Zyxel Firewall VPN - Configureer IPSec Site-To-Site VPN op Zyxel Firewall Stand-alone modus

Deze gids begeleidt je bij het opzetten van een Site-to-Site (S2S) VPN tussen twee firewalls met behulp van IKEv2 IPSec. We behandelen zowel handmatige configuratie als het gebruik van een ingebouwde wizard, evenals hoe je de VPN configureert om meerdere subnetten binnen dezelfde tunnel te verwerken.

Als je op zoek bent naar andere VPN-scenario's, tips en trucs, bekijk dan de volgende artikelen:

Algemeen:

• VPN-richtlijn - Het kiezen van het juiste VPN-type voor je thuiskantoor (+Nuttige links & tutorials)
• VPN-configuratie provisioning op een USG-firewall
• Zyxel Firewall [VPN] - Problemen oplossen Site-to-Site VPN [Stand-alone modus]

Nebula:

• Een Site-to-Site VPN opzetten in Nebula tussen twee Nebula Gateways (NSG)

Een kantoor wil veilig verbinding maken met het hoofdkantoor via het internet. Beide kantoren hebben een USG / ZyWall / ATP / USG FLEX om toegang tot het internet te krijgen.

Opmerking: Voordat je begint met het configureren van de VPN, zorg ervoor dat beide locaties niet dezelfde subnetten hebben. Het configureren van een VPN tussen locaties met hetzelfde subnet aan beide zijden is technisch mogelijk, maar niet eenvoudig en kan leiden tot complicaties door overlappende IP-adressen. Wanneer beide locaties hetzelfde subnet hebben, kan dit leiden tot routeringsconflicten omdat de VPN niet weet naar welke kant het verkeer moet worden gestuurd wanneer het een IP-adres ziet dat op beide locaties bestaat.

Wizard-methode VPN instellen

De meest eenvoudige en handige methode om een Site-to-Site-verbinding tot stand te brengen is door gebruik te maken van de ingebouwde wizard. In het eerste voorbeeld van dit artikel begeleiden we je door het proces. Ook, als je problemen hebt gehad bij het handmatig configureren van een VPN, kun je de wizard gebruiken om de VPN in te stellen en de instellingen vergelijken voor probleemoplossing.

HQ-locatie instellingen (Wizard)

• Meld je aan bij de Web GUI van de firewall op je HQ-locatie en ga naar de sectie Quick Setup Wizard in het linkermenu.
• Klik op "VPN Setup"

Je kunt kiezen tussen Express (VPN met standaardwaarden) of Advanced (handmatige instelling van cryptografie enzovoort). Ter illustratie van dit artikel hebben we gekozen voor de optie "Advanced".

• We raden sterk aan IKEv2 te gebruiken in plaats van IKEv1 om de beveiliging te verbeteren, de verbindingsopbouw te versnellen, stabiliteit te vergroten, mobiliteit te ondersteunen en de efficiëntie bij netwerkveranderingen te verhogen.
• Geef een begrijpelijke naam en kies Site-to-Site VPN.
• Klik op "Next"

Phase 1 instellingen

• Voer bij de volgende stap "Secure Gateway" in. Dit is het WAN-adres van je tweede firewall; in dit geval is dat het IP-adres van de vestiging. (Wanneer je begint met het configureren van de tweede firewall, moet je het WAN IP-adres van deze firewall invullen.)
• Stel de Phase 1 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede encryptie/authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.

Phase 2 instellingen

• Zorg ervoor dat de Phase 2 instellingen hetzelfde zijn als die van Phase 1 (bijv. AES256, SHA512).
• Local Policy en Remote Policy - Lokale en externe beleidsregels definiëren welk verkeer wordt versleuteld in een site-to-site VPN, wat zorgt voor veilige, efficiënte en correct gerouteerde communicatie tussen netwerken.
  
  Opmerking: Controleer eerst of het IP-adres van het externe subnet niet al bestaat op het lokale subnet om dubbele IP-adresconfiguratie te voorkomen. Wanneer het externe subnet overeenkomt met een lokaal subnet, kun je alleen het lokale netwerk bereiken.

• Als alle gegevens correct zijn ingevoerd, klik dan op “Next”, controleer alle instellingen opnieuw, klik op "Save" en ga door met het configureren van de tweede firewall.

Vestiging instellingen (Wizard)

Je moet precies dezelfde procedure volgen voor de firewall op het tweede kantoor. Het belangrijkste verschil zit alleen in enkele instellingen.

• Gateway IP moet worden opgegeven als het WAN IP van het apparaat op de HQ-locatie.
• Local Policy en Remote Policy zullen ook verschillend zijn. Voorbeeld hieronder:
  HQ-locatie
  Local Policy: 192.168.40.1
  Remote Policy: 192.168.70.1
  Vestiging:
  Local Policy: 192.168.70.1
  Remote Policy: 192.168.40.1

• Als alles correct is geconfigureerd en er geen problemen zijn met de verbinding, andere instellingen of constructie, wordt er automatisch direct na het opslaan van de instellingen een VPN-verbinding tot stand gebracht.

