Zyxel H Series Firewall [next-hop in beleidsrouten] Waarom routegebaseerd VPN beleidsgebaseerd VPN vervangt - en waarom dat een goede zaak is

Met de introductie van het Zyxel UOS besturingssysteem en de release van de nieuwe H-serie, heeft Zyxel de manier waarop VPN-verbindingen worden afgehandeld gemoderniseerd. In tegenstelling tot apparaten van een eerdere generatie, zoals de USG- en ATP-serie, ondersteunt de H-serie niet langer het gebruik van VPN-tunnels als next-hop in Policy Routes.

Dit is geen beperking, maar eerder een verschuiving naar een moderne, interface-gebaseerde VPN-architectuur die gebruik maakt van route-gebaseerde VPN met VTI (Virtual Tunnel Interface). Dit artikel legt het verschil uit tussen VPN op basis van beleid en VPN op basis van routes, en waarom deze nieuwe benadering als betrouwbaarder, schaalbaarder en gemakkelijker te beheren wordt beschouwd.

Voordelen van routegebaseerd VPN met VTI op Zyxel USG FLEX H

• VPN-tunnels worden aangemaakt als virtuele interfaces (VTI) en nemen net als fysieke poorten deel aan routering.
• Het is niet nodig om VPN als next-hop te definiëren in Policy Routes, waardoor de configuratie minder complex wordt en het risico op verkeerde configuratie afneemt.
• Betere integratie met het zonegebaseerde beveiligingsmodel van Zyxel.

Scenario:

• Het hoofdkantoor gebruikt meerdere interne subnetten:
  • 192.168.10.0/24 - Administratie
  • 192.168.20.0/24 - Boekhouding
  • 192.168.30.0/24 - Magazijn
• Het bijkantoor heeft toegang tot al deze subnetten nodig via VPN.

Problemen met VPN op basis van beleid:

• Vereiste het creëren van een aparte tunnel of beleid voor elk subnet.
• Elke netwerkwijziging (bijv. een nieuw subnet) betekende een handmatige herconfiguratie van beleid en tunnels.

Gebruik van VTI op USG FLEX H:

• U creëert een enkele VPN-tunnel tussen de sites.
• Configureer standaard statische routes:

dst: 192.168.10.0/24 → via VTI-Office dst: 192.168.20.0/24 → via VTI-Office dst: 192.168.30.0/24 → via VTI-Office  

• Wanneer een nieuw subnet (bijv. 192.168.40.0/24) wordt toegevoegd - voeg gewoon een route toe, geen VPN herconfiguratie nodig.
• Toegangscontrole wordt beheerd via beveiligingsbeleid in plaats van statische routelogica.

IPSec VPN-tunnel instellen voor uOS

Dit voorbeeld demonstreert hoe de VPN Setup Wizard gebruikt kan worden om een route-gebaseerde site-to-site VPN-tunnel te configureren met een ZLD-apparaat als peer gateway, waardoor beveiligde toegang tussen de twee sites mogelijk wordt zodra de tunnel tot stand is gebracht.

Navigeer naarVPN > IPSec VPN > Site to Site VPN > Toevoegen en doorloop alle stappen van de wizard en vul de juiste velden in:

• Naam:
• IKE Version: IKEv2
• Selecteer in het veld Mijn adres de gewenste WAN-interface
• Voer in het veld Peer Gateway Address het openbare IP-adres van het externe (filiaal) apparaat in.
• Zone: IPSec_VPN
• Selecteer Pre-Shared Key (PSK) voor Authenticatiemethode.

Selecteer onder Type: Route-Based.

1. Voer bij Remote Subnet handmatig in: 192.168.88.0/27.
2. Voer in VTI-interface in: 169.254.63.164/255.255.255.255.
3. Controleer of het diagram de verbinding toont van de lokale interface ge1 naar het externe IP 93.159.250.211

Onder Fase 1 Instellingen en Fase 2 Instellingen:

• Voorstel: AES128 / SHA1
• DH-groep: DH2 / DH14

Klik op OK.

• De VTI-interface configureren

Configuratie > Netwerk > Interface > VTI

Stel een IPSec VPN-tunnel in voor ZLD

Navigeer naar Configuratie > VPN > IPSec VPN > VPN Gateway.

• Klik op Toevoegen en op Inschakelen.
• Voer VPN Gateway Naam in:
• Selecteer IKE-versie: IKEv2
• Onder Mijn adres: Kies Interface: ge1 (met uw publieke IP).
• Onder Peer Gateway Adres: voer het publieke IP-adres in van het externe (HQ) apparaat
• Onder Authenticatie: Kies Pre-Shared Key en voer dezelfde sleutel in die wordt gebruikt op het Flex-apparaat.

• De VTI-interface configureren

Configuratie > Netwerk > Interface > VTI