Zyxel Firewall VPN - Configurare IPSec Site-To-Site VPN su Zyxel Firewall Modalità Stand-alone

Questa guida ti accompagnerà nella configurazione di una VPN Site-to-Site (S2S) tra due firewall utilizzando IKEv2 IPSec. Copriremo sia la configurazione manuale che l’uso di un wizard integrato, oltre a come configurare la VPN per gestire più subnet all’interno dello stesso tunnel.

Se stai cercando altri scenari VPN, suggerimenti e trucchi, dai un’occhiata ai seguenti articoli:

Generale:

• Guida VPN - Come scegliere il tipo di VPN giusto per il tuo Home Office (+Link Utili e Tutorial)
• Provisioning Configurazione VPN su un USG-Firewall
• Zyxel Firewall [VPN] - Risoluzione problemi Site-to-Site VPN [Modalità Stand-alone]

Nebula:

• Creare una Site-to-Site VPN in Nebula tra due Gateway Nebula (NSG)

Un ufficio vuole connettersi in modo sicuro alla sede centrale tramite Internet. Entrambi gli uffici hanno un USG / ZyWall / ATP / USG FLEX per accedere a Internet.

Nota: Prima di iniziare a configurare la VPN, assicurati che entrambi i siti non abbiano le stesse subnet. Configurare una VPN tra siti con la stessa subnet su entrambi i lati è tecnicamente possibile, ma non è semplice e può portare a complicazioni dovute a indirizzi IP sovrapposti. Quando entrambi i siti hanno la stessa subnet, ciò può causare conflitti di routing perché la VPN non saprà a quale lato inviare il traffico quando vede un indirizzo IP che esiste in entrambe le posizioni.

Metodo Wizard per Configurare la VPN

Il metodo più semplice e comodo per stabilire una connessione Site-to-Site è utilizzare il wizard integrato. Nel primo esempio di questo articolo, ti guideremo attraverso il processo. Inoltre, se hai avuto problemi durante la configurazione manuale di una VPN, puoi utilizzare il wizard per configurare la VPN e confrontare le impostazioni ai fini della risoluzione dei problemi.

Impostazioni Sito HQ (Wizard)

• Accedi alla Web GUI del firewall del sito HQ e vai alla sezione Quick Setup Wizard nel menu a sinistra.
• Clicca su "VPN Setup"

Puoi scegliere tra Express (VPN con valori predefiniti) o Advanced (impostazione manuale di crittografia ecc.). Per l’esempio in questo articolo, abbiamo scelto l’opzione "Advanced".

• Consigliamo vivamente di usare IKEv2 invece di IKEv1 per migliorare la sicurezza, velocizzare l’instaurazione della connessione, la stabilità, supportare la mobilità e aumentare l’efficienza nella gestione dei cambiamenti di rete.
• Inserisci un nome comprensibile e scegli Site-to-Site VPN.
• Clicca su "Next"

Impostazioni Fase 1

• Alla schermata successiva, inserisci “Secure Gateway”. Questo è l’indirizzo WAN del tuo secondo firewall; in questo caso, è l’indirizzo IP del sito Branch. (Quando inizierai a configurare il secondo firewall, dovrai inserire l’indirizzo IP WAN di quel firewall.)
• Imposta le proposte di Fase 1 come desiderato. Per motivi di sicurezza, scegli una password forte e proposte con buona crittografia/autenticazione, come AES256 per la crittografia, SHA512 per l’autenticazione e DH14 per il gruppo di chiavi.

Impostazioni Fase 2

• Assicurati che le impostazioni di fase 2 siano uguali a quelle di fase 1 (ad esempio AES256, SHA512).
• Local Policy e Remote Policy - Le policy locali e remote definiscono quale traffico viene criptato in una VPN site-to-site, garantendo una comunicazione sicura, efficiente e correttamente instradata tra le reti.
  
  Nota: Controlla prima che l’indirizzo IP della subnet remota non esista già nella subnet locale per evitare una doppia configurazione di indirizzi IP. Quando la subnet remota è simile a una subnet locale, potrai raggiungere solo la rete locale.

• Una volta inseriti correttamente tutti i dati, clicca su “Next”, ricontrolla tutte le impostazioni, clicca su "Save" e procedi a configurare il secondo firewall.

Impostazioni Sito Branch (Wizard)

Devi seguire esattamente la stessa procedura per il firewall nel secondo ufficio. La principale differenza riguarda alcune impostazioni.

• Gateway IP deve essere specificato come l’IP WAN del dispositivo nel sito HQ
• Local Policy e Remote Policy saranno anch’esse diverse. Esempio sotto:
  Sito HQ
  Local Policy: 192.168.40.1
  Remote Policy: 192.168.70.1
  Sito Branch:
  Local Policy: 192.168.70.1
  Remote Policy: 192.168.40.1

• Se tutto è stato configurato correttamente e non ci sono problemi di connessione, altre impostazioni o costruzione, una connessione VPN verrà stabilita automaticamente subito dopo aver salvato le impostazioni.

Metodo Manuale per Configurare la VPN

VPN Gateway - Impostazioni Manuali Sito HQ

• Accedi alla Web GUI del firewall del sito HQ

Vai su Configuration -> VPN -> VPN Ge -> Add

• Seleziona la casella Enable
• Inserisci un nome chiaro
• Seleziona la Versione IKE

Consigliamo vivamente di usare IKEv2 invece di IKEv1 per migliorare la sicurezza, velocizzare l’instaurazione della connessione, la stabilità, supportare la mobilità e aumentare l’efficienza nella gestione dei cambiamenti di rete.

