Hoe configureer je routering voor L2TP over IPSec-clients naar een extern kantoor via een IPSec-tunnel op ZyWALL USG-serie hardware gateways?
(Gebruikmakend van ZyWALL USG 50 als voorbeeld)
Laten we de volgende topologie overwegen:
Er zijn 2 kantoren, A en B (elk kantoor heeft een ZyWALL USG-serie hardware gateway geïnstalleerd). Ze zijn verbonden via een IPSec VPN-tunnel. Externe L2TP over IPSec-clients verbinden via het internet met elk kantoor.
De taak: routering configureren zodat alle L2TP over IPSec-clients toegang hebben tot het lokale subnet van kantoren A en B, ongeacht met welk kantoor de client verbinding maakt.
De essentie van de configuratie komt neer op het aanmaken van twee routes op beide beveiligingsgateways:
1. Al het verkeer (met willekeurige bron-IP-adressen) gericht op het externe subnet wordt gerouteerd via de IPSec VPN-tunnel. Deze route is nodig omdat de IP-adressen van L2TP over IPSec-clients niet binnen het bereik vallen dat is opgegeven in VPN Connections voor de verbinding tussen de twee kantoren. Verkeer wordt niet automatisch door de tunnel gerouteerd.
2. De tweede route geeft de gateway aan dat verkeer met bestemmings-IP-adressen uit het externe L2TP over IPSec-clientbereik via de IPSec-tunnel tussen de kantoren moet worden gestuurd, of dat verkeer bedoeld voor externe L2TP over IPSec-clients via de IPSec-tunnel tussen de kantoren moet worden gerouteerd. Zonder deze route worden antwoorden op verzoeken niet afgeleverd.
Laten we de parameters van onze testopstelling bekijken:
| ZyWALL USG 50 (Kantoor A) | ZyWALL USG 100 (Kantoor B) |
wan1: 10.0.0.2 (in een echte opstelling moet dit een globaal statisch IP-adres zijn) | wan1: 10.0.1.2 (in een echte opstelling moet dit een globaal statisch IP-adres zijn) |
Configuratie van ZyWALL USG 50 van Kantoor A
Om interfaces te configureren, ga naar Configuration > Network > Interface en selecteer het tabblad Ethernet.
Om de objecten te maken die nodig zijn voor de routeringsconfiguratie, ga naar Configuration > Object > Address.
Naast de subnets voor L2TP over IPSec-clients, moet je ook een object van het type INTERFACE IP maken voor de wan1-interface en een object van het type SUBNET dat het externe subnet van Kantoor B definieert. Dit is nodig voor het configureren van de L2TP over IPSec-tunnel en de IPSec-tunnel tussen de kantoren.
De L2TP over IPSec-tunnel en de IPSec-tunnel tussen de kantoren moeten worden geconfigureerd in Configuration > VPN > IPSec VPN > VPN Gateway en Configuration > VPN > IPSec VPN > VPN Connection.
Om routeringsregels te configureren, ga naar Configuration > Network > Routing > Policy Route.
Instellingen van de eerste route:
Instellingen van de tweede route:
Vervolgens moet je de firewall configureren. Om firewallregels te configureren, ga naar Configuration > Network > Firewall.
In onze opstelling is de belangrijkste voorwaarde om pakketten door de firewall toe te staan het binden van beide tunnels aan dezelfde zone, waar verkeer tussen interfaces in de zone is toegestaan (Block Intra-zone – nee).
Er moeten ook regels zijn die verkeer van deze zone naar het lokale netwerk en van het lokale netwerk naar deze zone toestaan.
Configuratie van ZyWALL USG 100 van Kantoor B
Om interfaces te configureren, ga naar Configuration > Network > Interface en selecteer het tabblad Ethernet.
Om de objecten te maken die nodig zijn voor de routeringsconfiguratie, ga naar Configuration > Object > Address.
Naast de subnets voor L2TP over IPSec-clients, moet je ook een object van het type INTERFACE IP maken voor de wan1-interface en een object van het type SUBNET dat het externe subnet van Kantoor A definieert. Dit is nodig voor het configureren van de L2TP over IPSec-tunnel en de IPSec-tunnel tussen de kantoren.
De L2TP over IPSec-tunnel en de IPSec-tunnel tussen de kantoren moeten worden geconfigureerd in Configuration > VPN > IPSec VPN > VPN Gateway en Configuration > VPN > IPSec VPN > VPN Connection.
Om routeringsregels te configureren, ga naar Configuration > Network > Routing > Policy Route.
Instellingen van de eerste route:
Instellingen van de tweede route:
Vervolgens moet je de firewall configureren. Om firewallregels te configureren, ga naar Configuration > Network > Firewall.
In onze opstelling is de belangrijkste voorwaarde om pakketten door de firewall toe te staan het binden van beide tunnels aan dezelfde zone, waar verkeer tussen interfaces in de zone is toegestaan (Block Intra-zone – nee).
Er moeten ook regels zijn die verkeer van deze zone naar het lokale netwerk en van het lokale netwerk naar deze zone toestaan.
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.