Come configurare il routing per i client L2TP over IPSec verso un ufficio remoto tramite un tunnel IPSec sui gateway hardware della serie ZyWALL USG?
(Utilizzando ZyWALL USG 50 come esempio)
Consideriamo la seguente topologia:
Ci sono 2 uffici, A e B (in ogni ufficio è installato un gateway hardware della serie ZyWALL USG). Sono collegati tramite un tunnel VPN IPSec. I client remoti L2TP over IPSec si connettono a ciascun ufficio tramite Internet.
Il compito: configurare il routing in modo che tutti i client L2TP over IPSec possano accedere alla subnet locale degli uffici A e B, indipendentemente dall'ufficio a cui il client si connette.
L'essenza della configurazione si riduce a creare due rotte su entrambi i gateway di sicurezza:
1. Tutto il traffico (con qualsiasi indirizzo IP sorgente) diretto alla subnet remota sarà instradato nel tunnel VPN IPSec. Questa rotta è necessaria perché gli indirizzi IP dei client L2TP over IPSec non rientrano nell'intervallo specificato in VPN Connections per la connessione tra i due uffici. Il traffico non sarà instradato automaticamente nel tunnel.
2. La seconda rotta istruirà il gateway che il traffico con indirizzi IP di destinazione provenienti dall'intervallo dei client L2TP over IPSec remoti deve essere inviato attraverso il tunnel IPSec tra gli uffici, o che il traffico destinato ai client L2TP over IPSec remoti deve essere instradato tramite il tunnel IPSec tra gli uffici. Senza questa rotta, le risposte alle richieste non saranno consegnate.
Esaminiamo i parametri del nostro setup di test:
| ZyWALL USG 50 (Ufficio A) | ZyWALL USG 100 (Ufficio B) |
wan1: 10.0.0.2 (in un setup reale questo dovrebbe essere un indirizzo IP statico globale) | wan1: 10.0.1.2 (in un setup reale questo dovrebbe essere un indirizzo IP statico globale) |
Configurazione ZyWALL USG 50 dall'Ufficio A
Per configurare le interfacce, vai su Configuration > Network > Interface e seleziona la scheda Ethernet.
Per creare gli oggetti necessari alla configurazione del routing, vai su Configuration > Object > Address.
Oltre alle subnet per i client L2TP over IPSec, è necessario creare anche un oggetto di tipo INTERFACE IP per l'interfaccia wan1 e un oggetto di tipo SUBNET che definisca la subnet remota dell'Ufficio B. Questo è necessario per configurare il tunnel L2TP over IPSec e il tunnel IPSec tra gli uffici.
Il tunnel L2TP over IPSec e il tunnel IPSec tra gli uffici devono essere configurati in Configuration > VPN > IPSec VPN > VPN Gateway e Configuration > VPN > IPSec VPN > VPN Connection.
Per configurare le regole di routing, vai su Configuration > Network > Routing > Policy Route.
Impostazioni della prima rotta:
Impostazioni della seconda rotta:
Successivamente, è necessario configurare il firewall. Per configurare le regole del firewall, vai su Configuration > Network > Firewall.
Nel nostro setup, la condizione principale per consentire i pacchetti attraverso il firewall è associare entrambi i tunnel alla stessa zona, dove il traffico tra le interfacce nella zona è consentito (Block Intra-zone – no).
Dovrebbero esserci anche regole che consentano il traffico da questa zona alla rete locale e dalla rete locale a questa zona.
Configurazione ZyWALL USG 100 dall'Ufficio B
Per configurare le interfacce, vai su Configuration > Network > Interface e seleziona la scheda Ethernet.
Per creare gli oggetti necessari alla configurazione del routing, vai su Configuration > Object > Address.
Oltre alle subnet per i client L2TP over IPSec, è necessario creare anche un oggetto di tipo INTERFACE IP per l'interfaccia wan1 e un oggetto di tipo SUBNET che definisca la subnet remota dell'Ufficio A. Questo è necessario per configurare il tunnel L2TP over IPSec e il tunnel IPSec tra gli uffici.
Il tunnel L2TP over IPSec e il tunnel IPSec tra gli uffici devono essere configurati in Configuration > VPN > IPSec VPN > VPN Gateway e Configuration > VPN > IPSec VPN > VPN Connection.
Per configurare le regole di routing, vai su Configuration > Network > Routing > Policy Route.
Impostazioni della prima rotta:
Impostazioni della seconda rotta:
Successivamente, è necessario configurare il firewall. Per configurare le regole del firewall, vai su Configuration > Network > Firewall.
Nel nostro setup, la condizione principale per consentire i pacchetti attraverso il firewall è associare entrambi i tunnel alla stessa zona, dove il traffico tra le interfacce nella zona è consentito (Block Intra-zone – no).
Dovrebbero esserci anche regole che consentano il traffico da questa zona alla rete locale e dalla rete locale a questa zona.
Commenti
0 commentiAccedi per aggiungere un commento.