Deze handleiding begeleidt u bij het opzetten van een Site-to-Site (S2S) VPN tussen twee firewalls met behulp van IKEv2 IPSec. We behandelen zowel handmatige configuratie als het gebruik van een ingebouwde wizard, evenals hoe u de VPN configureert om meerdere subnetten binnen dezelfde tunnel te verwerken.
Als u op zoek bent naar andere VPN-scenario's, tips en trucs, bekijk dan de volgende artikelen:
Algemeen:
- VPN-configuratie provisioning op een USG-firewall
- Zyxel Firewall [VPN] - Problemen oplossen Site-to-Site VPN [Stand-alone modus]
Een kantoor wil veilig verbinding maken met het hoofdkantoor via het internet. Beide kantoren hebben een USG / ZyWall / ATP / USG FLEX om toegang tot het internet te krijgen.
Opmerking: Voordat u begint met het configureren van de VPN, zorg ervoor dat beide locaties niet dezelfde subnetten hebben. Het configureren van een VPN tussen locaties met hetzelfde subnet aan beide zijden is technisch mogelijk, maar het is niet eenvoudig en kan leiden tot complicaties door overlappende IP-adressen. Wanneer beide locaties hetzelfde subnet hebben, kan dit leiden tot routeringsconflicten omdat de VPN niet weet naar welke kant het verkeer moet worden gestuurd wanneer het een IP-adres ziet dat op beide locaties bestaat.
Wizard-methode VPN instellen
De meest eenvoudige en handige methode om een Site-to-Site verbinding tot stand te brengen is door gebruik te maken van de ingebouwde wizard. In het eerste voorbeeld van dit artikel begeleiden we u door het proces. Ook als u problemen heeft gehad bij het handmatig configureren van een VPN, kunt u de wizard gebruiken om de VPN in te stellen en de instellingen vergelijken voor probleemoplossing.
HQ-locatie instellingen (Wizard)
- Log in op de Web GUI van de firewall op uw HQ-locatie en ga naar de sectie Quick Setup Wizard in het linkermenu.
- Klik op "VPN Setup"
U kunt kiezen tussen Express (VPN met standaardwaarden) of Geavanceerd (handmatige instelling van cryptografie enzovoorts). Voor het voorbeeld in dit artikel hebben we gekozen voor de optie "Geavanceerd".
- We raden sterk aan om IKEv2 te gebruiken in plaats van IKEv1 om de beveiliging te verbeteren, de verbindingsopbouw te versnellen, stabiliteit te verhogen, mobiliteit te ondersteunen en de efficiëntie bij netwerkveranderingen te vergroten.
- Geef een begrijpelijke naam en kies Site-to-Site VPN.
- Klik op "Volgende"
Fase 1 instellingen
- Voer bij de volgende stap “Secure Gateway” in. Dit is het WAN-adres van uw tweede firewall; in dit geval is dat het IP-adres van de vestiging. (Wanneer u de tweede firewall gaat configureren, moet u het WAN IP-adres van deze firewall invullen.)
- Stel de fase 1 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede encryptie/authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.
Fase 2 instellingen
- Zorg ervoor dat de fase 2 instellingen hetzelfde zijn als fase 1 instellingen (bijv. AES256, SHA512).
-
Lokale beleidsregels en externe beleidsregels - Lokale en externe beleidsregels definiëren welk verkeer wordt versleuteld in een site-to-site VPN, wat zorgt voor veilige, efficiënte en correct gerouteerde communicatie tussen netwerken.
Opmerking: Controleer eerst of het IP-adres van het externe subnet niet al bestaat op het lokale subnet om dubbele IP-adresconfiguraties te voorkomen. Wanneer het externe subnet gelijk is aan een lokaal subnet, kunt u alleen het lokale netwerk bereiken.
- Zodra alle gegevens correct zijn ingevoerd, klik op “Volgende,” controleer alle instellingen nogmaals, klik op "Opslaan" en ga verder met het configureren van de tweede firewall.
Vestiging instellingen (Wizard)
U moet exact dezelfde procedure volgen voor de firewall op het tweede kantoor. Het belangrijkste verschil zit alleen in enkele instellingen.
- Gateway IP moet worden opgegeven als het WAN IP van het apparaat op de HQ-locatie
-
Lokale beleidsregels en externe beleidsregels zullen ook anders zijn. Voorbeeld hieronder:
HQ-locatie
Lokale beleidsregel: 192.168.40.1
Externe beleidsregel: 192.168.70.1
Vestiging:
Lokale beleidsregel: 192.168.70.1
Externe beleidsregel: 192.168.40.1
- Als alles correct is geconfigureerd en er geen problemen zijn met de verbinding, andere instellingen of opbouw, wordt er direct na het opslaan van de instellingen automatisch een VPN-verbinding tot stand gebracht.
Handmatige methode VPN instellen
VPN Gateway - HQ-locatie instellingen handmatig
- Log in op de Web GUI van uw HQ-locatie firewall
Ga naar Configuratie -> VPN -> VPN Ge -> Toevoegen
- Vink het selectievakje Inschakelen aan
- Geef een duidelijke naam
- Selecteer IKE versie
We raden sterk aan IKEv2 te gebruiken in plaats van IKEv1 om de beveiliging te verbeteren, de verbindingsopbouw te versnellen, stabiliteit te verhogen, mobiliteit te ondersteunen en de efficiëntie bij netwerkveranderingen te vergroten.
