Zyxel Firewall [VPN] - IPSec site-to-site VPN configureren op Zyxel Firewall [Stand-alone modus].

Deze handleiding helpt je bij het opzetten van een Site-to-Site (S2S) VPN tussen twee firewalls met behulp van IKEv2 IPSec. We behandelen zowel handmatige configuratie als het gebruik van een ingebouwde wizard en hoe het VPN geconfigureerd kan worden om meerdere subnetten binnen dezelfde tunnel aan te kunnen.

Als u op zoek bent naar andere VPN-scenario's, tips en trucs, bekijk dan de volgende artikelen:

Algemeen:

• VPN-richtlijn - Het juiste VPN-type kiezen voor uw thuiskantoor (+ Nuttige links & tutorials)
• VPN-configuratie provisionering op een USG-Firewall
• Zyxel Firewall [VPN] - Problemen oplossen met Site-to-Site VPN [Stand-alone modus].

PRD_N_RFu23isvE_0:

• Opbouwen van een Site-to-Site VPN in Nebula tussen twee Nebula Gateways (NSG)

Een kantoor wil een veilige verbinding maken met het hoofdkantoor via het internet. Beide kantoren hebben een USG / ZyWall / ATP / USG FLEX om toegang te krijgen tot het internet.

Opmerking: Voordat u begint met het configureren van het VPN, moet u ervoor zorgen dat beide vestigingen niet dezelfde subnetten hebben. Het configureren van een VPN tussen sites met hetzelfde subnet aan beide zijden is technisch mogelijk, maar het is niet eenvoudig en kan leiden tot complicaties als gevolg van overlappende IP-adressen. Als beide locaties hetzelfde subnet hebben, kan dit leiden tot routeringsconflicten omdat het VPN niet weet naar welke kant het verkeer moet sturen als het een IP-adres ziet dat op beide locaties bestaat.

Wizardmethode instellen VPN

De meest eenvoudige en handige methode om een Site-to-Site verbinding op te zetten is door gebruik te maken van de ingebouwde wizard. In het eerste voorbeeld van dit artikel begeleiden we u door het proces. Als u problemen hebt ondervonden bij het handmatig configureren van een VPN, kunt u de wizard gebruiken om het VPN in te stellen en de instellingen te vergelijken om problemen op te lossen.

HQ Site-instellingen (Wizzard)

• Log in op de HQ Site firewall's Web GUI en ga naar de Quick Setup Wizard sectie in het linker menu.
• Klik op "VPN-instelling".

Je kunt kiezen tussen Express (VPN met standaardwaarden) of Advanced (Handmatig instellen van cryptografie enz...). Om u een voorbeeld te geven van dit artikel, hebben we gekozen voor de optie "Geavanceerd".

• We raden ten zeerste aan IKEv2 te gebruiken in plaats van IKEv1 om de veiligheid te verbeteren, de verbinding sneller tot stand te brengen, de stabiliteit te verhogen, mobiliteit te ondersteunen en efficiënter om te gaan met netwerkveranderingen.
• Geef een begrijpelijke naam en kies Site-to-Site VPN.
• Klik op "Volgende".

Fase 1 Instellingen

• Voer op het volgende "Secure Gateway" in Dit is het Wan-adres van je tweede firewall; in dit geval is het het IP-adres van de vestiging. (Wanneer u de tweede firewall gaat configureren, moet u het WAN IP-adres van deze firewall invullen. )
• Stel Fase 1 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede Encryptie/Authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.

Fase 2-instellingen

• Zorg ervoor dat de fase 2-instellingen hetzelfde zijn als de fase 1-instellingen. (bijv. AES256, SHA512)
• Lokaal beleid en beleid op afstand - Lokaal en beleid op afstand definiëren welk verkeer wordt versleuteld in een site-to-site VPN en zorgen voor veilige, efficiënte en correct gerouteerde communicatie tussen netwerken.
  
  Opmerking: Controleer eerst of het IP-adres van het externe subnet niet al bestaat op het lokale subnet om dubbele IP-adresconfiguratie te voorkomen. Als het externe subnet gelijk is aan een lokaal subnet, kunt u alleen het lokale netwerk bereiken.

• Zodra alle gegevens correct zijn ingevoerd, klik je op "Volgende", controleer je alle instellingen nogmaals, klik je op"Opslaan" en ga je verder met het configureren van de tweede firewall.

Branch Site-instellingen (Wizzard)

Je moet precies dezelfde procedure volgen voor de firewall in het tweede kantoor. Het belangrijkste verschil zit alleen in enkele instellingen.

• Gateway IP moet worden gespecificeerd als de WAN IP van het apparaat in de HQ site.
• Lokaal beleid en beleid op afstand zullen ook verschillend zijn. Voorbeeld hieronder:
  HQ-locatie
  Lokaal beleid: 192.168.40.1
  Remote beleid: 192.168.70.1
  Vestigingslocatie:
  Lokaal beleid: 192.168.70.1
  Beleid op afstand: 192.168.40.1

• Als alles correct is geconfigureerd en er geen problemen zijn met de verbinding, andere instellingen of de constructie, zal er direct na het opslaan van de instellingen automatisch een VPN-verbinding tot stand worden gebracht.

Handmatige methode instellen VPN

VPN Gateway - HQ Site Instellingen Handleiding

• Log in op uw HQ Site Firewall Web GUI

Go to Configuration -> VPN -> VPN Ge -> Add

• Schakel het selectievakje Inschakelen in
• Geef een duidelijke naam
• Selecteer IKE-versie

We raden sterk aan om IKEv2 te gebruiken in plaats van IKEv1 voor betere beveiliging, snellere verbinding, stabiliteit, ondersteuning van mobiliteit en meer efficiëntie bij het afhandelen van netwerkveranderingen.

