessa chiave precondivisa, la stessa crittografia, lo stesso metodo di autenticazione, lo stesso gruppo di chiavi DH e lo stesso tipo di ID per stabilire il SA IKE.
MONITOR > Log
2. Se si vede che il processo di Fase 1 IKE SA è stato completato, ma si ottiene comunque il messaggio di log [info], controllare le impostazioni di Fase 2 di ZyWALL/USG. Entrambi gli ZyWALL/USG della sede centrale e delle filiali devono utilizzare lo stesso protocollo, incapsulamento, crittografia, metodo di autenticazione e PFS per stabilire il SA IKE.
MONITOR > Log
3. Assicurarsi che i criteri di sicurezza di entrambi gli ZyWALL/USG della sede centrale e della filiale consentano il traffico IPSec VPN. IKE utilizza la porta UDP 500, AH il protocollo IP 51 ed ESP il protocollo IP 50.
4. Per impostazione predefinita, il NAT traversal è abilitato su ZyWALL/USG; assicurarsi che anche il dispositivo IPSec remoto abbia il NAT traversal abilitato.
Commenti
0 commentiAccedi per aggiungere un commento.