Viktig merknad: |
Artikkelen gir en trinnvis veiledning om hvordan du konfigurerer en IPSec site-to-site VPN-tunnel ved hjelp av VPN Setup Wizard på ZyWALL/USG-enheter. Den forklarer hvordan du konfigurerer VPN-tunnelen mellom to nettsteder, inkludert ett bak en NAT-ruter, for å sikre sikker tilgang. Prosessen innebærer å bruke VPN-innstillingsveiviseren til å opprette en VPN-regel med standard faseinnstillinger, konfigurere sikre gateway-IP-er og angi lokale og eksterne policyer. Den dekker også verifiseringstrinn for å teste tunnelens funksjonalitet og tar for seg potensielle problemer som kan oppstå, for eksempel uoverensstemmende innstillinger eller konfigurasjoner av sikkerhetspolicyer.
Sette opp ZyWALL/USG IPSec VPN-tunnelen til bedriftsnettverket (HQ)
1. I ZyWALL/USG bruker du veiviseren VPN-innstillinger til å opprette en VPN-regel som kan brukes med FortiGate. Klikk på Neste.
Hurtigoppsett > Veiviser for VPN-oppsett > Velkommen
2. Velg Express for å opprette en VPN-regel med standardinnstillingene for fase 1 og fase 2 og bruke en forhåndsdelt nøkkel som autentiseringsmetode. Klikk på Neste.
Hurtigoppsett > Veiviser for VPN-oppsett > Veivisertype
3. Skriv inn regelnavnet som brukes til å identifisere denne VPN-tilkoblingen (og VPN-gatewayen). Du kan bruke 1-31 alfanumeriske tegn. Denne verdien skiller mellom store og små bokstaver. Velg regelen som skal være Site-to-site. Klikk på Neste.
Hurtigoppsett > Veiviser for VPN-oppsett > Veivisertype > VPN-innstillinger (Scenario)
4. Konfigurer Secure Gateway IP som filialens WAN-IP-adresse (i eksempelet 172.100.30.40). Skriv deretter inn en sikker forhåndsdelt nøkkel (8-32 tegn).
Sett Lokal policy til å være IP-adresseområdet til nettverket som er koblet til ZyWALL/USG (HQ) og Ekstern policy til å være IP-adresseområdet til nettverket som er koblet til ZyWALL/USG (Branch).
Hurtigoppsett > Veiviser for VPN-oppsett > Veiviser Type > VPN-innstillinger (konfigurasjon)
5. Dette skjermbildet gir et skrivebeskyttet sammendrag av VPN-tunnelen. Klikk på Lagre.
Hurtigoppsett > Veiviser for VPN-oppsett > Velkommen > Veivisertype > VPN-innstillinger (Sammendrag)
6. Nå er regelen konfigurert på ZyWALL/USG. Innstillingene for fasereglene vil vises her
Fase 1: VPN > IPSec VPN > VPN-gateway Fase 2: VPN > IPSec VPN > VPN-tilkobling Hurtigoppsett > Veiviser for VPN-oppsett > Velkommen > Veivisertype > VPN-innstillinger > Veiviser fullført
7. Konfigurer Peer ID Type som Enhver for å la ZyWALL/USG ikke kreve å sjekke identitetsinnholdet til den eksterne IPSec-ruteren.
KONFIGURASJON > VPN > IPSec VPN > VPN-gateway > Vis avanserte innstillinger > Autentisering > Peer ID-type
Konfigurer ZyWALL/USG IPSec VPN-tunnel for bedriftsnettverk (filial)
1. I ZyWALL/USG bruker du VPN-innstillingsveiviseren til å opprette en VPN-regel som kan brukes med FortiGate. Klikk på Neste.
Hurtigoppsett > Veiviser for VPN-oppsett > Velkommen
2. Velg Express for å opprette en VPN-regel med standardinnstillingene for fase 1 og fase 2 og bruke en forhåndsdelt nøkkel som autentiseringsmetode. Klikk på Neste.
Hurtigoppsett > Veiviser for VPN-oppsett > Veivisertype
3. Skriv inn regelnavnet som brukes til å identifisere denne VPN-tilkoblingen (og VPN-gatewayen). Du kan bruke 1-31 alfanumeriske tegn. Denne verdien skiller mellom store og små bokstaver. Velg regelen som skal være Site-to-site. Klikk på Neste.
Hurtigoppsett > Veiviser for VPN-oppsett > Veiviser-type > VPN-innstillinger (Scenario)
4. Konfigurer Secure Gateway IP som filialens WAN-IP-adresse (i eksempelet 172.100.20.30). Skriv deretter inn en sikker forhåndsdelt nøkkel (8-32 tegn).