• My Address (Interface) - stelt uw wan IP-adres in.
• Peer Gateway Address - Dit is het WAN-adres van je tweede firewall; in dit geval is het het IP-adres van de Branch site. (Wanneer je de tweede firewall gaat configureren, moet je het WAN IP-adres van deze firewall invullen.
• Vooraf gedeelde sleutel - Maak een sterk wachtwoord aan (je zult deze sleutel ook op het externe apparaat gebruiken).
• Fase 1 Instellingen - Stel Fase 1 voorstellen in zoals gewenst. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede Encryptie/Authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.

Handleiding VPN-tunnel - HQ Site-instellingen

Configuration > VPN > IPSec VPN > VPN Connection > Add

Het eerste wat u moet doen is een object maken voor "Remote Policy" door te klikken op "Create New Object" (Nieuw object maken) en "IPV4 Address" (IPV4-adres) te selecteren.

• Naam - voer een duidelijke naam in
• Type adres - "SUBNET
• Netwerk - het lokale netwerkadres van de externe site
• Netmask - subnetmasker van de externe site
• Klik vervolgens op "OK".

Nu kunnen we verder gaan met het invullen van de andere velden.

• Schakel het selectievakje Inschakelen in
• Geef een duidelijke naam
• Selecteer VPN van site naar site
• VPN Gateway - Selecteer de VPN Gateway die in de vorige stap is aangemaakt
• Lokaal beleid en beleid op afstand zullen verschillend zijn.
• Fase 2-instellingen - Stel fase 2-voorstellen naar wens in. Kies om veiligheidsredenen een sterk wachtwoord en voorstellen met goede Encryptie/Authenticatie, zoals AES256 voor encryptie, SHA512 voor authenticatie en DH14 voor een sleutelgroep.
• Klik op "Ok".

Nu kunnen we beginnen met het configureren van de vertakkingssite. Om dit te doen, volgt u dezelfde stappen als u deed voor de HQ site, maar met enkele gegevenswijzigingen.

VPN Gateway - Branch Site Instellingen Handleiding

Configuration > VPN > IPSec VPN > VPN Gateway

Herhaal de HQ stappen om de VPN Gateway te configureren

• Bij het configureren van de VPN Gateway op de Firewall op de HQ site, hebt u het WAN IP van uw bijkantoor site gespecificeerd in het "Peer Gateway Address Static Address" veld. Wanneer u nu de bijkantoorsite configureert, moet u het WAN IP-adres van uw HQ-vestiging opgeven in het veld "Peer Gateway Address Static Address".
• Vooraf gedeelde sleutel - moet voor beide sites hetzelfde zijn.

Handleiding VPN-tunnel - instellingen bijkantoor

Herhaal de HQ-stappen om de VPN-tunnel te configureren

• Op een paar verschillen na, hebt u bij het configureren van de HQ site het netwerk op de Branch site gespecificeerd in Remote Policy. Nu, wanneer u de filiaal site configureert, moet u het netwerk van de HQ site specificeren in het Remote Policy veld.

Vink de optie "Nailed-Up" aan om de VPN-tunnel tot stand te brengen en automatisch verbinding te maken.

Test het resultaat

• Verbind de VPN-tunnel de eerste keer handmatig. Daarna zou de verbinding opnieuw moeten worden gescand en automatisch opnieuw verbinding moeten worden gemaakt.
• U kunt zien dat de VPN-tunnel is verbonden wanneer het aarde-symbool groen is.

Opmerking: Controleer uw firewallregels om er zeker van te zijn dat de standaard IPSec-naar-apparaat en IPSec-naar-allemaal regels bestaan.
Anders kan het verkeer tussen de tunnels geblokkeerd raken.

Beperking - Meerdere subnetten gebruiken

Op Zyxel firewalls is er een beperking waarbij u niet meerdere subnetten kunt selecteren in een VPN-tunnel. Het lokale beleid (subnet) en het beleid op afstand (subnet) kunnen elk slechts met één subnet worden geconfigureerd.

Om dit probleem te omzeilen, kunt u een beleidsroute configureren om handmatig andere subnetten naar de tunnel te routeren.

Maak deze beleidsroute:

Opmerking! Het kan nodig zijn om de antwoordpakketten terug te routeren door de tunnel op de externe site.

Problemen oplossen

Veel voorkomende problemen en oplossingen:

• Onjuiste vooraf gedeelde sleutel: Controleer de vooraf gedeelde sleutel dubbel op beide apparaten.
• Onjuiste subnetconfiguratie: Zorg ervoor dat de juiste lokale en externe subnetten zijn geconfigureerd in de VPN-instellingen.
• Fase 1- en fase 2-instellingen:

Sleutelinstellingen die gecontroleerd moeten worden om er zeker van te zijn dat ze hetzelfde zijn op beide sites

• Authenticatiemethode: Meestal wordt een vooraf gedeelde sleutel gebruikt.
• Encryptie-algoritme: Gebruikelijke opties zijn AES (128/256 bits), 3DES.
• Hash-algoritme: Gewoonlijk SHA-256 of SHA-512 of SHA-1.
• DH-groep (Diffie-Hellman-groep): Zorgt voor veilige sleuteluitwisseling (bijv. Groep 2, Groep 14).
• Levensduur:

Voor meer gedetailleerde instructies over het oplossen van problemen, zie de link:

Zyxel Firewall [VPN] - Problemen oplossen Site-to-Site VPN [Stand-alone modus].