Avviso importante: |
Questa guida vi guiderà nella configurazione di una VPN Site-to-Site (S2S) tra due firewall utilizzando IPSec IKEv2. Verranno trattate sia la configurazione manuale che l'uso di una procedura guidata integrata, oltre a come configurare la VPN per gestire più sottoreti all'interno dello stesso tunnel.
Se cercate altri scenari VPN, trucchi e consigli, date un'occhiata ai seguenti articoli:
Generale:
- Linee guida VPN - Scegliere il tipo di VPN giusto per l'ufficio di casa (+ Link utili ed esercitazioni)
- Provisioning della configurazione VPN su un firewall USG
- Firewall Zyxel [VPN] - Risoluzione dei problemi della VPN sito-sito [modalità stand-alone].
Nebula:
Un ufficio vuole collegarsi in modo sicuro alla propria sede centrale attraverso Internet. Entrambi gli uffici dispongono di un USG / ZyWall / ATP / USG FLEX per accedere a Internet.
Nota: prima di iniziare a configurare la VPN, assicurarsi che le due sedi non abbiano le stesse sottoreti. La configurazione di una VPN tra siti con la stessa sottorete su entrambi i lati è tecnicamente possibile, ma non è semplice e può comportare complicazioni dovute alla sovrapposizione degli indirizzi IP. Se entrambi i siti hanno la stessa subnet, possono verificarsi conflitti di routing perché la VPN non sa a quale lato inviare il traffico quando vede un indirizzo IP presente in entrambe le sedi.
Metodo guidato per l'impostazione della VPN
Il metodo più semplice e comodo per stabilire una connessione Site-to-Site è quello di utilizzare la procedura guidata integrata. Nel primo esempio di questo articolo, vi guideremo attraverso la procedura. Inoltre, se avete avuto problemi durante la configurazione manuale di una VPN, potete usare la procedura guidata per configurare la VPN e confrontare le impostazioni per la risoluzione dei problemi.
Impostazioni del sito HQ (Wizzard)
- Accedere alla GUI Web del firewall HQ Site e andare alla sezione Installazione guidata rapida nel menu di sinistra.
- Fare clic su "Impostazione VPN".
È possibile scegliere tra Express (VPN con valori predefiniti) e Advanced (impostazione manuale della crittografia, ecc.). Per fornire un esempio in questo articolo, abbiamo scelto l'opzione "Avanzata".
- Si consiglia vivamente di utilizzare IKEv2 anziché IKEv1 per migliorare la sicurezza, la velocità di creazione della connessione, la stabilità, il supporto della mobilità e l'efficienza nella gestione dei cambiamenti di rete.
- Assegnate un nome comprensibile e scegliete Site-to-Site VPN.
- Fate clic su "Avanti".
Impostazioni della fase 1
- In seguito, immettere "Secure Gateway" Questo è l'indirizzo Wan del secondo firewall; in questo caso, è l'indirizzo IP del sito della filiale. (Quando si inizia a configurare il secondo firewall, sarà necessario inserire l'indirizzo IP WAN di questo firewall). )
- Impostare le proposte della Fase 1 come desiderato. Per motivi di sicurezza, scegliere una password forte e proposte con una buona crittografia/autenticazione, come AES256 per la crittografia, SHA512 per l'autenticazione e DH14 per un gruppo di chiavi.
Impostazioni della fase 2
- Assicurarsi che le impostazioni della fase 2 siano le stesse di quelle della fase 1. (ad esempio, AES256, SHA512).
-
Criteri locali e criteri remoti - I criteri locali e remoti definiscono il traffico crittografato in una VPN da sito a sito, garantendo una comunicazione sicura, efficiente e correttamente instradata tra le reti.
Nota: verificare innanzitutto che l'indirizzo IP della subnet remota non sia già presente nella subnet locale per evitare una doppia configurazione dell'indirizzo IP. Se la subnet remota è simile a una subnet locale, sarà possibile raggiungere solo la rete locale.
- Una volta inseriti correttamente tutti i dati, fare clic su "Avanti", controllare nuovamente tutte le impostazioni, fare clic su"Salva" e procedere alla configurazione del secondo firewall.
Impostazioni del sito della filiale (Wizzard)
È necessario seguire esattamente la stessa procedura per il firewall del secondo ufficio. La differenza principale sta solo in alcune impostazioni.
- L'IP del gateway deve essere specificato come l'IP WAN del dispositivo nel sito HQ.
-
Anche icriteri locali e i criteri remoti saranno diversi. Esempio seguente:
Sede centrale
Criterio locale: 192.168.40.1
Criterio remoto: 192.168.70.1
Sito della filiale:
Criterio locale: 192.168.70.1
Criterio remoto: 192.168.40.1
- Se tutto è stato configurato correttamente e non ci sono problemi di connessione, di altre impostazioni o di costruzione, la connessione VPN verrà stabilita automaticamente subito dopo il salvataggio delle impostazioni.
Metodo manuale Impostazione VPN
Gateway VPN - Manuale delle impostazioni del sito HQ
- Accedere alla GUI Web del firewall del sito HQ
Go to Configuration -> VPN -> VPN Ge -> Add
- Selezionare la casella di controllo Abilita
- Assegnare un nomechiaro
- Selezionare la versione IKE
Si consiglia vivamente di utilizzare IKEv2 invece di IKEv1 per migliorare la sicurezza, la velocità di creazione della connessione, la stabilità, il supporto della mobilità e l'efficienza nella gestione dei cambiamenti di rete.