Handmatige methode VPN instellen

VPN Gateway - HQ-locatie instellingen handmatig

• Meld je aan bij de Web GUI van je HQ-locatie firewall

Ga naar Configuration -> VPN -> VPN Ge -> Add

• Vink het selectievakje Enable aan
• Geef een duidelijke naam
• Selecteer de IKE versie

We raden sterk aan IKEv2 te gebruiken in plaats van IKEv1 om de beveiliging te verbeteren, de verbindingsopbouw te versnellen, stabiliteit te vergroten, mobiliteit te ondersteunen en de efficiëntie bij netwerkveranderingen te verhogen.

• My Address (Interface) - stelt je WAN IP-adres in.
• Peer Gateway Address - Dit is het WAN-adres van je tweede firewall; in dit geval is dat het IP-adres van de vestiging. (Wanneer je begint met het configureren van de tweede firewall, moet je het WAN IP-adres van deze firewall invullen.)
• Pre-Shared Key - Maak een sterk wachtwoord aan (dit wachtwoord gebruik je ook op het externe apparaat).
• Phase 1 instellingen - Stel de Phase 1 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede encryptie/authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep. 

VPN Tunnel - HQ-locatie instellingen handmatig

Configuration > VPN > IPSec VPN > VPN Connection > Add

Het eerste wat je moet doen is een Object aanmaken voor “Remote Policy” door te klikken op “Create New Object” en “IPV4 Address” te selecteren.

• Naam - voer een duidelijke naam in
• Adres Type - “SUBNET”
• Netwerk - het lokale netwerkadres van de externe locatie
• Netmasker - subnetmasker van de externe locatie
• Klik daarna op “OK”

Nu kunnen we de overige velden invullen.

• Vink het selectievakje Enable aan
• Geef een duidelijke naam
• Selecteer Site-To-Site VPN
• VPN Gateway - Selecteer de VPN Gateway die in de vorige stap is aangemaakt
• Local Policy en Remote Policy zullen verschillend zijn.
• Phase 2 instellingen - Stel de Phase 2 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede encryptie/authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep. 
• Klik op "Ok"

Nu kunnen we beginnen met het configureren van de vestiging. Volg hiervoor dezelfde stappen als bij de HQ-locatie, maar met enkele gegevenswijzigingen.

VPN Gateway - Vestiging instellingen handmatig

Configuration > VPN > IPSec VPN > VPN Gateway

Herhaal de HQ-stappen om de VPN Gateway te configureren

• Toen je de VPN Gateway op de firewall van de HQ-locatie configureerde, gaf je het WAN IP van je vestiging op in het veld "Peer Gateway Address Static Address”. Nu, bij het configureren van de vestiging, moet je het WAN IP van je HQ-locatie opgeven in het veld "Peer Gateway Address Static Address”.
• Pre-Shared Key - moet voor beide locaties hetzelfde zijn.

VPN Tunnel - Vestiging instellingen handmatig

Configuration > VPN > IPSec VPN > VPN Connection

Herhaal de HQ-stappen om de VPN Tunnel te configureren

• Behalve enkele verschillen: toen je de HQ-locatie configureerde, gaf je het netwerk van de vestiging op in Remote Policy. Nu, bij het configureren van de vestiging, moet je het netwerk van de HQ-locatie opgeven in het veld Remote Policy.

Vink de optie "Nailed-Up" aan om de VPN-tunnel tot stand te brengen en automatisch te verbinden.

Test het resultaat

• Verbind de VPN-tunnel handmatig de eerste keer. Daarna zou hij de connectiviteit opnieuw moeten scannen en automatisch opnieuw verbinden.
• Je ziet dat de VPN-tunnel verbonden is wanneer het aardesymbool groen is.

Opmerking: Controleer je firewallregels om zeker te zijn dat de standaard IPSec-to-Device en IPSec-to-Any regels aanwezig zijn.
Anders kan het verkeer tussen de tunnels worden geblokkeerd.

Beperking - Gebruik van meerdere subnetten

Op Zyxel-firewalls is er een beperking waarbij je niet meerdere subnetten kunt selecteren in een VPN-tunnel. De lokale policy (subnet) en remote policy (subnet) kunnen elk maar met één subnet worden geconfigureerd.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Om dit probleem te omzeilen, kun je een policy route configureren om andere subnetten handmatig via de tunnel te routeren.

Maak deze policy route aan:

Opmerking! Het kan nodig zijn om de response-pakketten terug te routeren via de tunnel op de externe locatie.

Probleemoplossing

Veelvoorkomende problemen en oplossingen:

• Onjuiste Pre-shared Key: Controleer de pre-shared key op beide apparaten dubbel.
• Onjuiste subnetconfiguratie: Zorg dat de juiste lokale en externe subnetten zijn geconfigureerd in de VPN-instellingen.
• Phase 1 en Phase 2 instellingen:

Sleutelinstellingen die gecontroleerd moeten worden om zeker te zijn dat ze op beide locaties hetzelfde zijn

• Authenticatiemethode: Meestal wordt een pre-shared key gebruikt.
• Encryptie-algoritme: Veelgebruikte opties zijn AES (128/256 bits), 3DES.
• Hash-algoritme: Meestal SHA-256 of SHA-512 of SHA-1.
• DH-groep (Diffie-Hellman groep): Zorgt voor veilige sleuteluitwisseling (bijv. Groep 2, Groep 14).
• Levensduur: 

Voor meer gedetailleerde instructies over probleemoplossing, zie de link:

Zyxel Firewall [VPN] - Problemen oplossen Site-to-Site VPN [Stand-alone modus]