Zyxel H Series-brannmur [neste hopp i policyruter] Hvorfor rutebasert VPN erstatter policybasert VPN - og hvorfor det er en god ting

Med introduksjonen av Zyxel UOS-operativsystemet og lanseringen av den nye H-serien har Zyxel modernisert måten VPN-tilkoblinger håndteres på. I motsetning til tidligere generasjoner enheter som USG- og ATP-seriene, støtter ikke H-serien lenger bruk av VPN-tunneler som neste hopp i Policy Routes.

Dette er ikke en begrensning, men snarere et skifte mot en moderne, grensesnittbasert VPN-arkitektur som bruker rutebasert VPN med VTI (Virtual Tunnel Interface). Denne artikkelen forklarer forskjellen mellom policybasert og rutebasert VPN, og hvorfor denne nye tilnærmingen anses som mer pålitelig, skalerbar og enklere å administrere.

Fordeler med rutebasert VPN med VTI på Zyxel USG FLEX H

• VPN-tunneler opprettes som virtuelle grensesnitt (VTI) og deltar i ruting på samme måte som fysiske porter.
• Deter ikke nødvendig å definere VPN som neste hopp i policyruter, noe som reduserer konfigurasjonskompleksiteten og risikoen for feilkonfigurasjon.
• Bedre integrering med Zyxels sonebaserte sikkerhetsmodell.

Scenario:

• Hovedkvarteret bruker flere interne undernett:
  • 192.168.10.0/24 - Administrasjon
  • 192.168.20.0/24 - Regnskap
  • 192.168.30.0/24 - Lager
• Filialkontoret trenger tilgang til alle disse via VPN.

Problemer med policybasert VPN:

• Krevde opprettelse av en separat tunnel eller policy for hvert delnett.
• Enhver nettverksendring (f.eks. et nytt delnett) innebar manuell rekonfigurering av policyer og tunneler.

Bruk av VTI på USG FLEX H:

• Du oppretter én enkelt VPN-tunnel mellom nettstedene.
• Konfigurer statiske standardruter:

dst: 192.168.10.0/24 → via VTI-Office dst: 192.168.20.0/24 → via VTI-Office dst: 192.168.30.0/24 → via VTI-Office  

• Når et nytt delnett (f.eks. 192.168.40.0/24) legges til, er det bare å legge til en rute- ingen VPN-rekonfigurasjon er nødvendig.
• Tilgangskontroll administreres gjennom sikkerhetspolicyer i stedet for statisk rutelogikk.

Konfigurere IPSec VPN-tunnel for uOS

Dette eksemplet viser hvordan du bruker VPN-oppsettveiviseren til å konfigurere en rutebasert VPN-tunnel fra sted til sted med en ZLD-enhet som motpartsgateway, noe som muliggjør sikker tilgang mellom de to nettstedene når tunnelen er etablert.

Naviger tilVPN > IPSec VPN > Site to Site VPN > Legg til. og gå gjennom alle trinnene i veiviseren og fyll ut de aktuelle feltene:

• Navn: Name:
• IKE-versjon: IKEv2
• I Min adresse-feltet velger du det nødvendige WAN-grensesnittet
• I Peer Gateway Address-feltet skriver du inn den offentlige IP-adressen til den eksterne enheten (filialen).
• Sone: IPSec_VPN
• For Autentiseringsmetode velger du Forhåndsdelt nøkkel (PSK).

Under Type velger du: Rutebasert.

1. I Eksternt delnett, skriv inn manuelt: 192.168.88.0/27.
2. I VTI-grensesnitt skriver du inn: 169.254.63.164/255.255.255.255.
3. Kontroller at diagrammet viser tilkoblingen fra det lokale grensesnittet ge1 til den eksterne IPadressen 93.159.250.211

Under Fase 1-innstillinger og Fase 2-innstillinger:

• Forslag: AES128 / SHA1
• DH-gruppe: DH2 / DH14

Klikk på OK.

• Konfigurer VTI-grensesnittet

Konfigurasjon > Nettverk > Grensesnitt > VTI

Konfigurer en IPSec VPN-tunnel for ZLD

Naviger til Konfigurasjon > VPN > IPSec VPN > VPN-gateway.

• Klikk på Legg til og merk av for Aktiver.
• Skriv inn VPN-gatewaynavn:
• Velg IKE-versjon: IKEv2
• Under Min adresse: Velg Grensesnitt: ge1 (med din offentlige IP).
• Under Peer Gateway-adresse: skriv inn den offentlige IP-adressen til den eksterne (HQ) enheten
• I Autentisering: Velg Pre-Shared Key og skriv inn den samme nøkkelen som brukes på Flex-enheten.

• Konfigurer VTI-grensesnittet

Konfigurasjon > Nettverk > Grensesnitt > VTI