- Mijn adres (Interface) - stelt uw WAN IP-adres in.
- Peer Gateway Address - Dit is het WAN-adres van uw tweede firewall; in dit geval het IP-adres van de vestiging. (Wanneer u de tweede firewall gaat configureren, moet u het WAN IP-adres van deze firewall invullen.)
- Pre-Shared Key - Maak een sterk wachtwoord aan (u gebruikt deze sleutel ook op het externe apparaat).
- Fase 1 instellingen - Stel de fase 1 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede encryptie/authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.
VPN Tunnel - HQ-locatie instellingen handmatig
Configuratie > VPN > IPSec VPN > VPN-verbinding > Toevoegen
Het eerste wat u moet doen is een object aanmaken voor “Remote Policy” door te klikken op “Nieuw object maken” en “IPV4-adres” te selecteren.
- Naam - voer een duidelijke naam in
- Adres type - “SUBNET”
- Netwerk - het lokale netwerkadres van de externe locatie
- Netmasker - subnetmasker van de externe locatie
- Klik daarna op “OK”
Nu kunnen we de overige velden invullen.
- Vink het selectievakje Inschakelen aan
- Geef een duidelijke naam
- Selecteer Site-to-Site VPN
- VPN Gateway - Selecteer de VPN Gateway die in de vorige stap is aangemaakt
- Lokale beleidsregels en externe beleidsregels zullen verschillend zijn.
- Fase 2 instellingen - Stel de fase 2 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede encryptie/authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.
- Klik op "Ok"
Nu kunnen we beginnen met het configureren van de vestiging. Volg hiervoor dezelfde stappen als voor de HQ-locatie, maar met enkele gegevenswijzigingen.
VPN Gateway - Vestiging instellingen handmatig
Configuratie > VPN > IPSec VPN > VPN Gateway
Herhaal de HQ-stappen om de VPN Gateway te configureren
- Bij het configureren van de VPN Gateway op de firewall op de HQ-locatie, hebt u het WAN IP van uw vestiging opgegeven in het veld "Peer Gateway Address Static Address”. Nu, bij het configureren van de vestiging, moet u het WAN IP van uw HQ-locatie opgeven in het veld "Peer Gateway Address Static Address”.
- Pre-Shared Key - moet hetzelfde zijn voor beide locaties.
VPN Tunnel - Vestiging instellingen handmatig
Configuratie > VPN > IPSec VPN > VPN-verbinding
Herhaal de HQ-stappen om de VPN Tunnel te configureren
- Behalve enkele verschillen: bij het configureren van de HQ-locatie hebt u het netwerk van de vestiging opgegeven bij Remote Policy. Nu, bij het configureren van de vestiging, moet u het netwerk van de HQ-locatie opgeven in het veld Remote Policy.
Vink de optie "Nailed-Up" aan om de VPN-tunnel op te zetten en automatisch te verbinden.
Test het resultaat
- Maak de VPN-tunnel de eerste keer handmatig verbinding. Daarna zou deze automatisch de connectiviteit moeten scannen en opnieuw verbinden.
- U kunt zien dat de VPN-tunnel verbonden is wanneer het aardbolsymbool groen is.
Opmerking: Controleer uw firewallregels om te zorgen dat de standaard IPSec-to-Device en IPSec-to-Any regels aanwezig zijn.
Anders kan het verkeer tussen de tunnels worden geblokkeerd.
Beperking - Gebruik meerdere subnetten
Op Zyxel-firewalls is er een beperking waarbij u niet meerdere subnetten in één VPN-tunnel kunt selecteren. Het lokale beleid (subnet) en het externe beleid (subnet) kunnen elk slechts met één subnet worden geconfigureerd.
Configuratie -> VPN -> IPSec VPN -> VPN-verbinding -> Beleid
Om dit probleem te omzeilen, kunt u handmatig een beleidsroute configureren om andere subnetten via de tunnel te routeren.
Maak deze beleidsroute aan:
Opmerking! Het kan nodig zijn om de antwoordpakketten terug door de tunnel op de externe locatie te routeren.
Probleemoplossing
Veelvoorkomende problemen en oplossingen:
- Onjuiste pre-shared key: Controleer de pre-shared key op beide apparaten zorgvuldig.
- Onjuiste subnetconfiguratie: Zorg ervoor dat de juiste lokale en externe subnetten zijn geconfigureerd in de VPN-instellingen.
- Fase 1 en fase 2 instellingen:
Belangrijke instellingen die moeten worden gecontroleerd om te zorgen dat ze op beide locaties hetzelfde zijn
- Authenticatiemethode: Meestal wordt een pre-shared key gebruikt.
- Encryptie-algoritme: Veelgebruikte opties zijn AES (128/256 bits), 3DES.
- Hash-algoritme: Meestal SHA-256 of SHA-512 of SHA-1.
- DH-groep (Diffie-Hellman groep): Zorgt voor een veilige sleutelaustausch (bijv. Groep 2, Groep 14).
- Levensduur:
Voor meer gedetailleerde instructies over probleemoplossing, zie de link:
Zyxel Firewall [VPN] - Problemen oplossen Site-to-Site VPN [Stand-alone modus]

Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.