Belangrijke mededeling: |
Het artikel biedt een stap-voor-stap handleiding voor het opzetten van een IPSec site-to-site VPN-tunnel met behulp van de VPN Setup Wizard op ZyWALL/USG-apparaten. Er wordt uitgelegd hoe de VPN-tunnel tussen twee sites geconfigureerd kan worden, inclusief een site achter een NAT-router, om veilige toegang te garanderen. Het proces omvat het gebruik van de wizard VPN-instellingen om een VPN-regel met standaardfase-instellingen aan te maken, veilige gateway-IP's te configureren en lokaal en extern beleid in te stellen. Het behandelt ook verificatiestappen om de functionaliteit van de tunnel te testen en behandelt mogelijke problemen die zich kunnen voordoen, zoals verkeerd afgestemde instellingen of beveiligingsbeleidsconfiguraties.
De ZyWALL/USG IPSec VPN-tunnel van het bedrijfsnetwerk instellen (HQ)
1. Gebruik in de ZyWALL/USG de VPN Settings wizard om een VPN regel aan te maken die gebruikt kan worden met de FortiGate. Klik op Volgende.
Snelle installatie > Wizard VPN-instellingen > Welkom
2. Kies Express om een VPN regel aan te maken met de standaard fase 1 en fase 2 instellingen en gebruik een vooraf gedeelde sleutel als authenticatiemethode. Klik op Volgende.
Snelle installatie > Wizard VPN-instelling > Type wizard
3. Typ de regelnaam die wordt gebruikt om deze VPN-verbinding (en VPN-gateway) te identificeren. U kunt 1-31 alfanumerieke tekens gebruiken. Deze waarde is hoofdlettergevoelig. Selecteer de regel voor site-to-site. Klik op Volgende.
Snelle installatie > Wizard VPN-instelling > Type wizard > VPN-instellingen (scenario)
4. Configureer Secure Gateway IP als het WAN IP-adres van het filiaal (in het voorbeeld 172.100.30.40). Typ vervolgens een veilige Pre-Shared Key (8-32 tekens).
Stel Lokaal beleid in op het IP-adresbereik van het netwerk dat verbonden is met de ZyWALL/USG (HQ) en Extern beleid op het IP-adresbereik van het netwerk dat verbonden is met de ZyWALL/USG (filiaal).
Snelle installatie > Wizard VPN-instelling > Type wizard > VPN-instellingen (configuratie)
5. Dit scherm geeft een alleen-lezen samenvatting van de VPN-tunnel. Klik op Opslaan.
Snelle installatie > Wizard VPN-instelling > Welkom > Type wizard > VPN-instellingen (samenvatting)
6. Nu is de regel geconfigureerd op de ZyWALL/USG. De instellingen van de faseregels verschijnen hier
Fase 1: VPN > IPSec VPN > VPN Gateway Fase 2: VPN > IPSec VPN > VPN-verbinding Quick Setup > VPN Setup Wizard > Welkom > Wizard Type > VPN-instellingen > Wizard Voltooid
7. Configureer Peer ID Type als Any zodat de ZyWALL/USG de identiteitsinhoud van de IPSec-router op afstand niet hoeft te controleren.
CONFIGURATIE > VPN > IPSec VPN > VPN-gateway > Toon geavanceerde instellingen > Authenticatie > Type peer-ID
De ZyWALL/USG IPSec VPN-tunnel van het bedrijfsnetwerk (filiaal) instellen
1. Gebruik in de ZyWALL/USG de wizard VPN-instellingen om een VPN-regel aan te maken die kan worden gebruikt met de FortiGate. Klik op Volgende.
Snelle installatie > Wizard VPN-instellingen > Welkom
2. Kies Express om een VPN regel aan te maken met de standaard fase 1 en fase 2 instellingen en gebruik een vooraf gedeelde sleutel als authenticatiemethode. Klik op Volgende.
Snelle installatie > Wizard VPN-instelling > Type wizard
3. Typ de regelnaam die wordt gebruikt om deze VPN-verbinding (en VPN-gateway) te identificeren. U kunt 1-31 alfanumerieke tekens gebruiken. Deze waarde is hoofdlettergevoelig. Selecteer de regel voor site-to-site. Klik op Volgende.
Snelle installatie > Wizard VPN-instelling > Type wizard > VPN-instellingen (scenario)
4. Configureer Secure Gateway IP als het WAN IP-adres van het filiaal (in het voorbeeld 172.100.20.30). Typ vervolgens een veilige vooraf gedeelde sleutel (8-32 tekens).