• My Address (Interfaccia) - imposta il tuo indirizzo IP WAN.
• Peer Gateway Address - Questo è l’indirizzo WAN del tuo secondo firewall; in questo caso, è l’indirizzo IP del sito Branch. (Quando inizierai a configurare il secondo firewall, dovrai inserire l’indirizzo IP WAN di quel firewall.)
• Pre-Shared Key - Crea una password forte (userai questa chiave anche sul dispositivo remoto).
• Impostazioni Fase 1 - Imposta le proposte di Fase 1 come desiderato. Per motivi di sicurezza, scegli una password forte e proposte con buona crittografia/autenticazione, come AES256 per la crittografia, SHA512 per l’autenticazione e DH14 per il gruppo di chiavi. 

VPN Tunnel - Impostazioni Manuali Sito HQ

Configuration > VPN > IPSec VPN > VPN Connection > Add

La prima cosa da fare è creare un oggetto per la “Remote Policy” cliccando su “Create New Object” e selezionando “IPV4 Address”.

• Nome - inserisci un nome chiaro
• Tipo Indirizzo - “SUBNET”
• Rete - l’indirizzo della rete locale del sito remoto
• Netmask - la subnet mask del sito remoto
• Poi clicca su “OK”

Ora possiamo continuare a compilare gli altri campi.

• Seleziona la casella Enable
• Inserisci un nome chiaro
• Seleziona Site-To-Site VPN
• VPN Gateway - seleziona il VPN Gateway creato nel passaggio precedente
• Local Policy e Remote Policy saranno diverse.
• Impostazioni Fase 2 - Imposta le proposte di Fase 2 come desiderato. Per motivi di sicurezza, scegli una password forte e proposte con buona crittografia/autenticazione, come AES256 per la crittografia, SHA512 per l’autenticazione e DH14 per il gruppo di chiavi. 
• Clicca su "Ok"

Ora possiamo iniziare a configurare il sito Branch. Per farlo, segui gli stessi passaggi effettuati per il sito HQ, ma con alcune modifiche nei dati.

VPN Gateway - Impostazioni Manuali Sito Branch

Configuration > VPN > IPSec VPN > VPN Gateway

Ripeti i passaggi del sito HQ per configurare il VPN Gateway

• Quando hai configurato il VPN Gateway sul firewall del sito HQ, hai specificato l’IP WAN del sito Branch nel campo "Peer Gateway Address Static Address”. Ora, configurando il sito Branch, devi specificare l’IP WAN del sito HQ nel campo "Peer Gateway Address Static Address”.
• Pre-Shared Key - deve essere la stessa per entrambi i siti.

VPN Tunnel - Impostazioni Manuali Sito Branch

Configuration > VPN > IPSec VPN > VPN Connection

Ripeti i passaggi del sito HQ per configurare il VPN Tunnel

• A parte qualche differenza, quando hai configurato il sito HQ, hai specificato la rete del sito Branch nella Remote Policy. Ora, configurando il sito Branch, devi specificare la rete del sito HQ nel campo Remote Policy.

Seleziona l’opzione "Nailed-Up" per stabilire il tunnel VPN e connetterti automaticamente.

Testare il risultato

• Connetti manualmente il tunnel VPN la prima volta. Successivamente, dovrebbe rieseguire la scansione della connettività e riconnettersi automaticamente.
• Puoi vedere che il tunnel VPN è connesso quando il simbolo della terra è verde.

Nota: Controlla le regole del firewall per assicurarti che esistano le regole predefinite IPSec-to-Device e IPSec-to-Any.
Altrimenti, il traffico tra i tunnel potrebbe essere bloccato.

Limitazione - Uso di più subnet

Sui firewall Zyxel esiste una limitazione che non permette di selezionare più subnet in un tunnel VPN. La local policy (subnet) e la remote policy (subnet) possono essere configurate solo con una subnet ciascuna.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Per aggirare questo problema, puoi configurare manualmente una policy route per instradare altre subnet nel tunnel.

Crea questa policy route:

Nota! Potrebbe essere necessario instradare i pacchetti di risposta di ritorno attraverso il tunnel nel sito remoto.

Risoluzione problemi

Problemi comuni e soluzioni:

• Chiave Pre-condivisa errata: Verifica attentamente la chiave pre-condivisa su entrambi i dispositivi.
• Configurazione subnet errata: Assicurati che le subnet locali e remote siano configurate correttamente nelle impostazioni VPN.
• Impostazioni Fase 1 e Fase 2:

Impostazioni chiave da verificare per assicurarsi che siano uguali su entrambi i siti

• Metodo di autenticazione: Di solito si usa una chiave pre-condivisa.
• Algoritmo di crittografia: Opzioni comuni includono AES (128/256 bit), 3DES.
• Algoritmo di hash: Di solito SHA-256 o SHA-512 o SHA-1.
• Gruppo DH (Diffie-Hellman): Garantisce uno scambio sicuro delle chiavi (es. Gruppo 2, Gruppo 14).
• Durata (Lifetime): 

Per istruzioni più dettagliate sulla risoluzione dei problemi, consulta il link:

Zyxel Firewall [VPN] - Risoluzione problemi Site-to-Site VPN [Modalità Stand-alone]