- Indirizzo personale (interfaccia) - imposta l'indirizzo IP wan.
- Indirizzo gateway peer - È l'indirizzo WAN del secondo firewall; in questo caso, è l'indirizzo IP del sito della filiale. (Quando si inizia a configurare il secondo firewall, sarà necessario inserire l'indirizzo IP WAN di questo firewall.
- Pre-Shared Key - Creare una password forte (questa chiave verrà utilizzata anche sul dispositivo remoto).
- Impostazioni fase 1 - Impostare le proposte della fase 1 come desiderato. Per motivi di sicurezza, scegliere una password forte e proposte con una buona crittografia/autenticazione, come AES256 per la crittografia, SHA512 per l'autenticazione e DH14 per un gruppo di chiavi.
Tunnel VPN - Manuale delle impostazioni del sito HQ
Configuration > VPN > IPSec VPN > VPN Connection > Add
La prima cosa da fare è creare un oggetto per "Criterio remoto" facendo clic su "Crea nuovo oggetto" e selezionando "Indirizzo IPV4".
- Nome: inserire un nome chiaro
- Tipo di indirizzo: "SUBNET".
- Rete - l'indirizzo di rete locale del sito remoto
- Netmask - maschera di sottorete del sito remoto.
- Quindi fare clic su "OK".
Ora possiamo continuare a compilare gli altri campi.
- Selezionare la casella di controllo Abilita
- Assegnare un nomechiaro
- Selezionare VPN da sito a sito
- Gateway VPN - Selezionare il gateway VPN creato nel passaggio precedente.
- Icriteri locali e remoti saranno diversi.
- Impostazioni fase 2 - Impostare le proposte della fase 2 come desiderato. Per motivi di sicurezza, scegliere una password forte e proposte con una buona crittografia/autenticazione, come AES256 per la crittografia, SHA512 per l'autenticazione e DH14 per un gruppo di chiavi.
- Fare clic su "Ok".
Ora possiamo iniziare a configurare il sito della succursale. Per farlo, seguite gli stessi passaggi eseguiti per il sito HQ, ma con alcune modifiche ai dati.
Gateway VPN - Manuale delle impostazioni del sito della filiale
Configuration > VPN > IPSec VPN > VPN Gateway
Ripetere i passaggi del sito HQ per configurare il gateway VPN
- Quando si configura il gateway VPN sul firewall del sito HQ, si è specificato l'IP WAN del sito della filiale nel campo "Indirizzo gateway peer statico". Ora, quando si configura il sito della filiale, è necessario specificare l'IP WAN del sito HQ nel campo "Peer Gateway Address Static Address".
- Pre-Shared Key - deve essere la stessa per entrambi i siti.
Tunnel VPN - Manuale delle impostazioni del sito della succursale
Configuration > VPN > IPSec VPN > VPN Connection
Ripetere i passaggi relativi al sito HQ per configurare il tunnel VPN.
- A parte alcune differenze, quando si è configurato il sito HQ, si è specificata la rete del sito della filiale in Criteri remoti. Ora, quando si configura il sito della filiale, è necessario specificare la rete del sito HQ nel campo Criteri remoti.
Selezionare l'opzione "Inchiodato" per stabilire il tunnel VPN e connettersi automaticamente.
Test del risultato
- Collegare il tunnel VPN manualmente la prima volta. Successivamente, dovrebbe eseguire una nuova scansione della connettività e riconnettersi automaticamente.
- Il tunnel VPN è connesso quando il simbolo della terra è verde.
Nota: controllare le regole del firewall per verificare che esistano le regole predefinite IPSec-to-Device e IPSec-to-Any.
In caso contrario, il traffico tra i tunnel potrebbe essere bloccato.
Limitazione - Utilizzo di più sottoreti
Sui firewall Zyxel, esiste una limitazione per cui non è possibile selezionare più sottoreti in un tunnel VPN. Il criterio locale (subnet) e il criterio remoto (subnet) possono essere configurati solo con una subnet ciascuno.
Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy
Per ovviare a questo problema, è possibile configurare una rotta di criterio per instradare manualmente altre sottoreti nel tunnel.
Creare questa rotta di criterio:
Nota! Potrebbe essere necessario instradare i pacchetti di risposta attraverso il tunnel sul sito remoto.
Risoluzione dei problemi
Problemi comuni e soluzioni:
- Chiave pre-condivisa errata: Ricontrollare la chiave pre-condivisa su entrambi i dispositivi.
- Configurazione errata della sottorete: Assicurarsi che nelle impostazioni VPN siano configurate le sottoreti locali e remote corrette.
- Impostazioni di fase 1 e fase 2:
Impostazioni della chiave che devono essere controllate per assicurarsi che siano le stesse su entrambi i siti.
- Metodo di autenticazione: In genere, viene utilizzata una chiave pre-condivisa.
- Algoritmo di crittografia: Le opzioni più comuni includono AES (128/256 bit), 3DES.
- Algoritmo di hash: In genere SHA-256 o SHA-512 o SHA-1.
- Gruppo DH (Gruppo Diffie-Hellman): Garantisce uno scambio di chiavi sicuro (ad esempio, Gruppo 2, Gruppo 14).
- Durata:
Per istruzioni più dettagliate sulla risoluzione dei problemi, consultare il link:
Firewall Zyxel [VPN] - Risoluzione dei problemi della VPN sito-sito [Modalità autonoma].