Stel Lokaal beleid in op het IP-adresbereik van het netwerk dat verbonden is met de ZyWALL/USG (HQ) en Beleid op afstand op het IP-adresbereik van het netwerk dat verbonden is met de ZyWALL/USG (filiaal).
Snelle installatie > Wizard VPN-instelling > Type wizard > VPN-instellingen (configuratie)
5. Dit scherm geeft een alleen-lezen samenvatting van de VPN-tunnel. Klik op Opslaan.
Snelle installatie > Wizard VPN-instelling > Welkom > Type wizard > VPN-instellingen (samenvatting)
6. Nu is de regel geconfigureerd op de ZyWALL/USG. De instellingen van de faseregels verschijnen hier
Fase 1: VPN > IPSec VPN > VPN Gateway Fase 2: VPN > IPSec VPN > VPN-verbinding Quick Setup > VPN Setup Wizard > Welkom > Wizard Type > VPN-instellingen > Wizard Voltooid
7. Configureer Peer ID Type als Any zodat de ZyWALL/USG de identiteitsinhoud van de IPSec-router op afstand niet hoeft te controleren.
CONFIGURATIE > VPN > IPSec VPN > VPN-gateway > Toon geavanceerde instellingen > Authenticatie > Type peer-ID
De NAT-router instellen (Met ZyWALL USG-apparaat in dit voorbeeld)
Opmerking: Deze instellingen moeten alleen worden toegepast als een van uw firewalls achter een NAT zit. Deze instellingen moeten worden geconfigureerd op de NAT-router die voor uw firewall staat, wat uw ISP-router of de hoofdrouter in uw kantoornetwerk kan zijn. Hieronder geven we een voorbeeld met een van onze apparaten - dit is alleen ter referentie.
1. Selecteer de Inkomende Interface waarop pakketten voor de NAT regel moeten worden ontvangen. 2. Geef het veld User-Defined Original IP op en Typ het vertaalde IP-adres van de bestemming dat deze NAT-regel ondersteunt.
CONFIGURATIE > Netwerk > NAT > Toevoegen
2. IP-doorsturing moet ingeschakeld zijn op de firewall voor de volgende IP-protocollen en UDP-poorten:
IP protocol = 50 → Gebruikt door gegevenspad (ESP)
IP-protocol = 51 → Gebruikt door gegevenspad (AH)
UDP Poortnummer = 500 → Gebruikt door IKE (IPSec-controlepad)
UDP Poortnummer = 4500 → Gebruikt door NAT-T (IPsec NAT traversal)
CONFIGURATIE > Beveiligingsbeleid > Beleidscontrole
VERIFICATIE:
Test de IPSec VPN-tunnel
1. Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding
Klik op Verbinden in de bovenste balk. Het pictogram Status verbinding brandt wanneer de interface is verbonden.
2. Controleer de Opwaartse tijd van de tunnel en Inkomend(Bytes)/Uitgaand(Bytes) verkeer.
MONITOR > VPN-monitor > IPSec
3. Om te testen of een tunnel werkt, voert u een ping uit van een computer op de ene locatie naar een computer op de andere locatie. Zorg ervoor dat beide computers internettoegang hebben (via IPSec-apparaten).
PC achter ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC achter ZyWALL/USG (Branch) > Venster 7 > cmd > ping 10.10.10.33
Wat kan er fout gaan?
1. Als u onderstaande [info] of [error] logmelding ziet, controleer dan de ZyWALL/USG Fase 1 Instellingen. Zowel de ZyWALL/USG op het hoofdkantoor als de bijkantoren moeten dezelfde Pre-Shared Key, Encryptie, Authenticatiemethode, DH-sleutelgroep en ID Type gebruiken om de IKE SA op te zetten.
MONITOR > Log
2. Als u ziet dat Fase 1 IKE SA-proces is voltooid, maar nog steeds het onderstaande [info] logbericht krijgt, controleer dan de ZyWALL/USG Fase 2-instellingen. Zowel de ZyWALL/USG op het hoofdkantoor als de bijkantoren moeten hetzelfde protocol, dezelfde encapsulatie, dezelfde versleuteling, dezelfde authenticatiemethode en dezelfde PFS gebruiken om de IKE SA tot stand te brengen.
MONITOR > Log
3. Zorg ervoor dat het beveiligingsbeleid van zowel de ZyWALL/USG op het hoofdkantoor als het bijkantoor IPSec VPN-verkeer toestaat. IKE gebruikt UDP-poort 500, AH gebruikt IP-protocol 51 en ESP gebruikt IP-protocol 50.
4. Zorg ervoor dat het IPSec-apparaat op afstand ook NAT-traversal heeft ingeschakeld.