Sett Local Policy til å være IP-adresseområdet til nettverket som er koblet til ZyWALL/USG (HQ) og Remote Policy til å være IP-adresseområdet til nettverket som er koblet til ZyWALL/USG (Branch).
Hurtigoppsett > Veiviser for VPN-oppsett > Veiviser Type > VPN-innstillinger (konfigurasjon)
5. Dette skjermbildet gir et skrivebeskyttet sammendrag av VPN-tunnelen. Klikk på Lagre.
Hurtigoppsett > Veiviser for VPN-oppsett > Velkommen > Veivisertype > VPN-innstillinger (Sammendrag)
6. Nå er regelen konfigurert på ZyWALL/USG. Innstillingene for fasereglene vil vises her
Fase 1: VPN > IPSec VPN > VPN-gateway Fase 2: VPN > IPSec VPN > VPN-tilkobling Hurtigoppsett > Veiviser for VPN-oppsett > Velkommen > Veivisertype > VPN-innstillinger > Veiviser fullført
7. Konfigurer Peer ID Type som Enhver for å la ZyWALL/USG ikke kreve å sjekke identitetsinnholdet til den eksterne IPSec-ruteren.
KONFIGURASJON > VPN > IPSec VPN > VPN-gateway > Vis avanserte innstillinger > Autentisering > Peer ID-type
Konfigurer NAT-ruteren (bruker ZyWALL USG-enheten i dette eksemplet)
Merk: Disse innstillingene skal bare brukes hvis en av brannmurene dine er bak en NAT. Disse innstillingene skal konfigureres på NAT-ruteren som er plassert før brannmuren, som kan være ISP-ruteren eller hovedruteren i kontornettverket ditt. Nedenfor viser vi et eksempel med en av våre enheter - dette er kun for referanseformål.
1. Velg det innkommende grensesnittet som pakkene for NAT-regelen skal mottas på. Angi feltet Brukerdefinert original-IP og skriv inn den oversatte destinasjons-IP-adressen som denne NAT-regelen støtter.
KONFIGURASJON > Nettverk > NAT > Legg til
2. IP-videresending må være aktivert i brannmuren for følgende IP-protokoller og UDP-porter:
IP-protokoll = 50 → Brukes av databane (ESP)
IP-protokoll = 51 → Brukes av databanen (AH)
UDP-portnummer = 500 → brukes av IKE (IPSec-kontrollbane)
UDP-portnummer = 4500 → Brukes av NAT-T (IPsec NAT-traversering)
KONFIGURASJON > Sikkerhetspolicy > Policykontroll
VERIFISERING:
Test IPSec VPN-tunnelen
1. Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling
klikk på Koble til på den øvre linjen. Statustilkoblingsikonet lyser når grensesnittet er tilkoblet.
2. Verifiser tunnelens oppetid og innkommende(Bytes)/utgående(Bytes) trafikk.
MONITOR > VPN Monitor > IPSec
3. For å teste om en tunnel fungerer eller ikke, kan du pinge fra en datamaskin på det ene stedet til en datamaskin på det andre. Sørg for at begge datamaskinene har tilgang til Internett (via IPSec-enheter).
PC bak ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC bak ZyWALL/USG (Branch) > Window 7 > cmd > ping 10.10.10.33
Hva kan gå galt?
1. Hvis du ser loggmeldingen [info] eller [feil] nedenfor, må du sjekke ZyWALL/USG fase 1-innstillingene. Både ZyWALL/USG ved hovedkontoret og filialene må bruke samme forhåndsdelte nøkkel, kryptering, autentiseringsmetode, DH-nøkkelgruppe og ID-type for å etablere IKE SA.
MONITOR > Logg
2. Hvis du ser at fase 1 IKE SA-prosessen er ferdig, men fortsatt får loggmeldingen [info] nedenfor, må du sjekke ZyWALL/USG fase 2-innstillingene. Både ZyWALL/USG på hovedkontoret og filialene må bruke samme protokoll, innkapsling, kryptering, autentiseringsmetode og PFS for å etablere IKE SA.
OVERVÅKING > Logg
3. Kontroller at sikkerhetspolicyene for både ZyWALL/USG ved hovedkontoret og filialen tillater IPSec VPN-trafikk. IKE bruker UDP-port 500, AH bruker IP-protokoll 51, og ESP bruker IP-protokoll 50.
4. Standard NAT-traversering er aktivert på ZyWALL/USG, sørg for at den eksterne IPSec-enheten også må ha NAT-traversering aktivert.